제안 사항이 있나요? 내보내기(0) 인쇄
모두 확장
이 문서는 기계로 번역한 것입니다. 원본 텍스트를 보려면 포인터를 문서의 문장 위로 올리십시오. 추가 정보
번역
원본

소프트웨어 제한 정책과 AppLocker를 사용 하 여 동일한 도메인에

 

적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

IT 전문가 위한이 항목에 개념 및 소프트웨어 제한 정책과 AppLocker를 사용 하 여 응용 프로그램 제어 전략을 관리 하는데 도움이 되는 절차에 설명 합니다.

AppLocker는 위에 및 Windows 7을 실행 하는 시스템에서 지원 됩니다. 소프트웨어 제한 정책 (SRP) 또는 이전 버전을 Windows Vista를 실행 하는 시스템에서 지원 됩니다. 이전 windows 7 컴퓨터에 응용 프로그램 제어에 대 한 SRP를 사용 하지만 Windows Server 2008 R2, Windows 7 이상 실행 하는 컴퓨터에 대 한 AppLocker를 사용 하 여 계속할 수 있습니다. AppLocker를 작성 및 SRP 규칙에서 Gpo를 분리 하 고 Windows Vista를 실행 하는 시스템 SRP 정책 사용 하 여 GPO의 대상을 것이 좋습니다 또는 이전 버전입니다. SRP와 AppLocker 정책은 Windows Server 2008 R2, Windows 7을 실행 하는 컴퓨터에 적용 됩니다 시점과 나중 SRP 정책을 무시 됩니다.

다음 표에서 AppLocker와 소프트웨어 제한 정책 (SRP)의 특징과 기능을 비교 합니다.

응용 프로그램 제어 기능

SRP

AppLocker

범위

SRP 정책은 Windows XP 및 Windows Server 2003부터 모든 Windows 운영 체제에 적용할 수 있습니다.

AppLocker 정책은 Windows Server 2008 r 2에만 적용Windows Server 2012Windows 7 및Windows 8합니다.

정책 만들기

SRP 정책을 그룹 정책을 통해 유지 관리 됩니다 및 GPO의 관리자만 SRP 정책을 업데이트할 수 있습니다. 로컬 컴퓨터의 관리자는 로컬 GPO에 정의 된 SRP 정책을 수정할 수 있습니다.

AppLocker 정책은 그룹 정책을 통해 유지 관리 되며 및 GPO의 관리자만 정책을 업데이트할 수 있습니다. 로컬 컴퓨터의 관리자는 로컬 GPO에 정의 된 AppLocker 정책을 수정할 수 있습니다.

AppLocker를 사용할 경우 사용자를 지원 웹 페이지로 안내하기 위해 오류 메시지를 사용자 지정할 수 있습니다.

정책 유지 관리

SRP 정책 (정책이 로컬로 만들어집니다) 하는 경우 로컬 보안 정책 스냅인 사용 하거나 그룹 정책 관리 콘솔 (GPMC) 하 여 업데이트 되어야 합니다.

AppLocker 정책은 로컬 보안 정책 스냅인 (정책을 만들면 로컬로) 하는 경우, 또는 GPMC 또는 Windows PowerShell AppLocker cmdlet을 사용 하 여 업데이트할 수 있습니다.

정책 적용

SRP 정책은 그룹 정책을 통해 배포 됩니다.

AppLocker 정책은 그룹 정책을 통해 배포 됩니다.

적용 모드

SRP는 "거부 목록 모드" 관리자 기본적으로 파일의 나머지 부분을 실행할 수 있지만이 엔터프라이즈에서 허용 하지 않는 하고자 하는 파일에 대 한 규칙을 만들 수 있는 작동 합니다.

SRP "허용 목록 모드"에서 구성할 수도 있습니다 되도록는 기본적으로 모든 파일 차단 되 고 관리자가 만들어야 할 수 있도록 보고자 하는 파일에 대 한 규칙을 허용 합니다.

AppLocker는 "허용" 목록 모드를 있을 일치 하는 허용 규칙을 실행 하려면 해당 파일에만 허용 되는 위치에 대 한 기본 작동 하 여 합니다.

제어할 수 있는 파일 형식

SRP에는 다음 파일 형식을 제어할 수 있습니다.

  • 실행 파일

  • Dll

  • 스크립트

  • Windows 설치 관리자

SRP에는 별도로 각 파일 형식을 제어할 수 없습니다. 모든 SRP 규칙 단일 규칙 컬렉션에 있습니다.

AppLocker에서 다음 파일 형식을 제어할 수 있는Windows Server 2008 R2및Windows 7및 이후 버전:

  • 실행 파일

  • Dll

  • 스크립트

  • Windows 설치 관리자

응용 프로그램 및부터 추가 installersWere 패키지Windows Server 2012및Windows 8

AppLocker 5 개의 파일 형식 마다 별도 규칙 컬렉션을 유지 관리합니다.

지정 된 파일 형식

SRP에 실행 된 것으로 간주 되는 파일 형식의 확장 가능한 목록을 지원 합니다. 관리자는 실행 가능한 고려해 야 하는 파일에 대 한 확장을 추가할 수 있습니다.

AppLocker이를 지원 하지 않습니다. AppLocker는 현재 다음과 같은 파일 확장명을 지원합니다.

  • 실행 파일 (.exe,.com)

  • Dll (.dll,.ocx)

  • 스크립트 (.vbs,.js,.ps1,.cmd,.bat)

  • Windows Installer (.msi,.mst,.msp)

  • 패키지 된 앱 설치 관리자 (.appx)

규칙 유형

SRP 4 가지 유형의 규칙을 지원합니다.

  • 해시

  • 경로

  • 서명

  • 인터넷 영역

AppLocker는 3 가지 유형의 규칙을 지원합니다.

  • 해시

  • 경로

  • 게시자

해시 값을 편집

Windows XP에서 SRP에는 관리자를 사용자 지정 해시 값을 제공할 수 있습니다.

Windows 7 및 Windows Server 2008 r 2 부터는 파일을 해시, 해시 값을 제공 하지만 선택할 수 있습니다.

AppLocker 자체 해시 값을 계산 합니다. 내부적으로 이식 가능한 실행 파일 (Exe 및 Dll) 및 Windows 설치 관리자와 나머지 부분에 대 한 플랫 파일 SHA2 해시에 대 한 Authenticode SHA2 해시를 사용합니다.

다른 보안 수준에 대 한 지원

SRP 관리자 응용 프로그램 실행할 수 있는 사용 권한을 지정할 수 있습니다. 관리자가 이러한 규칙을 구성할 수 있으므로, 제한 된 권한 및 관리자 권한으로 하지 해당 메모장은 항상 실행 됩니다.

SRP 및 이전 버전 Windows Vista에서 여러 보안 수준을 지원 합니다. Windows 7에서 해당 목록 두 수준으로 제한 되었습니다. 허용 및 무제한 (함으로 기본 사용자로 변환).

AppLocker에서 보안 수준을 지원 하지 않습니다.

관리패키지에 포함된 앱s 및패키지에 포함된 앱 설치 관리자s.

수 없습니다.

.appx는 AppLocker를 관리할 수 있는 유효한 파일 형식입니다.

사용자 또는 사용자 그룹에 규칙을 대상으로 지정

SRP 규칙은 특정 컴퓨터에서 모든 사용자에 게 적용 됩니다.

특정 사용자 또는 사용자 그룹에 AppLocker 규칙을 지정할 수 있습니다.

규칙 예외에 대 한 지원

SRP 규칙 예외를 지원 하지 않습니다.

AppLocker 규칙 관리자가 "허용 모두에서 Windows를 제외 하 고 Regedit.exe"와 같은 규칙을 만들 수 있는 예외를 가질 수 있습니다.

감사 모드에 대 한 지원

SRP 감사 모드를 지원 하지 않습니다. SRP 정책을 테스트 하려면 유일한 방법은 테스트 환경을 설정 하 여 몇 실험을 실행 하는 것입니다.

AppLocker는 관리자가 사용자 환경 영향을 주지않고 실제 프로덕션 환경에서 해당 정책의 효과 테스트할 수 있는 감사 모드를 지원 합니다. 결과 만족 했으면 정책 적용을 시작할 수 있습니다.

정책 내보내기 및 가져오기에 대 한 지원

SRP에 정책 가져오기/내보내기 지원 하지 않습니다.

AppLocker는 가져오기 및 정책 내보내기 지원 합니다. 이 샘플 컴퓨터에서 AppLocker 정책을 만들 수 있습니다 아웃을 테스트 하 고 해당 정책을 내보내고 원하는 GPO로 다시.

규칙 적용

내부적으로 SRP 규칙 적용 안전성이 떨어집니다는 사용자 모드에서 발생 합니다.

내부적으로 사용자 모드에서이 적용 하는 보다 더 안전는 커널 모드에서 Exe 및 Dll에 대 한 AppLocker 규칙이 적용 됩니다.

표시:
© 2016 Microsoft