AppLocker 규칙 작업

 

적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

<_caps3a_sxs _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="ko-KR">이 항목에서는 AppLocker 규칙 유형 및 사용 하 여 응용 프로그램 제어 정책에 대 한 작업 방법 Windows Server® 2012 및 Windows® 8합니다.절차Create a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard 다음 표에서는 세 가지 AppLocker 적용 모드에 대해 설명합니다. 여기에 정의 된 적용 모드 설정이 우선 순위가 높은에서 연결 된 그룹 정책 개체 (GPO)를 파생 된 설정에 의해 덮어쓸 수 있습니다.적용 모드설명구성되지 않음여기에 정의 된 규칙을 의미 하는 우선 순위가 높은 연결된 된 GPO이이 설정에 대해 다른 값에 적용 될 기본 설정입니다.규칙 적용규칙이 적용됩니다.감사만규칙이 감사되기만 하고 적용되지는 않습니다. 사용자가 AppLocker 규칙에 의해 영향을 받는 응용 프로그램을 실행 하는 경우 응용 프로그램이 실행 되도록 허용 하 고 응용 프로그램에 대 한 정보가 AppLocker 이벤트 로그에 추가 됩니다. 감사만 적용 모드를 사용하면 정책을 적용하기 전에 해당 정책의 영향을 받는 응용 프로그램을 쉽게 확인할 수 있습니다. 규칙 컬렉션에 대 한 AppLocker 정책을로 설정 되 면 감사만, 해당 규칙 컬렉션에 대 한 규칙이 적용 되지 않습니다다양한 GPO의 AppLocker 정책이 병합될 경우 모든 GPO의 규칙이 병합되고 최우선 GPO의 적용 모드 설정이 적용됩니다.Gpo에 대 한 내용은 및 그룹 정책 계획 및 배포 가이드를 참조 하는 그룹 정책 상속 http://go.microsoft.com/fwlink/p/?linkid=143138http://go.microsoft.com/fwlink/p/?linkid=143138합니다.규칙 컬렉션AppLocker 사용자 인터페이스를 통해 Microsoft 관리 콘솔 (MMC)에 액세스 하 고 구성 되어 규칙으로는 실행 파일, 스크립트, Windows Installer 파일은 컬렉션을 패키지 된 앱 및 앱 설치 관리자 및 DLL 파일을 패키지 합니다. 관리자는 이러한 컬렉션을 통해 손쉽게 여러 응용 프로그램 종류에 대한 규칙을 구분할 수 있습니다. 다음 표에서는 각 규칙 컬렉션에 포함된 파일 형식을 보여 줍니다.규칙 컬렉션관련 파일 형식실행 파일.exe.com스크립트.ps1.bat.cmd.vbs.jsWindows Installer 파일.msi.msp.mst패키지 된 앱 및 패키지 된 앱 설치 관리자.appxDLL 파일.dll.ocxDLL 규칙을 사용할 경우 허용되는 모든 응용 프로그램에서 사용하는 각 DLL에 대해 허용 규칙을 만들어야 합니다.DLL 규칙이 사용되는 경우 AppLocker에서는 응용 프로그램이 로드하는 각 DLL을 검사해야 합니다. 따라서 DLL 규칙이 사용될 때는 성능이 저하될 수 있습니다.DLL 규칙 컬렉션은 기본적으로 사용되지 않습니다. DLL 규칙 컬렉션을 사용 하도록 설정 하는 방법을 알아보려면 다음을 참조 DLL rule collections합니다.규칙 조건규칙 조건은 AppLocker에서 규칙이 적용되는 응용 프로그램을 식별할 수 있도록 하는 조건입니다. 세 가지 주 규칙 조건은 게시자, 경로 및 파일 해시입니다.Publisher: 디지털 서명을 기반 응용 프로그램을 식별 합니다.Path: 컴퓨터 또는 네트워크 파일 시스템에서의 위치에 따라 응용 프로그램을 식별합니다.File hash: 식별된 된 파일의 시스템 계산 암호화 해시를 나타냅니다.게시자이 조건은 사용 가능한 경우 디지털 서명과 확장 특성을 기반으로 응용 프로그램을 식별합니다. 디지털 서명에는 응용 프로그램을 만든 회사(게시자)에 대한 정보가 포함되어 있습니다. 실행 파일, Dll, Windows installer 패키지 된 앱 및 패키지 된 앱 설치 관리자도 확장 특성이 있으며, 이진 리소스에서 가져옵니다. 실행 파일의 경우 Dll 및 Windows installer 이러한 특성을 파일의 일부인, 파일의 원래 이름 파일의 버전 번호 및 게시자가 제공한 제품의 이름을 포함 합니다. 패키지 된 앱 및 패키지 된 앱 설치 관리자의 경우 이러한 확장된 특성 이름 및 응용 프로그램 패키지의 버전을 포함합니다.패키지 된 앱에서 만든 규칙 및 패키지 된 앱 설치 관리자가 규칙 컬렉션 Windows에서는 서명 되지 않은 패키지 된 앱을 지원 하지 않으므로 게시자 조건 하나만 적용할 수 있으며 앱 설치 관리자 패키지.응용 프로그램 업데이트 뿐 아니라 파일의 위치 변경 되거나 되어도 계속 수 있으므로 가능 하면 게시자 규칙 조건을 사용 합니다.게시자 조건에 대한 참조 파일을 선택하면 마법사가 게시자, 제품, 파일 이름 및 버전 번호를 지정하는 규칙을 만듭니다. 슬라이더를 위로 이동하거나 제품, 파일 이름 또는 버전 번호 필드에 와일드카드 문자(*)를 사용하여 보다 일반적인 규칙으로 만들 수 있습니다.규칙 만들기 마법사에서 게시자 규칙 조건의 필드에 사용자 지정 값을 입력하려면 사용자 지정 값 사용 확인란을 선택해야 합니다. 이 확인란을 선택하면 슬라이더를 사용할 수 없습니다.파일 버전 및 패키지 버전은 응용 프로그램의 특정 버전, 이전 버전 또는 이후 버전 중 사용자가 실행할 수 있는 버전을 제어합니다. 버전 번호를 선택한 후 다음 옵션을 구성할 수 있습니다.그렇습니다. 해당 버전의 응용 프로그램에만 규칙이 적용됩니다.이상. 해당 버전과 그 이후의 모든 버전에 규칙이 적용됩니다.이 하. 해당 버전과 그 이전의 모든 버전에 규칙이 적용됩니다.다음 표에서는 게시자 조건이 적용되는 방식을 설명합니다.옵션게시자 조건으로 허용 또는 거부되는 항목모든 서명된 파일게시자가 서명한 모든 파일입니다.게시자만지정된 게시자가 서명한 모든 파일게시자 및 제품 이름지정된 게시자가 서명한 특정 제품의 모든 파일게시자, 제품 이름, 파일 이름해당 게시자가 서명한 지정된 제품의 지정된 파일 또는 패키지의 모든 버전게시자, 제품 이름, 파일 이름, 파일 버전정확히 일치해당 게시자가 서명한 지정된 제품의 지정된 파일 또는 패키지의 특정 버전게시자, 제품 이름, 파일 이름, 파일 버전이상해당 게시자가 서명한 제품의 지정된 파일 또는 패키지의 특정 버전과 모든 새 릴리스게시자, 제품 이름, 파일 이름, 파일 버전이하해당 게시자가 서명한 제품의 지정된 파일 또는 패키지의 특정 버전과 모든 이전 버전사용자 지정편집할 수는 게시자, 제품 이름, 파일 이름, 버전패키지 이름, 및 패키지 버전 필드를 사용자 지정 규칙을 만듭니다.경로이 규칙 조건은 컴퓨터의 파일 시스템이나 네트워크에서의 위치에 따라 응용 프로그램을 식별합니다.AppLocker는 Program Files 및 Windows와 같은 잘 알려진 경로에 사용자 지정 경로 변수를 사용합니다.다음 표에서는 이러한 경로 변수를 자세히 보여 줍니다.Windows 디렉터리 또는 디스크AppLocker 경로 변수Windows 환경 변수Windows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows 설치 디렉터리%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% 및 %ProgramFiles(x86)%이동식 미디어(예: CD 또는 DVD)%REMOVABLE%이동식 저장 장치(예: USB 플래시 드라이브)%HOT%경로 규칙 조건은 많은 수의 폴더와 파일을 포함하도록 구성할 수 있으므로 경로 조건을 계획할 때는 주의해야 합니다. 예를 들어 경로 조건이 있는 허용 규칙에 관리자가 아닌 사용자가 데이터를 쓸 수 있는 폴더 위치가 포함되어 있으면 사용자가 승인되지 않은 파일을 해당 위치에 복사한 다음 이 파일을 실행할 수 있게 됩니다. 따라서 사용자 프로필과 같은 표준 사용자 쓰기 가능 위치에 대해서는 경로 조건을 만들지 않는 것이 가장 좋습니다.파일 해시파일 해시 규칙 조건을 선택하면 시스템에서 식별된 파일의 암호화 해시를 계산합니다. 이 규칙 조건의 장점은 각 파일에 고유한 해시가 있기 때문에 파일 해시 규칙 조건이 한 파일에만 적용된다는 점입니다. 단점은 파일이 업데이트(예: 보안 업데이트 또는 업그레이드)될 때마다 파일의 해시가 변경된다는 점입니다. 따라서 파일 해시 규칙을 수동으로 업데이트해야 합니다.AppLocker 기본 규칙AppLocker에서는 각 규칙 컬렉션에 대한 기본 규칙을 생성할 수 있습니다.실행 파일의 기본 규칙 종류는 다음과 같습니다.로컬 Administrators 그룹의 구성원이 모든 응용 프로그램을 실행할 수 있도록 허용Everyone 그룹의 구성원이 Windows 폴더에 있는 응용 프로그램을 실행할 수 있도록 허용Everyone 그룹의 구성원이 Program Files 폴더에 있는 응용 프로그램을 실행할 수 있도록 허용스크립트의 기본 규칙 종류는 다음과 같습니다.로컬 Administrators 그룹의 구성원이 모든 스크립트를 실행할 수 있도록 허용Everyone 그룹의 구성원이 Program Files 폴더에 있는 스크립트를 실행할 수 있도록 허용Everyone 그룹의 구성원이 Windows 폴더에 있는 스크립트를 실행할 수 있도록 허용Windows Installer의 기본 규칙 종류는 다음과 같습니다.로컬 Administrators 그룹의 구성원이 모든 Windows Installer 파일을 실행할 수 있도록 허용Everyone 그룹의 구성원이 디지털 서명된 모든 Windows Installer 파일을 실행할 수 있도록 허용Everyone 그룹의 구성원이 Windows\Installer 폴더에 있는 모든 Windows Installer 파일을 실행할 수 있도록 허용DLL의 기본 규칙 종류는 다음과 같습니다.로컬 Administrators 그룹의 구성원이 모든 DLL을 실행할 수 있도록 허용Everyone 그룹의 구성원이 Program Files 폴더에 있는 DLL을 실행할 수 있도록 허용Everyone 그룹의 구성원이 Windows 폴더에 있는 DLL을 실행할 수 있도록 허용패키지 된 앱의 기본 규칙 종류:멤버는 Everyone 그룹을 설치 하 고 서명 된 전체 패키지 된 앱을 실행 하 고 앱 설치 관리자를 패키지 합니다.AppLocker 규칙 동작특정 규칙 컬렉션에 대한 AppLocker 규칙이 없으면 해당 파일 형식의 모든 파일을 실행할 수 있습니다. 그러나 특정 규칙 컬렉션에 대한 AppLocker 규칙이 만들어져 있으면 규칙에서 명시적으로 허용된 파일만 실행할 수 있습니다. 예를 들어 %SystemDrive%\FilePath에 있는 .exe 파일을 실행할 수 있도록 허용하는 실행 파일 규칙을 만들면 해당 경로에 있는 실행 파일만 실행할 수 있습니다.허용 또는 거부 동작을 사용하도록 규칙을 구성할 수 있습니다.허용 합니다. 사용 중인 환경에서 실행할 수 있는 파일과 해당되는 사용자 또는 사용자 그룹을 지정할 수 있습니다. 예외를 구성하여 규칙에서 제외되는 파일을 식별할 수도 있습니다.거부 합니다. 파일을 지정할 수 있습니다 하지 는 사용자 또는 사용자 그룹에 사용자 환경에서 실행할 수 있습니다. 예외를 구성하여 규칙에서 제외되는 파일을 식별할 수도 있습니다.최상의 사용 하 여 예외를 사용 하 여 작업 허용. 조합을 사용할 수 있습니다 허용 및 거부 동작 하지만 이해 거부 동작 보다 우선 하는 모든 경우에 작업을 허용 하 고을 우회할 수도 있습니다.실행 하는 컴퓨터를 조인 하는 경우 Windows Server 2012 또는 Windows 8 이미 실행 파일에 대 한 AppLocker 규칙을 적용 하는 도메인에 사용자 됩니다도 패키지 된 앱에 대 한 규칙을 만들지 않는 경우 모든 패키지 된 앱을 실행할 수 있습니다. 컨트롤 실행 파일을 계속 하면서 사용자 환경에서 모든 패키지 된 앱을 허용 하려는 경우에 패키지 된 앱에 대 한 기본 규칙을 만들고 고 규칙 컬렉션을 패키지 된 앱에 대 한 감사 전용 적용 모드를 설정 해야 합니다.규칙 예외개별 사용자나 사용자 그룹에 AppLocker 규칙을 적용할 수 있습니다. 사용자 그룹에 규칙을 적용하면 해당 그룹의 모든 사용자가 해당 규칙의 영향을 받습니다. 사용자 그룹 중 특정 하위 집합만 응용 프로그램을 사용할 수 있도록 허용해야 하는 경우에는 해당 하위 집합에 대한 특수 규칙을 만들 수 있습니다. 예를 들어 "Everyone 그룹의 구성원이 Windows를 실행할 수 있도록 허용 - 레지스트리 편집기 제외" 규칙을 사용하면 조직의 모든 사용자가 Windows 운영 체제를 실행할 수 있지만 레지스트리 편집기는 실행할 수 없습니다.따라서 기술 지원팀 담당자와 같은 사용자가 지원 작업에 필요한 프로그램을 실행할 수 없게 됩니다. 이 문제를 해결하려면 기술 지원팀 사용자 그룹에 적용되는 두 번째 규칙인 "기술 지원팀에서 레지스트리 편집기를 실행할 수 있도록 허용"을 만듭니다. 모든 사용자가 레지스트리 편집기를 실행할 수 없도록 하는 거부 규칙을 만들면 이 거부 규칙은 기술 지원팀 사용자 그룹이 레지스트리 편집기를 실행할 수 있도록 허용하는 두 번째 규칙보다 우선합니다.DLL 규칙 컬렉션DLL 규칙 컬렉션은 기본적으로 사용되지 않으므로 DLL 규칙을 만들고 적용하려면 먼저 다음 절차를 수행해야 합니다.로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.DLL 규칙 컬렉션을 사용하도록 설정하려면 시작 화면에서 다음을 입력합니다.secpol.msc 에 프로그램 및 파일 검색 상자의 하 고 ENTER 키를 누릅니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 예를 클릭합니다.콘솔 트리에서 응용 프로그램 제어 정책을 두 번 클릭하고 AppLocker를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.고급 탭을 클릭하고 DLL 규칙 컬렉션 사용 확인란을 선택한 다음 확인을 클릭합니다.DLL 규칙을 적용하기 전에 허용된 응용 프로그램에서 사용되는 각 DLL에 대한 허용 규칙이 있는지 확인해야 합니다.AppLocker 마법사다음과 같이 두 가지 AppLocker 마법사를 사용하여 규칙을 만들 수 있습니다.규칙 만들기 마법사를 사용하여 규칙을 한 번에 하나씩 만들 수 있습니다.자동으로 규칙 만들기 마법사를 사용하여 한 번에 여러 규칙을 만들 수 있습니다. 폴더를 선택 하 고 해당 폴더 내의 관련 파일에 대 한 마법사 만들기 규칙을 사용 하거나 패키지 된 앱의 경우 컴퓨터에 설치 하는 모든 패키지 된 앱에 대 한 마법사 만들기 규칙을 사용 합니다. 또한 규칙을 적용할 사용자나 그룹을 지정할 수 있습니다. 이 마법사는 자동으로 생성 규칙에만 허용 합니다.추가 고려 사항기본적으로 AppLocker 규칙은 명시적으로 허용되지 않은 파일을 사용자가 열거나 실행할 수 없도록 합니다. 관리자는 허용되는 응용 프로그램의 최신 목록을 유지 관리해야 합니다.다음 두 종류의 AppLocker 조건은 응용 프로그램 업데이트 후 유지되지 않습니다. 파일 해시 조건. 응용 프로그램의 암호화 해시 값은 규칙이 만들어질 때 생성되므로 파일 해시 조건은 응용 프로그램과 함께 사용할 수 있습니다. 하지만 해시 값은 해당 버전의 응용 프로그램과만 관련이 있습니다. 따라서 조직 내에서 사용하는 응용 프로그램의 버전이 여러 가지 있는 경우 사용 중인 각 버전과 이후 릴리스된 모든 새 버전에 대해 파일 해시 조건을 만들어야 합니다.특정 제품 버전이 설정 된 게시자 조건.정확히 일치 버전 옵션을 사용하는 게시자 규칙 조건을 만들 경우 새 버전의 응용 프로그램이 설치되면 규칙이 유지되지 않습니다. 새 게시자 조건을 만들거나 규칙에서 해당 버전을 보다 덜 구체적인 버전으로 편집해야 합니다.응용 프로그램이 디지털 서명되지 않은 경우에는 해당 응용 프로그램에 게시자 규칙 조건을 사용할 수 없습니다.Windows 운영 체제를 실행 하는 컴퓨터를 관리할 AppLocker 규칙을 사용할 수 없습니다 이전의 Windows Server 2008 R2 또는 Windows 7합니다. 대신 소프트웨어 제한 정책을 사용해야 합니다. GPO(그룹 정책 개체)에 AppLocker 규칙이 정의되어 있으면 해당 규칙만 적용됩니다. 소프트웨어 제한 정책 규칙과 AppLocker 규칙 간의 상호 운용성을 보장하려면 소프트웨어 제한 정책 규칙과 AppLocker 규칙을 서로 다른 GPO에서 정의합니다.설치 관리자 규칙 컬렉션은이에 대해서만 사용할 수 있는 패키지 된 앱과 패키지 된 앱 Windows Server 2012 및 Windows 8합니다.경우 실행 파일 규칙 컬렉션에 대 한 규칙은 적용 하 고 패키지 된 앱 및 패키지 된 앱 설치 관리자 규칙 컬렉션에 없는 모든 규칙, 패키지 된 앱이 없는 및 패키지 된 앱 설치 관리자를 실행할 수 있습니다. 모든 패키지 된 앱 및 패키지 된 앱 설치 관리자 패키지 된 앱에 대 한 규칙을 만들어야 하 고 패키지를 허용 하기 위해 응용 프로그램 설치 관리자가 규칙 컬렉션입니다.AppLocker 규칙 컬렉션이 감사만으로 설정되어 있으면 규칙이 적용되지 않습니다. 사용자가 이 규칙에 포함된 응용 프로그램을 실행하면 해당 응용 프로그램이 열리고 정상적으로 실행되며 해당 응용 프로그램에 대한 정보가 AppLocker 이벤트 로그에 추가됩니다.응용 프로그램이 차단될 때 표시되는 메시지에 사용자 지정 구성 URL을 포함할 수 있습니다.사용자가 허용되지 않는 응용 프로그램을 실행할 수 없다는 사실을 이해할 때까지는 차단된 응용 프로그램으로 인해 초기에 기술 지원팀에 접수되는 문의가 늘어날 수 있습니다.AppLocker 개요 [클라이언트]<_caps3a_sxssource locale="en-US">This topic describes AppLocker rule types and how to work with them for your application control policies using Windows Server® 2012 and Windows® 8.ProceduresCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard The three AppLocker enforcement modes are described in the following table. The enforcement mode setting defined here can be overwritten by the setting derived from a linked Group Policy Object (GPO) with a higher precedence.Enforcement modeDescriptionNot configuredThis is the default setting which means that the rules defined here will be enforced unless a linked GPO with a higher precedence has a different value for this setting.Enforce rulesRules are enforced.Audit onlyRules are audited but not enforced. When a user runs an application that is affected by an AppLocker rule, the application is allowed to run and the information about the application is added to the AppLocker event log. The Audit-only enforcement mode helps you determine which applications will be affected by the policy before the policy is enforced. When the AppLocker policy for a rule collection is set to Audit only, rules for that rule collection are not enforcedWhen AppLocker policies from various GPOs are merged, the rules from all the GPOs are merged and the enforcement mode setting of the winning GPO is applied.For information about GPOs and Group Policy inheritance, see the Group Policy Planning and Deployment Guide http://go.microsoft.com/fwlink/p/?linkid=143138http://go.microsoft.com/fwlink/p/?linkid=143138.Rule collectionsThe AppLocker user interface is accessed through the Microsoft Management Console (MMC), and it is organized into rule collections, which are Executable files, Scripts, Windows Installer files, Packaged apps and packaged app installers, and DLL files. These collections give the administrator an easy way to differentiate the rules for different types of applications. The following table lists the file formats that are included in each rule collection.Rule collectionAssociated file formatsExecutable files.exe.comScripts.ps1.bat.cmd.vbs.jsWindows Installer files.msi.msp.mstPackaged apps and packaged app installers.appxDLL files.dll.ocxIf you use DLL rules, you need to create an allow rule for each DLL that is used by all of the allowed applications.When DLL rules are used, AppLocker must check each DLL that an application loads. Therefore, users may experience a reduction in performance if DLL rules are used.The DLL rule collection is not enabled by default. To learn how to enable the DLL rule collection, see DLL rule collections.Rule conditionsRule conditions are criteria that help AppLocker identify the applications to which the rule applies. The three primary rule conditions are publisher, path, and file hash.Publisher: Identifies an application based on its digital signaturePath: Identifies an application by its location in the file system of the computer or on the networkFile hash: Represents the system computed cryptographic hash of the identified filePublisherThis condition identifies an application based on its digital signature and extended attributes when available. The digital signature contains information about the company that created the application (the publisher). Executable files, Dlls, Windows installers, packaged apps and packaged app installers also have extended attributes, which are obtained from the binary resource. In case of Executable files, Dlls and Windows installers these attributes contain the name of the product that the file is a part of, the original name of the file as supplied by the publisher and the version number of the file. In case of packaged apps and packaged app installers these extended attributes contain the name and the version of the application package.Rules created in the packaged apps and packaged app installers rule collection can only have publisher conditions since Windows does not support unsigned packaged apps and packaged app installers.Use a publisher rule condition when possible because they can survive application updates as well as a change in the location of files.When you select a reference file for a publisher condition, the wizard creates a rule that specifies the publisher, product, file name, and version number. You can make the rule more generic by moving the slider up or by using a wildcard character (*) in the product, file name, or version number fields.To enter custom values for any of the fields of a publisher rule condition in the Create Rules Wizard, you must select the Use custom values check box. When this check box is selected, you cannot use the slider.The File version and Package version control whether a user can run a specific version, earlier versions, or later versions of the application. You can choose a version number and then configure the following options:Exactly. The rule applies only to this version of the application.And above. The rule applies to this version and all later versions.And below. The rule applies to this version and all earlier versions.The following table describes how a publisher condition is applied.OptionThe publisher condition allows or denies…All signed filesAll files that are signed by any publisher.Publisher onlyAll files that are signed by the named publisher.Publisher and product nameAll files for the specified product that are signed by the named publisher.Publisher and product name, and file nameAny version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionExactlyThe specified version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionAnd aboveThe specified version of the named file or package and any new releases for the product that are signed by the publisher.Publisher, product name, file name, and file versionAnd belowThe specified version of the named file or package and any earlier versions for the product that are signed by the publisher.CustomYou can edit the Publisher, Product name, File name, VersionPackage name, and Package version fields to create a custom rule.PathThis rule condition identifies an application by its location in the file system of the computer or on the network.AppLocker uses custom path variables for well-known paths, such as Program Files and Windows.The following table details these path variables.Windows directory or diskAppLocker path variableWindows environment variableWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows installation directory%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% and %ProgramFiles(x86)%Removable media (for example, a CD or DVD)%REMOVABLE%Removable storage device (for example, a USB flash drive)%HOT%Because a path rule condition can be configured to include a large number of folders and files, path conditions should be carefully planned. For example, if an allow rule with a path condition includes a folder location that non-administrators are allowed to write data into, a user can copy unapproved files into that location and run the files. For this reason, it is a best practice to not create path conditions for standard user writable locations, such as a user profile.File hashWhen you choose the file hash rule condition, the system computes a cryptographic hash of the identified file. The advantage of this rule condition is that because each file has a unique hash, a file hash rule condition applies to only one file. The disadvantage is that each time the file is updated (such as a security update or upgrade) the file's hash will change. As a result, you must manually update file hash rules.AppLocker default rulesAppLocker allows you to generate default rules for each rule collection.Executable default rule types include:Allow members of the local Administrators group to run all applications.Allow members of the Everyone group to run applications that are located in the Windows folder.Allow members of the Everyone group to run applications that are located in the Program Files folder.Script default rule types include:Allow members of the local Administrators group to run all scripts.Allow members of the Everyone group to run scripts that are located in the Program Files folder.Allow members of the Everyone group to run scripts that are located in the Windows folder.Windows Installer default rule types include:Allow members of the local Administrators group to run all Windows Installer files.Allow members of the Everyone group to run all digitally signed Windows Installer files.Allow members of the Everyone group to run all Windows Installer files that are located in the Windows\Installer folder.DLL default rule types:Allow members of the local Administrators group to run all DLLs.Allow members of the Everyone group to run DLLs that are located in the Program Files folder.Allow members of the Everyone group to run DLLs that are located in the Windows folder.Packaged apps default rule types:Allow members of the Everyone group to install and run all signed packaged apps and packaged app installers.AppLocker rule behaviorIf no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. For example, if you create an executable rule that allows .exe files in %SystemDrive%\FilePath to run, only executable files located in that path are allowed to run.A rule can be configured to use allow or deny actions:Allow. You can specify which files are allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.Deny. You can specify which files are not allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.For a best practice, use allow actions with exceptions. You can use a combination of allow and deny actions but understand that deny actions override allow actions in all cases, and can be circumvented.If you join a computer running Windows Server 2012 or Windows 8 to a domain that already enforces AppLocker rules for Executables, users will not be able to run any packaged apps unless you also create rules for packaged apps. If you want to allow any packaged apps in your environment while continuing to control Executables, you should create the default rules for packaged apps and set the enforcement mode to Audit-only for the packaged apps rule collection.Rule exceptionsYou can apply AppLocker rules to individual users or to a group of users. If you apply a rule to a group of users, all users in that group are affected by that rule. If you need to allow a subset of a user group to use an application, you can create a special rule for that subset. For example, the rule "Allow Everyone to run Windows except Registry Editor" allows everyone in the organization to run the Windows operating system, but it does not allow anyone to run Registry Editor.The effect of this rule would prevent users such as Help Desk personnel from running a program that is necessary for their support tasks. To resolve this problem, create a second rule that applies to the Help Desk user group: "Allow Help Desk to run Registry Editor." If you create a deny rule that does not allow any users to run Registry Editor, the deny rule will override the second rule that allows the Help Desk user group to run Registry Editor.DLL rule collectionBecause the DLL rule collection is not enabled by default, you must perform the following procedure before you can create and enforce DLL rules.로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.To enable the DLL rule collection 시작 화면에서 다음을 입력합니다.secpol.msc in the Search programs and files box, and then press ENTER. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 예를 클릭합니다.In the console tree, double-click Application Control Policies, right-click AppLocker, and then click Properties.Click the Advanced tab, select the Enable the DLL rule collection check box, and then click OK.Before you enforce DLL rules, make sure that there are allow rules for each DLL that is used by any of the allowed applications.AppLocker wizardsYou can create rules by using two AppLocker wizards:The Create Rules Wizard enables you to create one rule at a time.The Automatically Generate Rules Wizard allows you to create multiple rules at one time. You can either select a folder and let the wizard create rules for the relevant files within that folder or in case of packaged apps let the wizard create rules for all packaged apps installed on the computer. You can also specify the user or group to which to apply the rules. This wizard automatically generates allow rules only.Additional considerationsBy default, AppLocker rules do not allow users to open or run any files that are not specifically allowed. Administrators should maintain an up-to-date list of allowed applications.There are two types of AppLocker conditions that do not persist following an update of an application: File hash condition. File hash rule conditions can be used with any application because a cryptographic hash value of the application is generated at the time the rule is created. However, the hash value is specific to that exact version of the application. If there are several versions of the application in use within the organization, you need to create file hash conditions for each version in use and for any new versions that are released.A publisher condition with a specific product version set. If you create a publisher rule condition that uses the Exactly version option, the rule cannot persist if a new version of the application is installed. A new publisher condition must be created, or the version must be edited in the rule to be made less specific.If an application is not digitally signed, you cannot use a publisher rule condition for that application.AppLocker rules cannot be used to manage computers running a Windows operating system earlier than Windows Server 2008 R2 or Windows 7. Software Restriction Policies must be used instead. If AppLocker rules are defined in a Group Policy Object (GPO), only those rules are applied. To ensure interoperability between Software Restriction Policies rules and AppLocker rules, define Software Restriction Policies rules and AppLocker rules in different GPOs.The packaged apps and packaged apps installer rule collection is available only on Windows Server 2012 and Windows 8.When the rules for the Executable rule collection are enforced and the packaged apps and packaged app installers rule collection does not contain any rules, no packaged apps and packaged app installers are allowed to run. In order to allow any packaged apps and packaged app installers you must create rules for the packaged apps and packaged app installers rule collection.When an AppLocker rule collection is set to Audit only, the rules are not enforced. When a user runs an application that is included in the rule, the application is opened and runs normally, and information about that application is added to the AppLocker event log.A custom configured URL can be included in the message that is displayed when an application is blocked.Expect an increase in the number of Help Desk calls initially because of blocked applications until users understand that they cannot run applications that are not allowed.AppLocker Overview [Client]
표시: