AppLocker
적용 대상
- Windows 10
- Windows 11
- Windows Server 2016 이상
참고
Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.
이 항목에서는 AppLocker에 대한 설명을 제공하며 조직에서 AppLocker 응용 프로그램 제어 정책을 배포하여 얻을 수 있는 이점이 있는지 결정하는 데 도움이 될 수 있습니다. AppLocker를 사용하여 사용자가 실행할 수 있는 앱 및 파일을 제어할 수 있습니다. 실행 파일, 스크립트, Windows Installer 파일, DLL(동적 연결 라이브러리), 패키지된 앱 및 패키지된 앱 설치 관리자가 포함되어 있습니다.
참고
AppLocker는 운영 체제의 시스템 계정으로 실행되는 프로세스를 제어할 수 없습니다.
AppLocker로 다음을 수행할 수 있습니다.
- 게시자 이름(디지털 서명에서 파생), 제품 이름, 파일 이름 및 파일 버전 등 앱 업데이트 간에 유지되는 파일 속성에 따라 규칙을 정의합니다. 또한 파일 경로 및 해시에 따라 규칙을 만들 수도 있습니다.
- 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.
- 규칙에 대한 예외를 만듭니다. 예를 들어 모든 사용자가 레지스트리 편집기(regedit.exe)를 제외한 모든 Windows 이진 파일을 실행할 수 있도록 규칙을 만들 수 있습니다.
- 감사 전용 모드를 사용하여 정책을 배포하고 정책 적용 전에 정책의 영향을 파악합니다.
- 준비 서버에서 규칙을 만들고 테스트한 다음 프로덕션 환경으로 내보내고 그룹 정책 개체로 가져옵니다.
- Windows PowerShell을 사용하여 AppLocker 규칙 만들기 및 관리를 단순화합니다.
AppLocker는 관리 오버헤드를 줄이고, 사용자가 승인되지 않은 앱을 실행해 발생하는 기술 지원팀의 통화 횟수를 줄임으로써 조직의 컴퓨팅 리소스 관리 비용을 절감하는 데 유용합니다. AppLocker는 다음 앱 보안 시나리오를 다룹니다.
응용 프로그램 인벤토리
AppLocker에는 모든 앱 액세스 활동이 이벤트 로그에 등록되는 감사 전용 모드에서 정책을 적용할 수 있는 기능이 있습니다. 추가 분석을 위해 이러한 이벤트를 수집할 수 있습니다. 또한 Windows PowerShell cmdlet으로 이 데이터를 프로그래밍 방식으로 분석할 수 있습니다.
사용자 동의 없이 설치된 소프트웨어로부터 보호
AppLocker는 허용된 앱 목록에서 제외된 앱이 실행되는 것을 거부할 수 있습니다. AppLocker 규칙이 프로덕션 환경에 적용되면 허용된 규칙에 포함되지 않은 모든 앱의 실행이 차단됩니다.
라이선싱 적합성
AppLocker를 사용하여 사용 허가되지 않은 소프트웨어의 실행을 차단하고 권한 있는 사용자에게 사용이 허가된 소프트웨어를 제한하는 규칙을 만들 수 있습니다.
소프트웨어 표준화
AppLocker 정책은 비즈니스 그룹 내 컴퓨터에서 지원되거나 승인된 앱만 실행되도록 구성할 수 있습니다. 이 구성은 더 균일한 앱 배포를 허용합니다.
관리 효율성 향상
AppLocker에는 이전 소프트웨어 제한 정책에 비해 관리 효율성이 많이 향상되었습니다. 소프트웨어 제한 정책에 비해 개선된 기능으로는 정책 가져오기/내보내기, 여러 파일에서의 규칙 자동 생성, 감사 전용 모드 배포, Windows PowerShell cmdlet 등이 있습니다.
AppLocker를 사용해야 하는 경우
대부분의 조직에서 정보는 가장 중요한 자산이므로 승인된 사용자만 정보에 액세스할 수 있도록 해야 합니다. AD RMS(Active Directory Rights Management Services), ACL(액세스 제어 목록)과 같은 액세스 제어 기술을 통해 사용자가 액세스하는 항목을 제어할 수 있습니다.
그러나 사용자가 프로세스를 실행할 때 이 프로세스에서는 사용자 소유의 데이터에 대해 동일한 액세스 수준을 사용합니다. 따라서 사용자가 의도적으로 또는 실수로 악성 소프트웨어를 실행하는 경우 중요한 정보가 쉽게 삭제되거나 조직 외부로 전송될 수 있습니다. AppLocker를 통해 사용자 또는 그룹이 실행할 수 있는 파일을 제한하여 이런 유형의 보안 위반을 줄일 수 있습니다. 소프트웨어 게시자는 관리자가 아닌 사용자가 설치할 수 있는 더 많은 앱을 만들기 시작했습니다. 이 권한은 조직의 서면 보안 정책을 위태롭게 하고 사용자가 앱을 설치할 수 없는 기존 앱 제어 솔루션을 우회할 수 있습니다. AppLocker는 사용자별 앱이 실행되지 않도록 허용된 승인된 파일 및 앱 목록을 만듭니다. AppLocker는 DLL을 제어할 수 있으므로 ActiveX 컨트롤을 설치하고 실행할 수 있는 사용자를 제어하는 것도 유용합니다.
AppLocker는 현재 그룹 정책을 사용하여 PC를 관리하는 조직에 적합합니다.
다음은 AppLocker가 사용될 수 있는 시나리오 예제입니다.
- 조직의 보안 정책을 통해 사용이 허가된 소프트웨어만 사용하도록 규정하여 사용이 허가되지 않은 소프트웨어를 사용자들이 실행하지 못하도록 해야 하고 또한 권한 있는 사용자가 사용이 허가된 소프트웨어를 사용하도록 제한해야 하는 경우
- 조직에서 앱을 더 이상 지원하지 않아 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우
- 사용자 동의 없이 설치된 소프트웨어가 사용 환경에서 사용될 수 있는 가능성이 높아 이 위협을 줄여야 하는 경우
- 앱에 대한 라이선스가 해지되었거나 조직에서 만료되었으므로 모든 사용자가 앱이 사용되지 않도록 해야 합니다.
- 새 앱 또는 새 버전의 앱이 배포되어 사용자들이 이전 버전을 실행하지 못하도록 해야 하는 경우
- 특정 소프트웨어 도구는 조직 내에서 허용되지 않으며 특정 사용자만 해당 도구에 액세스할 수 있어야 합니다.
- 단일 사용자 또는 소규모 사용자 그룹이 다른 모든 사용자에 대해 거부된 특정 앱을 사용해야 하는 경우
- 조직의 일부 컴퓨터를 서로 다른 소프트웨어 사용 요구를 가진 사람들이 공유하며 특정 앱을 보호해야 하는 경우
- 다른 방법 외에도 앱 사용을 통해 중요한 데이터에 대한 액세스를 제어해야 하는 경우
참고
AppLocker는 보안 경계가 아닌 심층 방어 보안 기능입니다. Windows Defender 애플리케이션 제어는 위협으로부터 강력한 보호를 제공하는 것이 목표이고 보안 기능이 이 목표를 달성하지 못하도록 하는 설계상 제한이 없을 것으로 예상되는 경우 사용해야 합니다.
AppLocker를 통해 조직 내 디지털 자산을 보호할 수 있고, 악성 소프트웨어가 사용자 환경에 도입되는 위협을 줄이며, 응용 프로그램 제어 관리 및 응용 프로그램 제어 정책 유지 관리를 개선할 수 있습니다.
AppLocker 설치
AppLocker는 엔터프라이즈 수준의 Windows 버전에 포함됩니다. 단일 컴퓨터 또는 컴퓨터 그룹에 대한 AppLocker 규칙을 작성할 수 있습니다. 단일 컴퓨터의 경우 로컬 보안 정책 편집기(secpol.msc)를 사용하여 규칙을 작성할 수 있습니다. 컴퓨터 그룹의 경우 GPMC(그룹 정책 관리 콘솔)를 사용하여 그룹 정책 개체 내에서 규칙을 작성할 수 있습니다.
참고
GPMC는 원격 서버 관리 도구를 설치하여 Windows를 실행하는 클라이언트 컴퓨터에서만 사용할 수 있습니다. Windows Server를 실행하는 컴퓨터에서 그룹 정책 관리 기능을 설치해야 합니다.
Server Core에서 AppLocker 사용
Server Core의 AppLocker 설치는 지원되지 않습니다.
가상화 고려 사항
위에 나와 있는 시스템 요구 사항이 모두 충족된다면 가상화된 Windows 인스턴스를 사용하여 AppLocker 정책을 관리할 수 있습니다. 또한 가상화된 인스턴스에서 그룹 정책도 실행할 수 있습니다. 그러나 가상화된 인스턴스가 제거되거나 오류가 발생하는 경우에는 만들어 유지 관리하던 정책이 손실될 위험이 있습니다.
보안 고려 사항
응용 프로그램 제어 정책은 로컬 컴퓨터에서 실행되는 앱을 지정합니다.
악성 소프트웨어는 다양한 형식을 취할 수 있어 사용자가 안전하게 실행할 수 있는 소프트웨어를 구분하기가 어렵습니다. 악성 소프트웨어는 활성화되면 하드 디스크 드라이브의 콘텐츠를 손상시키거나, 요청을 통해 네트워크 서비스 장애를 유발하여 DoS(서비스 거부 공격)를 수행하거나, 인터넷에 비밀 정보를 보내거나, 컴퓨터 보안을 손상시킬 수 있습니다.
이러한 상황을 방지하려면 조직의 PC에서 응용 프로그램 제어 정책을 적절하게 디자인하고 랩 환경에서 정책을 철저하게 테스트한 후에 프로덕션 환경으로 배포해야 합니다. 어떤 소프트웨어를 컴퓨터에서 실행하도록 허용할지 제어할 수 있으므로 AppLocker를 앱 제어 전략에 포함할 수 있습니다.
응용 프로그램 제어 정책 구현에 결함이 있으면 필요한 응용 프로그램을 사용할 수 없거나 악성 소프트웨어 또는 의도하지 않은 소프트웨어가 실행될 수 있습니다. 따라서 조직에서 이러한 정책의 구현을 관리하고 문제를 해결할 수 있는 충분한 리소스를 헌납하는 것이 중요합니다.
특정 보안 문제에 대한 자세한 내용은 AppLocker에 대한 보안 고려 사항을 참조하세요.
AppLocker를 사용하여 응용 프로그램 제어 정책을 만드는 경우 다음 보안 관련 사항을 고려해야 합니다.
- AppLocker 정책을 설정할 권한이 있는 사람은 누구인가요?
- 정책 적용에 대한 유효성 검사는 어떻게 하나요?
- 어떤 이벤트를 감사해야 하나요?
다음 표에는 보안 계획 시 참조할 수 있도록 AppLocker가 설치된 PC의 기본 설정이 나와 있습니다.
| 설정 | 기본값 |
|---|---|
| 만들어진 계정 | 없음 |
| 인증 방법 | 해당 없음 |
| 관리 인터페이스 | Microsoft Management Console 스냅인, 그룹 정책 관리 및 Windows PowerShell을 사용하여 AppLocker를 관리할 수 있습니다. |
| 열린 포트 | 없음 |
| 필요한 최소 권한 | 로컬 컴퓨터의 관리자. 즉, 도메인 관리자 또는 그룹 정책 개체를 만들고 편집하고 배포할 수 있는 권한 집합입니다. |
| 사용되는 프로토콜 | 해당 없음 |
| 예약된 작업 | Appidpolicyconverter.exe를 예약된 작업에 넣어 요청에 따라 실행합니다. |
| 보안 정책 | 필요한 작업이 없습니다. AppLocker가 보안 정책을 만듭니다. |
| 필요한 시스템 서비스 | 응용 프로그램 ID 서비스(appidsvc)가 LocalServiceAndNoImpersonation에서 실행됩니다. |
| 자격 증명 저장소 | 없음 |
이 섹션의 내용
| 항목 | 설명 |
|---|---|
| AppLocker 관리 | IT 전문가를 위한 이 항목에서는 AppLocker 정책을 관리할 때 사용하는 특정 절차에 대한 링크를 제공합니다. |
| AppLocker 디자인 가이드 | IT 전문가를 위한 이 항목에서는 AppLocker를 사용하여 응용 프로그램 제어 정책을 배포하는 데 필요한 디자인 및 계획 단계에 대해 설명합니다. |
| AppLocker 배포 가이드 | IT 전문가를 위한 이 항목에서는 개념을 소개하고 AppLocker 정책 배포에 필요한 단계에 대해 설명합니다. |
| AppLocker 기술 참조 | IT 전문가를 위한 이 개요 항목에서는 기술 참조의 항목에 대한 링크를 제공합니다. |
피드백
다음에 대한 사용자 의견 제출 및 보기