AppLocker란?
적용 대상:
- Windows 10
- Windows 11
- Windows Server 2016 이상
참고
응용 프로그램 제어의 일부 Windows Defender 특정 버전에서만 사용할 Windows 있습니다. 자세한 내용은 응용 프로그램 Windows Defender 가용성을 확인하십시오.
IT 전문가를 위한 이 항목에서는 AppLocker가 무엇일지와 해당 기능이 소프트웨어 제한 정책과 어떻게 다른지 설명하고 있습니다.
AppLocker는 소프트웨어 제한 정책의 앱 제어 기능을 향상합니다. AppLocker에는 파일의 고유 ID에 따라 앱이 실행되는 것을 허용하거나 거부하고 해당 앱을 실행할 수 있는 사용자 또는 그룹을 지정하는 규칙을 만들 수 있는 새로운 기능 및 확장이 포함되어 있습니다.
AppLocker를 사용하여 다음을 할 수 있습니다.
- 실행 파일(.exe 및 .com), 스크립트(.js, .ps1, .vbs, .cmd 및 .bat), Windows Installer 파일(.mst, .msi 및 .msp), DLL 파일(.dll 및 .ocx), 패키지된 앱 및 패키지된 앱 설치 관리자(appx)를 제어합니다.
- 게시자, 제품 이름, 파일 이름 및 파일 버전을 포함하여 디지털 서명에서 파생된 파일 특성을 기반으로 규칙을 정의합니다. 예를 들어 업데이트를 통해 영구적으로 유지되는 게시자 특성을 기반으로 규칙을 만들거나 특정 버전의 파일에 대한 규칙을 만들 수 있습니다.
- 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.
- 규칙에 대한 예외를 만듭니다. 예를 들어 레지스트리 편집기(Windows)를 제외한 모든 Windows 규칙을 만들 수 Regedit.exe.
- 감사 전용 모드를 사용하여 정책을 배포하고 정책 적용 전에 정책의 영향을 파악합니다.
- 규칙 가져오기 및 내보내기. 가져오기 및 내보내기는 전체 정책에 영향을 미치게 합니다. 예를 들어 정책을 내보내면 규칙 컬렉션의 적용 설정을 포함하여 모든 규칙 컬렉션의 모든 규칙을 내보낼 수 있습니다. 정책을 가져오는 경우 기존 정책의 모든 조건을 덮어 덮어 들이게 됩니다.
- cmdlet을 사용하여 AppLocker 규칙을 Windows PowerShell 간소화합니다.
AppLocker는 관리 오버헤드를 줄이고 사용자가 승인되지 않은 앱을 실행하여 처리되는 지원 센터 호출 수를 줄여 컴퓨팅 리소스 관리 비용을 줄이는 데 도움이 됩니다.
AppLocker에서 사용하는 응용 프로그램 제어 시나리오에 대한 자세한 내용은 AppLocker 정책 사용 시나리오를 참조하세요.
소프트웨어 제한 정책과 AppLocker의 기능은 서로 다른가요?
기능 차이점
다음 표에서는 AppLocker와 소프트웨어 제한 정책을 비교합니다.
| 기능 | 소프트웨어 제한 정책 | AppLocker |
|---|---|---|
| 규칙 범위 | 모든 사용자 | 특정 사용자 또는 그룹 |
| 제공된 규칙 조건 | 파일 해시, 경로, 인증서, 레지스트리 경로 및 인터넷 영역 | 파일 해시, 경로 및 게시자 |
| 제공된 규칙 유형 | 보안 수준으로 정의되는 경우: |
허용 및 거부 |
| 기본 규칙 동작 | 무제한 | 암시적 거부 |
| 감사 전용 모드 | 아니오 | 예 |
| 한 번씩 여러 규칙을 만드는 마법사 | 아니오 | 예 |
| 정책 가져오기 또는 내보내기 | 아니오 | 예 |
| 규칙 컬렉션 | 아니오 | 예 |
| Windows PowerShell 지원 | 아니오 | 예 |
| 사용자 지정 오류 메시지 | 아니오 | 예 |
응용 프로그램 제어 함수 차이점
다음 표에서는 SRP(소프트웨어 제한 정책) 및 AppLocker의 응용 프로그램 제어 기능을 비교합니다.
| 응용 프로그램 제어 함수 | SRP | AppLocker |
|---|---|---|
| 운영 체제 범위 | SRP 정책은 XP 및 Windows Server 2003에서 Windows 운영 체제에 적용할 Windows 있습니다. | AppLocker 정책은 AppLocker를사용하기 위해 요구 사항에 나열된 지원되는 운영 체제 버전 및 버전에만 적용됩니다. 그러나 이러한 시스템은 SRP도 사용할 수 있습니다. 참고: SRP 및 AppLocker 규칙에 서로 다른 GOS를 사용하세요. |
| 사용자 지원 | SRP를 사용하면 사용자가 응용 프로그램을 관리자로 설치할 수 있습니다. | AppLocker 정책은 그룹 정책을 통해 유지 관리하며 장치의 관리자만 AppLocker 정책을 업데이트할 수 있습니다. AppLocker는 사용자에게 도움말을 위해 웹 페이지로 연결하기 위해 오류 메시지를 사용자 지정할 수 있도록 허용합니다. |
| 정책 유지 관리 | SRP 정책은 로컬 보안 정책 스냅인 또는 GPMC(그룹 정책 관리 콘솔)를 사용하여 업데이트됩니다. | AppLocker 정책은 로컬 보안 정책 스냅인 또는 GPMC를 사용하여 업데이트됩니다. AppLocker는 관리 및 유지 관리에 도움을 줄 수 있는 소수의 PowerShell cmdlet을 지원합니다. |
| 정책 관리 인프라 | SRP 정책을 관리하기 위해 SRP는 도메인 내의 그룹 정책을 사용하며 로컬 컴퓨터에는 로컬 보안 정책 스냅인을 사용 합니다. | AppLocker 정책을 관리하기 위해 AppLocker는 도메인 내의 그룹 정책과 로컬 컴퓨터에 대한 로컬 보안 정책 스냅인을 사용 합니다. |
| 악성 스크립트 차단 | 악성 스크립트를 차단하는 규칙은 조직에서 디지털 서명한 스크립트를 제외하고 Windows Script Host와 연결된 모든 스크립트를 실행하지 못하게 합니다. | AppLocker 규칙은 .ps1, .cmd, .vbs 및 .bat 파일 형식을 제어할 수 .js. 또한 특정 파일이 실행될 수 있도록 예외를 설정할 수 있습니다. |
| 소프트웨어 설치 관리 | SRP는 모든 설치 관리자 Windows 설치하지 못하게 할 수 있습니다. 이 .msi 디지털 서명된 파일을 설치할 수 있습니다. | Windows Installer 규칙 컬렉션은 클라이언트 컴퓨터 및 서버에 대한 파일 설치를 제어할 수 있도록 Windows Installer 파일 형식(.mst, .msi 및 .msp)에 대해 만들어진 규칙 집합입니다. |
| 컴퓨터의 모든 소프트웨어 관리 | 모든 소프트웨어는 하나의 규칙 집합에서 관리됩니다. 기본적으로 장치에서 모든 소프트웨어를 관리하기 위한 정책은 Windows 폴더, Program Files 폴더 또는 하위 폴더에 설치된 소프트웨어를 제외하고 사용자 장치의 모든 소프트웨어를 사용할 수 없습니다. | SRP와 달리 각 AppLocker 규칙 컬렉션은 허용되는 파일 목록으로 기능합니다. 규칙 컬렉션 내에 나열된 파일만 실행할 수 있습니다. 이 구성을 통해 관리자는 AppLocker 규칙이 적용될 때 발생할 원인을 보다 쉽게 확인할 수 있습니다. |
| 사용자마다 다른 정책 | 규칙은 특정 장치의 모든 사용자에게 균일하게 적용됩니다. | 여러 사용자가 공유하는 장치에서 관리자는 설치된 소프트웨어에 액세스할 수 있는 사용자 그룹을 지정할 수 있습니다. AppLocker를 사용하여 관리자는 특정 규칙을 적용할 사용자를 지정할 수 있습니다. |
관련 항목
피드백
다음에 대한 사용자 의견 제출 및 보기