피드백

Windows Defender 애플리케이션 제어 및 AppLocker 개요

  • 아티클
  • 읽는 데 7분 걸림

적용 대상:

  • Windows 10
  • Windows 11
  • Windows Server 2016 이상

참고

WDAC(Windows Defender Application Control)의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

Windows 10 및 Windows 11 조직의 특정 시나리오 및 요구 사항에 따라 애플리케이션 제어에 사용할 수 있는 두 가지 기술인 Windows Defender WDAC(애플리케이션 제어) 및 AppLocker가 포함됩니다.

Windows Defender Application Control

Windows Defender Application Control은 Windows 10 도입되었으며 조직에서 Windows 클라이언트에서 실행할 수 있는 드라이버와 애플리케이션을 제어할 수 있습니다. MSRC(Microsoft Security Response Center)에서 정의 한 서비스 기준에 따라 보안 기능으로 설계되었습니다.

Windows Defender 애플리케이션 제어 정책은 관리 컴퓨터 전체에 적용되며 디바이스의 모든 사용자에게 영향을 줍니다. WDAC 규칙은 다음을 기반으로 정의할 수 있습니다.

  • 앱 및 해당 이진 파일에 서명하는 데 사용되는 코드 서명 인증서의 특성
  • 파일의 서명된 메타데이터(예: 원본 파일 이름 및 버전) 또는 파일의 해시에서 제공되는 앱의 이진 파일 특성
  • Microsoft의 지능형 보안 그래프에 의해 결정된 앱의 평판
  • 앱 및 해당 이진 파일의 설치를 시작한 프로세스의 ID(관리형 설치 관리자)
  • 앱 또는 파일이 시작되는 경로(Windows 10 버전 1903부터 시작)
  • 앱 또는 이진 파일을 시작한 프로세스

Windows 10 버전 1709 이전에는 Windows Defender Application Control을 CCI(구성 가능한 코드 무결성)라고 했습니다. WDAC는 현재 소멸된 용어 "Device Guard"를 구성하는 기능 중 하나이기도 합니다.

WDAC 시스템 요구 사항

Windows Defender WDAC(애플리케이션 제어) 정책은 모든 클라이언트 버전의 Windows 10 빌드 1903 이상 또는 Windows 11 또는 Windows Server 2016 이상에서 만들 수 있습니다.

WDAC 정책은 MDM(모바일 장치 관리) 솔루션(예: Intune; Configuration Manager 같은 관리 인터페이스)을 통해 Windows 10, Windows 11 또는 Windows Server 2016 이상을 실행하는 디바이스에 적용할 수 있습니다. ; 또는 PowerShell과 같은 스크립트 호스트입니다. 그룹 정책 Windows 10 및 Windows 11 Enterprise 버전 또는 Windows Server 2016 이상에 WDAC 정책을 배포하는 데 사용할 수도 있지만 Windows 10 엔터프라이즈가 아닌 SKU를 실행하는 디바이스에는 정책을 배포할 수 없습니다.

특정 WDAC 빌드에서 사용할 수 있는 개별 WDAC 기능에 대한 자세한 내용은 WDAC 기능 가용성을 참조하세요.

AppLocker

AppLocker는 Windows 7에서 도입되었으며 조직에서 Windows 클라이언트에서 실행할 수 있는 애플리케이션을 제어할 수 있습니다. AppLocker는 최종 사용자가 자신의 컴퓨터에서 승인되지 않은 소프트웨어를 실행하지 못하도록 하는 데 도움이 되지만 보안 기능인 서비스 기준을 충족하지 않습니다.

AppLocker 정책은 컴퓨터의 모든 사용자 또는 개별 사용자 및 그룹에 적용할 수 있습니다. AppLocker 규칙은 다음을 기반으로 정의할 수 있습니다.

  • 앱 및 해당 이진 파일에 서명하는 데 사용되는 코드 서명 인증서의 특성
  • 파일의 서명된 메타데이터(예: 원본 파일 이름 및 버전) 또는 파일의 해시에서 제공되는 앱의 이진 파일 특성
  • 앱 또는 파일이 시작되는 경로

AppLocker 시스템 요구 사항

AppLocker 정책은 Windows 운영 체제의 지원되는 버전 및 버전에서 실행되는 디바이스에만 구성하고 적용할 수 있습니다. 자세한 내용은 AppLocker 사용 요구 사항을 참조하세요. AppLocker 정책은 그룹 정책 또는 MDM을 사용하여 배포할 수 있습니다.

WDAC 또는 AppLocker를 사용할 시기 선택

일반적으로 AppLocker가 아닌 Windows Defender 애플리케이션 제어를 사용하여 애플리케이션 제어를 구현할 수 있는 고객에게 권장됩니다. WDAC는 지속적으로 개선되고 있으며 Microsoft 관리 플랫폼에서 추가 지원을 받을 예정입니다. AppLocker는 보안 수정 사항을 계속 수신하지만 새로운 기능이 개선되지는 않습니다.

그러나 경우에 따라 AppLocker가 조직에 더 적합한 기술일 수 있습니다. AppLocker는 다음 경우에 가장 적합합니다.

  • Windows OS(운영 체제) 환경이 혼합되어 있으며 Windows 10 이전 버전의 OS에 동일한 정책 컨트롤을 적용해야 합니다.
  • 공유 컴퓨터에서 다른 사용자 또는 그룹에 대해 다른 정책을 적용해야 합니다.
  • DLL 또는 드라이버와 같은 애플리케이션 파일에 애플리케이션 제어를 적용하지 않으려는 경우

일부 사용자가 특정 앱을 실행하지 못하도록 하는 것이 중요한 공유 디바이스 시나리오에 대한 사용자 또는 그룹별 규칙을 추가하기 위해 WDAC(Windows Defender Application Control)에 대한 보완으로 AppLocker를 배포할 수도 있습니다. 모범 사례로 조직에 대해 가능한 가장 제한적인 수준에서 WDAC를 적용한 다음 AppLocker를 사용하여 제한을 추가로 미세 조정할 수 있습니다.