이전

다음

예제 - Azure에서 실행되는 Windows Server 2016 VM에서 AppLocker 사용

완료됨

귀하는 Contoso에서 근무하는 선임 관리자로 Azure Virtual Desktop 환경에서 향후 배포에 대해 Microsoft AppLocker를 테스트하라는 요청을 받았습니다. 기업에서 이 프로세스는 일반적으로 그룹 정책 개체, Intune 또는 Configuration Manager를 통해 수행됩니다. 이 실습에는 이러한 도구나 Active Directory 도메인 컨트롤러에 대한 액세스는 포함되지 않습니다.

이 실습에서는 Azure에서 실행되는 Windows Server 2016 VM을 사용합니다. 이 환경은 연구소용 Azure Virtual Desktop 환경이 아니기 때문에 Windows 10 Enterprise를 사용할 수 없습니다. 다음 작업을 수행할 수 있습니다.

• Azure Cloud Shell을 엽니다.
• 리소스 그룹을 생성합니다.
• Windows Server 2016 VM을 배포합니다.
• VM에 연결합니다.
• 표준 사용자를 추가합니다.
• AppIDsrv 서비스를 사용하도록 설정합니다.
• Internet Explorer 보안 강화 구성을 사용하지 않습니다.
• Visual Studio Code 2019를 다운로드하여 설치합니다.
• AppLocker를 사용하도록 설정합니다.
• 기본 AppLocker 규칙을 사용하도록 설정합니다.
• 배포된 Windows Server 2016 VM에서 AppLocker 구성을 테스트합니다.
• 리소스를 정리합니다.
• AppLocker 사용에 대한 데모를 시도합니다.

참고

이 실습 단원을 완료하려면 Azure 구독이 활성화되어 있어야 합니다. 실습을 수행할 경우 Azure 구독에 비용이 발생할 수 있습니다. 비용을 추정하려면 Windows Virtual Machines 가격 을 참조하세요. 이 실습에서 설명하는 단계는 Windows Server 2016 환경에 대한 것입니다.

Azure에 VM을 정의하고 배포하는 방법은 여러 가지가 있습니다. 이 실습은 Azure Cloud Shell의 Azure CLI를 사용합니다.

Azure Cloud Shell 열기

1. Azure 자격 증명을 사용하여 Azure Portal에 로그인합니다.
2. 검색 상자 옆에 있는 Cloud Shell 아이콘을 선택하세요. Azure Cloud Shell 시작 배너가 열립니다.
3. 마운트된 저장소가 없으며 구독을 선택하고 저장소를 생성하라는 메시지가 표시될 수 있습니다. 제품을 선택하고 메시지가 표시되면 저장소 만들기를선택하세요.
4. Azure Cloud Shell 터미널 창에서 PowerShell을 환경으로 선택하세요.

리소스 그룹 만들기

이제 리소스 그룹을 생성해야 합니다. Azure 리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. 다음 예에서는 westus 위치에 myResourceGroup라는 리소스 그룹을 생성합니다. 위치에 따라 다른 옵션을 선택할 수 있습니다.

1. PowerShell CLI에 다음 명령을 입력합니다.

az group create -n myResourceGroup -l westus

1. 다음 명령을 사용하여 새 리소스 그룹을 확인하세요. 이 명령은 myResourceGroup이라는 헤드라인 등록의 Azure 리소스 그룹을 가져옵니다.

Get-AZResourceGroup -Name myResourceGroup

Windows Server 2016 VM 배포

3. CLI 창에 다음 명령을 입력합니다.

az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

1. 관리자 암호를 입력하고 메시지가 나타나면 확인합니다.

2. 실행 중 메시지가 나타나면 시스템을 배포하는 중입니다. Azure 리소스는 배포하는 데 2-3분이 걸립니다.

   프로세스가 완료되면 다음 출력이 나타납니다.

   {- Finished ..
    "fqdns": "",
    "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
    "location": "westus",
    "macAddress": "00-0D-3A-5A-75-FA",
    "powerState": "VM running",
    "privateIpAddress": "10.0.0.4",
    "publicIpAddress": "65.52.124.71", 
    "resourceGroup": "myResourceGroup",
    "zones": ""
   }
   

3. 원격 데스크톱 연결의 공용 주소를 사용합니다. 관리자 암호가 포함된 주소를 기록해 두세요.

VM에 연결합니다.

다음 단계에 따라 로컬 컴퓨터에서 원격 데스크톱 세션을 만들 수 있습니다. IP 주소를 VM의 공용 IP 주소로 바꿉니다. 메시지가 표시되면 PowerShell 명령에 지정된 관리자 사용자 이름과 관련 암호를 입력합니다.

1. Windows 데스크톱의 경우 검색 창에 msc를 입력하고 원격 데스크톱 연결 앱을 선택합니다.
2. 옵션 표시를 선택합니다. VM의 IP 주소와 관리자 자격 증명을 입력한 다음 연결을 선택합니다. 로그인 구성을 저장하지 않습니다.
3. 원격 시스템의 ID를 확인할 수 없습니다. 그래도 연결하시겠습니까?라는 메시지가 표시되면 예를 선택하세요.

표준 사용자를 추가합니다.

다음 단계는 표준 사용자를 myVM에 추가하는 것입니다.

1. 이제 Windows 서버 관리자를 사용할 수 있습니다. 그렇지 않으면 시작을 선택한 다음 서버 관리자를 선택하세요.
2. 대시보드에서 도구를 선택한 다음 컴퓨터 관리를 선택합니다.
3. 시스템 도구에서 로컬 사용자 및 그룹을 선택하세요. 사용자를 마우스 오른쪽 버튼으로 클릭하거나 바로 가기 메뉴를 활성화한 다음 새 사용자를 선택하세요.
4. 사용자 이름, 전체 이름 및 설명을 입력합니다. 암호를 입력하고 확인한 후 다음 로그인 시 사용자가 암호를 변경해야 함 확인란의 선택을 취소합니다.
5. 만들기를 선택한 다음 닫기를 선택하세요.
6. 그룹 옵션을 선택한 다음 원격 데스크톱 사용자를 검색하세요.
7. 원격 데스크톱 사용자를 마우스 오른쪽 버튼으로 클릭하거나 바로 가기 메뉴를 활성화한 다음 그룹에 추가를 선택합니다.
8. 원격 데스크톱 사용자 속성 대화 상자에서 추가을 선택하세요.
9. 이전에 만든 표준 사용자를 이 그룹에 추가합니다.
10. 확인을 선택합니다.
11. 컴퓨터 관리 콘솔을 닫습니다.

AppIDsrv 서비스를 사용하도록 설정합니다.

응용 프로그램 ID 서비스(AppIDsrv)는 앱의 ID를 결정하고 확인합니다. 이 서비스를 중지하면 AppLocker 정책이 시행되지 않습니다.

1. 작업 표시줄을 마우스 오른쪽 단추로 클릭한 다음 작업 관리자를 선택하여 작업 관리자를 시작합니다.

2. 자세한 정보를 선택한 다음 서비스 탭을 선택하세요.

3. AppIDSvc가 표시될 때까지 스크롤을 아래로 내립니다. 마우스 오른쪽 단추로 클릭한 다음 시작을 선택하세요.

   이제 AppIDsrv 서비스의 상태가 실행 중이어야 합니다.

4. 작업 관리자를 닫습니다.

Internet Explorer 보안 강화 구성을 사용하지 않습니다.

AppLocker의 기능을 표시하려면 향상된 보안 구성을 사용하지 않도록 설정해야 합니다. 이 보호는 Windows Server 2016의 Internet Explorer에서 기본적으로 실행됩니다. 보안 강화 구성이 비활성화되어 있으면 인터넷에 대한 액세스가 확인되지 않습니다.

1. 서버 관리자에서 로컬 서버를 선택하세요.
2. 속성 패널에서 IE 강화된 보안 구성을 찾아 켜기 링크를 선택합니다.
3. 관리자와 사용자 모두에 대해 끄기 버튼을 선택하여 강화된 보안 구성을 끕니다.
4. Internet Explorer를 시작합니다. Internet Explorer 보안 강화 구성이 사용되도록 설정되지 않았습니다라는 메시지가 표시됩니다.

Visual Studio Code 2019를 다운로드하여 설치합니다.

1. Visual Studio 다운로드 페이지에서 Visual Studio 2019 커뮤니티 버전을 다운로드하여 설치합니다. 이 버전은 무료입니다.
2. Visual Studio.exe 파일을 실행하거나 저장할지 묻는 메시지가 표시되면 실행을 선택합니다.
3. 설치하는 동안 모든 기본값을 사용합니다. 설치하는 동안 메시지가 표시되면 계속 및 설치을 선택합니다. 이 실습을 위해 추가 구성 요소를 설치할 필요가 없습니다.
4. Visual Studio를 열어 실행할 수 있는지 확인합니다. 바탕 화면이나 작업 표시줄에는 기본적으로 바로 가기가 없습니다. 시작 메뉴의 최근에 추가된 항목에서 Visual Studio를 확인할 수 있습니다.
5. Visual Studio를 닫습니다.

AppLocker 사용

1. 서버 관리자에서 도구를 선택한 다음 로컬 보안 정책을 선택합니다.

2. 보안 설정 에서 응용 프로그램 제어 정책을 선택하세요.

3. 응용 프로그램 제어 정책을 확장한 다음 AppLocker를 선택합니다. AppLocker 구성 인터페이스가 나타납니다.

4. 규칙 시행 구성을 선택합니다. AppLocker 속성 인터페이스를 사용할 수 있게 됩니다.

5. 적용 탭에서는 이러한 기본 규칙을 사용할 수 없습니다. 실행 파일 규칙: 구성됨 확인란을 선택하여 실행 파일 규칙을 사용하도록 설정합니다.

   참고

   설정이 감사 전용이 아니라규칙 적용으로 설정되어 있는지 확인합니다. 감사만 설정으로 인해 응용 프로그램이 차단되지 않으며 이 설정을 선택한 경우 실습이 기록되지 않을 수 있습니다.

6. Windows Installer 규칙, 스크립트 규칙 및 패키지 응용 프로그램 규칙 에 대해 이전 단계를 반복합니다.

7. 확인을 선택합니다.

기본 AppLocker 규칙을 사용하도록 설정합니다.

1. 로컬 보안 정책 콘솔의 보안 설정>응용 프로그램 제어 정책>AppLocker에서 패키지된 앱 규칙을 마우스 오른쪽 단추로 클릭합니다. 그런 다음 기본 규칙 만들기를 선택합니다.

   (기본 규칙) 서명된 모든 패키지 앱이 오른쪽 패널에 표시되어야 합니다.

2. 실행 가능한 규칙에 대해 이전 단계를 반복합니다. 생성된 기본 규칙을 확인해야 합니다.

3. 왼쪽 창에서 실행 가능 규칙 을 마우스 오른쪽 버튼으로 누른 다음 새 규칙 만들기를 선택하세요.

4. 실행 파일 규칙 만들기 패널이 나타납니다. 다음을 선택하세요.

5. 작업에서 거부를 선택합니다.

6. 선택을 클릭합니다.

7. 사용자 또는 그룹 선택 패널이 나타납니다. 선택할 개체 이름 입력란에 이전에 생성한 표준 사용자 이름을 입력합니다.

8. 이름 확인을 선택합니다. myVM\"표준 사용자 로그인 이름"이 표시됩니다.

9. 확인 버튼을 선택합니다.

10. 다음을 선택하고 경로를 선택한 후 다음을 선택합니다.

11. 폴더 찾아보기를 선택하세요. 폴더 찾아보기 파일 탐색기가 나타납니다.

12. 프로그램 파일(x86)>Microsoft Visual Studio>2019를 선택합니다. 그런 다음 확인을 선택합니다.

13. 경로는 이제 %PROGRAMFILES%\Microsoft Visual Studio\2019입니다. 다음을 선택하세요.

14. 예외 패널에서 다음을 선택하세요.

15. 이름 및 설명 패널에서 만들기를 선택합니다.

    이제 실행 가능 규칙 패널에 새 거부 규칙이 표시됩니다.

16. 로컬 보안 정책 창을 닫습니다.

Windows Server 2016 VM에서 AppLocker 구성 테스트

1. 구성한 배포 Windows Server VM에서 로그아웃한 다음 이전에 생성한 표준 사용자 계정을 사용하여 로그인합니다.

   로그아웃하면 원격 데스크톱 세션이 닫힙니다. 앞에서 설명한 것처럼 다른 원격 데스크톱 세션을 시작하고 원격 데스크톱 클라이언트를 통해 다시 로그인해야 합니다.

2. 시작 메뉴에서 Visual Studio 2019를 선택합니다.

   이 앱은 시스템 관리자에 의해 차단되었습니다라는 메시지가 표시됩니다.

프로덕션 환경에서 AppLocker 규칙을 적용하면 허용된 규칙에 포함되지 않은 모든 앱의 실행이 차단됩니다.

리소스를 정리합니다.

다음 명령을 사용하여 리소스 그룹, VM 및 관련 리소스가 더 이상 필요하지 않은 모든 리소스를 제거할 수 있습니다. 리소스 그룹 이름을 사용자 환경에서 생성한 리소스 그룹 이름(myResourceGroup)으로 바꿉니다. 이러한 리소스를 삭제하지 않도록 선택하면 리소스와 관련된 비용이 발생할 수 있습니다.

az group delete --name myResourceGroup

이 프로세스는 2~3분 정도 걸립니다.

데모: Azure Virtual Desktop 환경에서 AppLocker 사용

다음 비디오에서는 AppLocker를 사용하여 Azure Virtual Desktop 배포를 보호하는 방법을 보여 줍니다.

계속