테스트 시나리오 Application Guard

참고

organization 하드웨어 기반 격리를 테스트하는 데 사용할 수 있는 시나리오 목록을 마련했습니다.

독립 실행형 모드의 Application Guard

직원이 Application Guard에서 독립 실행형 모드를 어떻게 사용할 것인지 확인할 수 있습니다.

독립 실행형 모드에서 Application Guard를 테스트하려면

  1. Application Guard 설치합니다.

  2. 디바이스를 다시 시작하고 Microsoft Edge를 시작한 다음 메뉴에서 새 Application Guard 창을 선택합니다.

    새 Application Guard 창 설정 옵션입니다.

  3. Application Guard가 격리된 환경을 설정하는 동안 기다립니다.

    참고

    장치를 다시 시작한 후 Application Guard를 너무 빨리 시작하면 로드에 시간이 좀 더 오래 걸릴 수 있습니다. 그러나 별다른 지연이 없으면 곧바로 시작이 됩니다.

  4. 신뢰할 수는 없지만 안전한 URL(예: msn.com 사용)로 이동해서 새로운 Microsoft Edge 창이 나타나면 Application Guard를 눈으로 볼 수 있습니다.

    Application Guard 실행되는 신뢰할 수 없는 웹 사이트입니다.

엔터프라이즈 관리형 모드의 Application Guard

엔터프라이즈 관리형 모드에서 Application Guard를 설치, 설정, 활성화 및 구성하는 방법입니다.

Application Guard를 설치, 설정 및 활성화

관리 모드에서 Application Guard 사용하려면 먼저 기능을 포함하는 Windows 10 Enterprise 버전, 버전 1709 및 Windows 11 설치해야 합니다. 그런 다음, 그룹 정책을 사용하여 필요한 설정을 해야 합니다.

  1. Application Guard 설치합니다.

  2. 디바이스를 다시 시작한 다음 Microsoft Edge를 시작합니다.

  3. 그룹 정책에서 네트워크 격리를 설정합니다.

    a. Windows 아이콘을 선택하고 를 입력Group Policy한 다음 그룹 정책 편집을 선택합니다.

    b. 관리 템플릿\네트워크\네트워크 격리\클라우드에 호스팅된 엔터프라이즈 리소스 도메인 설정으로 이동합니다.

    c. 이 시나리오를 위해 엔터프라이즈 클라우드 리소스 상자에 를 입력 .microsoft.com 합니다.

    엔터프라이즈 클라우드 리소스 설정을 사용하여 편집기를 그룹 정책.

    d. 관리 템플릿\네트워크\네트워크 격리\회사 및 개인용으로 분류된 도메인 설정으로 이동합니다.

    e. 이 시나리오를 위해 중립 리소스 상자에 를 입력 bing.com 합니다.

    중립 리소스 설정을 사용하여 편집기를 그룹 정책.

  4. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\관리 모드에서 Microsoft Defender Application Guard 설정으로 이동합니다.

  5. 사용을 선택하고 옵션 1을 선택한 다음 확인을 선택합니다.

    켜기/끄기 설정을 사용하여 편집기를 그룹 정책.

    참고

    이 설정을 활성화하면 직원 장치에서 이 시나리오에서 앞서 설정한 네트워크 격리 설정을 포함하여 필요한 모든 설정이 적절하게 구성되었는지 확인됩니다.

  6. Microsoft Edge를 시작하고 를 입력합니다 https://www.microsoft.com.

    URL을 제출한 후 Application Guard 신뢰할 수 있는 것으로 표시된 도메인을 사용하고 사이트를 Application Guard 대신 호스트 PC에 직접 표시하므로 URL이 신뢰할 수 있다고 결정합니다.

    Microsoft Edge에서 실행되는 신뢰할 수 있는 웹 사이트입니다.

  7. 동일한 Microsoft Edge 브라우저에서 신뢰할 수 있거나 중립적인 사이트 목록에 포함되지 않은 URL을 입력합니다.

    URL을 제출하고 나면 Application Guard가 URL이 신뢰할 수 없다고 판단하고 요청을 하드웨어 격리 환경에 리디렉션합니다.

    Application Guard 실행되는 신뢰할 수 없는 웹 사이트입니다.

Application Guard 사용자 지정

Application Guard는 사용자가 구성을 지정하여 격리 기반의 보안과 직원 생산성 간에 적절한 균형을 도모할 수 있게 해줍니다.

Application Guard는 직원에게 다음과 같은 기본 동작을 제공합니다.

  • 호스트 PC와 격리된 컨테이너 간에 복사 및 붙여넣기가 수행되지 않습니다.

  • 격리된 컨테이너에서 인쇄가 수행되지 않습니다.

  • 격리된 컨테이너 간에 데이터 지속성이 보장되지 않습니다.

그룹 정책 내에서 엔터프라이즈에서 작동하도록 이러한 설정 각각을 변경할 수 있는 옵션이 있습니다.

적용 대상:

  • Windows 10 Enterprise 또는 Pro 버전, 버전 1803 이상
  • Windows 11 Enterprise 또는 Pro 버전

복사 및 붙여넣기 옵션

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\Microsoft Defender Application Guard 클립보드 설정 구성으로 이동합니다.

  2. 사용을 선택하고 확인을 선택합니다.

    그룹 정책 편집기 클립보드 옵션입니다.

  3. 클립보드 작동 방법을 선택합니다.

    • 격리된 세션에서 호스트 PC로 복사 및 붙여넣기

    • 호스트 PC에서 격리된 세션으로 복사 및 붙여넣기

    • 두 방향 모두에서 복사 및 붙여넣기

  4. 복사 가능한 항목을 선택합니다.

    • 호스트 PC와 격리된 컨테이너 간에는 텍스트만 복사할 수 있습니다.

    • 호스트 PC와 격리된 컨테이너 간에는 이미지만 복사할 수 있습니다.

    • 호스트 PC와 격리된 컨테이너 간에 텍스트와 이미지를 모두 복사할 수 있습니다.

  5. 확인을 선택합니다.

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\Microsoft Defender Application Guard 인쇄 설정 구성으로 이동합니다.

  2. 사용을 선택하고 확인을 선택합니다.

    그룹 정책 편집기 인쇄 옵션입니다.

  3. 설정에서 제공되는 목록에 따라 직원에게 제공해야 하는 인쇄 유형을 가장 잘 나타내는 숫자를 선택합니다. 로컬 네트워크, PDF 및 XPS 인쇄를 자유롭게 조합해서 사용할 수 있습니다.

  4. 확인을 선택합니다.

데이터 지속성 옵션

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\Microsoft Defender Application Guard 설정에 대한 데이터 지속성 허용으로 이동합니다.

  2. 사용을 선택하고 확인을 선택합니다.

    그룹 정책 편집기 데이터 지속성 옵션입니다.

  3. Microsoft Edge를 열고 신뢰할 수 없지만 안전한 URL로 이동합니다.

    격리된 세션에서 웹 사이트가 열립니다.

  4. 사이트를 즐겨찾기 목록에 추가하고 격리된 세션을 닫습니다.

  5. 로그아웃한 후 디바이스에 다시 로그인하여 Application Guard Microsoft Edge를 다시 엽니다.

    즐겨찾기 목록에 이전에 추가된 사이트가 계속 나타날 것입니다.

    참고

    Windows 11 버전 22H2부터 데이터 지속성은 기본적으로 사용하지 않도록 설정됩니다. 데이터 지속성을 허용하거나 해제하지 않으면 디바이스를 다시 시작하거나 격리된 컨테이너에서 로그인 및 로그아웃하면 재활용 이벤트가 트리거됩니다. 이 작업은 세션 쿠키 및 즐겨찾기와 같이 생성된 모든 데이터를 삭제하고 Application Guard 데이터를 제거합니다. 데이터 지속성을 활성화하면 직원이 생성한 모든 아티팩트가 컨테이너 재생 이벤트에서 보존됩니다. 그러나 이러한 아티팩트만 격리된 컨테이너에 존재하며 호스트 PC와 공유되지 않습니다. 이 데이터는 다시 시작한 후에도 Windows 10 및 Windows 11 빌드 업그레이드를 통해 유지됩니다.

    데이터 지속성을 활성화했지만 나중에 직원에 대한 데이터 지속성 지원을 중단하기로 결정한 경우에는 Windows 제공 유틸리티를 사용하여 컨테이너를 다시 설정하고 모든 개인 데이터를 삭제할 수 있습니다.

    컨테이너를 다시 설정하려면 다음 단계를 수행합니다.
    1. 명령줄 프로그램을 열고 Windows/System32로 이동합니다.
    2. 를 입력합니다 wdagtool.exe cleanup. 직원이 생성한 데이터만 유지가 되고 컨테이너 환경이 다시 설정됩니다.
    3. 를 입력합니다 wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. 직원이 생성한 모든 데이터가 삭제되는 등 컨테이너 환경이 다시 설정됩니다.

    Microsoft Edge 버전 90 이상은 더 이상 를 지원하지 않습니다 RESET_PERSISTENCE_LAYER.

적용 대상:

  • Windows 10 Enterprise 또는 Pro 버전, 버전 1803
  • Windows 11 Enterprise 또는 Pro 버전, 버전 21H2. 데이터 지속성은 기본적으로 Windows 11 버전 22H2 이상에서 사용하지 않도록 설정됩니다.

다운로드 옵션

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\파일을 다운로드하고 Microsoft Defender Application Guard 설정에서 호스트 운영 체제에 저장하도록 허용으로 이동합니다.

  2. 사용을 선택하고 확인을 선택합니다.

    그룹 정책 편집기 다운로드 옵션.

  3. 로그아웃한 후 디바이스에 다시 로그인하여 Application Guard Microsoft Edge를 다시 엽니다.

  4. Microsoft Defender Application Guard 파일을 다운로드합니다.

  5. 파일이 이 PC > 에 다운로드되어 신뢰할 수 없는 파일을 다운로드했는지 확인합니다 > .

하드웨어 가속 옵션

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\Microsoft Defender Application Guard 설정에 대한 하드웨어 가속 렌더링 허용으로 이동합니다.

  2. 사용을 선택하고 확인을 선택합니다.

    그룹 정책 편집기 하드웨어 가속 옵션입니다.

  3. 이 기능을 사용하도록 설정했으면 Microsoft Edge를 열고 비디오, 3D 또는 기타 그래픽 집약적 콘텐츠가 있는 신뢰할 수 없지만 안전한 URL로 이동합니다. 웹 사이트가 격리된 세션에서 열립니다.

  4. 시각적 환경 및 배터리 성능을 평가합니다.

카메라 및 마이크 옵션

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\Microsoft Defender Application Guard 설정에서 카메라 및 마이크 액세스 허용으로 이동합니다.

  2. 사용을 선택하고 확인을 선택합니다.

    그룹 정책 편집기 카메라 및 마이크 옵션.

  3. 로그아웃한 후 디바이스에 다시 로그인하여 Application Guard Microsoft Edge를 다시 엽니다.

  4. Edge에서 비디오 또는 오디오 기능을 사용하여 애플리케이션을 엽니다.

  5. 카메라와 마이크가 예상대로 작동하는지 확인합니다.

루트 인증서 공유 옵션

  1. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender Application Guard\Microsoft Defender Application Guard 사용자의 디바이스 설정에서 루트 인증 기관을 사용하도록 허용으로 이동합니다.

  2. 사용을 선택하고 공유할 각 인증서의 지문을 쉼표로 구분하여 복사한 다음 확인을 선택합니다.

    그룹 정책 편집기 루트 인증서 옵션입니다.

  3. 로그아웃한 후 디바이스에 다시 로그인하여 Application Guard Microsoft Edge를 다시 엽니다.

타사 웹 브라우저용 Application Guard 확장

Chrome 및 Firefox에 사용할 수 있는 Application Guard 확장을 사용하면 Application Guard Microsoft Edge 또는 인터넷 Explorer 이외의 웹 브라우저를 실행하는 경우에도 사용자를 보호할 수 있습니다.

사용자에게 확장 및 해당 도우미 앱이 엔터프라이즈 디바이스에 설치되면 다음 시나리오를 실행할 수 있습니다.

  1. 확장이 설치된 브라우저에서 Firefox 또는 Chrome을 엽니다.

  2. 조직 웹 사이트로 이동합니다. 즉, organization 유지 관리되는 내부 웹 사이트입니다. 사이트가 완전히 로드되기 전에 이 평가 페이지가 즉시 표시될 수 있습니다. 페이지가 로드되는 동안 표시되는 평가 페이지로, 사용자가 기다려야 한다고 설명합니다.

  3. 엔터프라이즈가 아닌 외부 웹 사이트(예: www.bing.com)로 이동합니다. 사이트를 Microsoft Defender Application Guard Edge로 리디렉션해야 합니다. 엔터프라이즈가 아닌 웹 사이트가 Application Guard 컨테이너로 리디렉션됩니다. 표시되는 텍스트는 Microsoft Edge용 Application Guard 페이지를 열고 있음을 설명합니다.

  4. 새 Application Guard 창을 열고 Microsoft Defender Application Guard 아이콘을 선택한 다음 새 Application Guard 창