감사 이벤트를 사용하여 WDAC 정책 규칙 만들기

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

참고

Windows Defender WDAC(애플리케이션 제어)의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. 애플리케이션 제어 기능 가용성에 대해 자세히 알아봅니다.

감사 모드에서 애플리케이션 제어를 실행하면 WDAC 정책에서 누락되었지만 포함되어야 하는 애플리케이션, 이진 파일 및 스크립트를 검색할 수 있습니다.

WDAC 정책이 감사 모드에서 실행되는 동안 실행되지만 거부된 모든 이진 파일은 애플리케이션 및 서비스 로그\Microsoft\Windows\CodeIntegrity\Operational 이벤트 로그에 기록됩니다. 스크립트 및 MSI는 애플리케이션 및 서비스 로그\Microsoft\Windows\AppLocker\MSI 및 스크립트 이벤트 로그에 기록됩니다. 이러한 이벤트는 원래 기본 정책과 병합되거나 허용되는 경우 별도의 추가 정책으로 배포할 수 있는 새 WDAC 정책을 생성하는 데 사용할 수 있습니다.

감사 이벤트를 사용하는 앱을 허용하는 WDAC 정책을 만드는 프로세스 개요

참고

이 프로세스를 사용하려면 WDAC 감사 모드 정책을 이미 배포해야 합니다. 아직 배포하지 않은 경우 Windows Defender 애플리케이션 제어 정책 배포를 참조하세요.

감사 이벤트에서 WDAC 규칙을 만드는 방법을 숙지하려면 WDAC 감사 모드 정책을 사용하여 디바이스에서 다음 단계를 수행합니다.

1. WDAC 정책에서 허용되지 않지만 허용하려는 애플리케이션을 설치하고 실행합니다.

2. CodeIntegrity - 운영 및 AppLocker - MSI 및 스크립트 이벤트 로그를 검토하여 그림 1에 표시된 것과 같은 이벤트가 애플리케이션과 관련하여 생성되는지 확인합니다. 표시되는 이벤트 유형에 대한 자세한 내용은 Application Control 이벤트 이해를 참조하세요.

   그림 1. 배포된 WDAC 정책에 대한 예외

3. 관리자 권한 PowerShell 세션에서 다음 명령을 실행하여 이 프로시저에서 사용하는 변수를 초기화합니다. 이 절차는 완전 관리형 디바이스에 대한 WDAC 정책 만들기에 도입된 Lamna_FullyManagedClients_Audit.xml 정책을 기반으로 하며 EventsPolicy.xml라는 새 정책을 생성합니다.

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
   

4. New-CIPolicy를 사용하여 기록된 감사 이벤트에서 새 WDAC 정책을 생성합니다. 이 예제에서는 FilePublisher 파일 규칙 수준 및 해시 대체 수준을 사용합니다. 경고 메시지는 EventsPolicyWarnings.txt텍스트 파일로 리디렉션됩니다.

   New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
   

   참고

   감사 이벤트에서 정책을 만드는 경우, 신뢰할 수 있는 파일 규칙 수준을 신중하게 고려해서 선택해야 합니다. 앞의 예제에서는 원하는 것보다 더 구체적일 수 있는 대체 수준 해시와 함께 FilePublisher 규칙 수준을 사용합니다. 요구 사항에 맞게 다른 -Level 및 -Fallback 옵션을 사용하여 위의 명령을 다시 실행할 수 있습니다. WDAC 규칙 수준에 대한 자세한 내용은 WDAC 정책 규칙 및 파일 규칙 이해를 참조하세요.

5. 데스크톱에서 찾을 WDAC 정책 파일 EventsPolicy.xml 찾아서 검토합니다. 허용하려는 애플리케이션, 이진 파일 및 스크립트에 대한 파일 및 서명자 규칙만 포함해야 합니다. 정책 XML을 수동으로 편집하거나 WDAC 정책 마법사 도구를 사용하여 규칙을 제거할 수 있습니다( 마법사를 사용하여 기존 기본 및 추가 WDAC 정책 편집 참조).

6. 바탕 화면에서 찾을 텍스트 파일 EventsPolicyWarnings.txt 찾아서 검토합니다. 이 파일에는 WDAC가 지정된 규칙 수준 또는 대체 규칙 수준에서 규칙을 만들 수 없는 파일에 대한 경고가 포함됩니다.

   참고

   New-CIPolicy 디스크에서 여전히 찾을 수 있는 파일에 대한 규칙만 만듭니다. 시스템에 더 이상 존재하지 않는 파일에는 이를 허용하는 규칙이 만들어지지 않습니다. 그러나 이벤트 로그에는 규칙을 추가하기 위해 정책 XML을 수동으로 편집하여 이러한 파일을 허용할 수 있는 충분한 정보가 있어야 합니다. 기존 규칙을 템플릿으로 사용하고 %windir%\schemas\CodeIntegrity\cipolicy.xsd에 있는 WDAC 정책 스키마 정의에 대해 결과를 확인할 수 있습니다.

7. EventsPolicy.xml 기본 정책 Lamna_FullyManagedClients_Audit.xml 병합하거나 추가 정책으로 변환합니다.

   정책 병합에 대한 자세한 내용은 Windows Defender 애플리케이션 제어 정책 병합을 참조하고 추가 정책에 대한 자세한 내용은 여러 Windows Defender 애플리케이션 제어 정책 사용을 참조하세요.

8. 기본 또는 추가 정책을 이진으로 변환하고 원하는 방법을 사용하여 배포합니다.