여러 Windows Defender 애플리케이션 제어 정책 사용

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

참고

Windows Defender WDAC(애플리케이션 제어)의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

Windows 10 버전 1903 및 Windows Server 2022부터 디바이스에 여러 Windows Defender WDAC(애플리케이션 제어) 정책을 나란히 배포할 수 있습니다. 32개 이상의 활성 정책을 허용하려면 2024년 4월 9일 또는 그 이후에 릴리스된 Windows 보안 업데이트를 설치한 다음 디바이스를 다시 시작합니다. 이러한 업데이트를 사용하면 지정된 디바이스에 한 번에 배포할 수 있는 정책 수에 제한이 없습니다. 2024년 4월 9일 또는 그 이후에 릴리스된 Windows 보안 업데이트를 설치할 때까지 디바이스는 32개 활성 정책으로 제한되며 해당 수를 초과해서는 안 됩니다.

참고

Windows 11 21H2에서 정책 제한이 제거되지 않았으며 32개 정책으로 제한됩니다.

다음은 여러 병렬 정책이 유용한 몇 가지 일반적인 시나리오입니다.

1. 병렬 적용 및 감사
   • 적용 모드로 배포하기 전에 정책 변경 내용의 유효성을 검사하기 위해 사용자는 이제 기존 적용 모드 기본 정책과 함께 감사 모드 기본 정책을 배포할 수 있습니다.
2. 여러 기본 정책
   • 사용자는 서로 다른 scope/의도를 가진 정책에 대해 더 간단한 정책 대상 지정을 허용하기 위해 두 개 이상의 기본 정책을 동시에 적용할 수 있습니다.
   • 디바이스에 두 개의 기본 정책이 있는 경우 애플리케이션은 두 정책을 모두 전달하여 실행해야 합니다.
3. 추가 정책
   • 사용자는 하나 이상의 추가 정책을 배포하여 기본 정책을 확장할 수 있습니다.
   • 추가 정책은 단일 기본 정책을 확장하고 여러 추가 정책은 동일한 기본 정책을 확장할 수 있습니다.
   • 추가 정책의 경우 기본 정책 또는 추가 정책/정책에서 허용하는 애플리케이션이 실행됩니다.

참고

1903년 이전 시스템은 다중 정책 형식 WDAC 정책 사용을 지원하지 않습니다.

기본 및 추가 정책 상호 작용

• 여러 기본 정책: 교차
  • 두 정책에서 허용하는 애플리케이션만 블록 이벤트를 생성하지 않고 실행됩니다.
• 기본 + 추가 정책: 공용 구조체
  • 기본 정책 또는 추가 정책 실행에서 허용되는 파일

여러 정책 형식으로 WDAC 정책 만들기

여러 정책이 존재하고 단일 시스템에 적용되도록 하려면 새 다중 정책 형식을 사용하여 정책을 만들어야 합니다. New-CIPolicy의 "MultiplePolicyFormat" 스위치는 1) 정책 ID에 대해 생성된 고유 값과 2) 기본 정책으로 설정된 정책 유형을 생성합니다. 아래 예제에서는 여러 정책 형식으로 새 정책을 만드는 프로세스를 설명합니다.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

필요에 따라 새 기본 정책에서 추가 정책을 허용하도록 선택할 수 있습니다.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

추가 정책을 허용하는 서명된 기본 정책의 경우 추가 서명자가 정의되어 있는지 확인합니다. Add-SignerRule의 추가 스위치를 사용하여 추가 서명자를 제공합니다.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

추가 정책 만들기

추가 정책을 만들려면 먼저 앞에서 설명한 대로 다중 정책 형식으로 새 정책을 만듭니다. 여기에서 Set-CIPolicyIdInfo 사용하여 추가 정책으로 변환하고 확장하는 기본 정책을 지정합니다. SupplementsBasePolicyID 또는 BasePolicyToSupplementPath를 사용하여 기본 정책을 지정할 수 있습니다.

• "SupplementsBasePolicyID": 추가 정책이 적용되는 기본 정책의 GUID
• "BasePolicyToSupplementPath": 추가 정책이 적용되는 기본 정책 파일의 경로

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

정책 병합

정책을 병합할 때 지정된 맨 왼쪽/첫 번째 정책의 정책 유형 및 ID가 사용됩니다. 맨 왼쪽이 ID <ID>가 있는 기본 정책인 경우 이후 정책에 대한 GUID 및 형식에 관계없이 병합된 정책은 ID <ID>가 있는 기본 정책입니다.

여러 정책 배포

여러 Windows Defender 애플리케이션 제어 정책을 배포하려면 정책 파일을 적절한 폴더에 복사 *.cip 하거나 ApplicationControl CSP를 사용하여 로컬로 배포해야 합니다.

로컬로 여러 정책 배포

새 다중 정책 형식을 사용하여 정책을 로컬로 배포하려면 다음 단계를 수행합니다.

1. 이진 정책 파일의 명명 형식이 올바른지 확인합니다 {PolicyGUID}.cip.
   • 이진 정책 파일의 이름이 정책의 PolicyID GUID와 정확히 동일한지 확인합니다.
   • 예를 들어 정책 XML에 ID <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>가 인 경우 이진 정책 파일의 올바른 이름은 입니다 {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
2. 이진 정책을 에 복사합니다 C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. 시스템을 다시 부팅합니다.

ApplicationControl CSP를 통해 여러 정책 배포

여러 Windows Defender Application Control 정책은 MDM 서버에서 ApplicationControl CSP(구성 서비스 공급자)를 통해 관리할 수 있습니다. 또한 CSP는 재부팅 없는 정책 배포를 지원합니다.

그러나 MDM 서버에서 정책이 등록 취소되면 CSP는 CSP에서 추가한 정책뿐만 아니라 적극적으로 배포되지 않은 모든 정책을 제거하려고 시도합니다. 이 동작은 시스템에서 개별 정책을 적용하는 데 사용된 배포 방법을 모르기 때문에 발생합니다.

필요에 따라 Microsoft Intune 사용자 지정 OMA-URI 기능을 사용하여 여러 정책을 배포하는 방법에 대한 자세한 내용은 ApplicationControl CSP를 참조하세요.

참고

WMI 및 GP는 현재 여러 정책을 지원하지 않습니다. 대신 MDM 스택에 직접 액세스할 수 없는 고객은 MDM Bridge WMI 공급자를 통해 ApplicationControl CSP를 사용하여 여러 정책 형식 Windows Defender 애플리케이션 제어 정책을 관리해야 합니다.