Windows Defender Application Control을 사용하여 추가된 제어 및 보호에 코드 서명 사용

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

참고

Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. 자세한 내용은 Windows Defender Application Control 기능 가용성을 참조하세요.

코드 서명이란 무엇이며 왜 중요한가요?

코드 서명은 Windows Defender WDAC(애플리케이션 제어)와 같은 애플리케이션 보안 기능에 몇 가지 중요한 이점을 제공합니다. 먼저 시스템에서 서명된 이후 및 코드를 실행할 수 있기 전에 파일이 변조되지 않았는지 암호화하여 확인할 수 있습니다. 둘째, 파일을 회사 또는 개별 개발자와 같은 실제 ID와 연결합니다. 이 ID는 정책 신뢰 결정을 더 쉽게 만들 수 있으며 코드 서명이 악용되거나 악의적으로 사용될 때 실제 결과를 허용합니다. Windows에서 소프트웨어 개발자가 코드에 디지털 서명할 필요는 없지만 대부분의 주요 ISV(독립 소프트웨어 공급업체)는 코드의 대부분에 코드 서명을 사용합니다. 그리고 개발자가 파일의 리소스 헤더()에 포함하는 메타데이터입니다. OriginalFileName 또는 ProductName과 같은 RSRC를 파일의 서명 인증서와 결합하여 신뢰 결정의 scope 제한할 수 있습니다. 예를 들어 Microsoft에서 서명한 모든 항목을 허용하는 대신 ProductName이 "Microsoft Teams"인 Microsoft에서 서명한 파일만 허용하도록 선택할 수 있습니다. 그런 다음 다른 규칙을 사용하여 실행해야 하는 다른 파일에 권한을 부여합니다.

가능하면 모든 앱 이진 파일 및 스크립트가 앱 수락 조건의 일부로 서명된 코드여야 합니다. 또한 내부 LOB(기간 업무) 앱 개발자가 organization 제어하는 코드 서명 인증서에 액세스할 수 있는지 확인해야 합니다.

카탈로그 서명

앱 이진 파일 및 스크립트는 일반적으로 embed-signed 또는 catalog-signed입니다. 포함된 서명은 파일 자체의 일부가 되며 복사하거나 이동할 때마다 파일과 함께 전달됩니다. 반면 카탈로그 서명은 개별 파일에서 분리됩니다. 대신 서명할 하나 이상의 파일에 대한 해시 값이 포함된 별도의 "카탈로그 파일"이 만들어집니다. 그런 다음 이 카탈로그 파일은 디지털 서명되고 서명이 존재할 컴퓨터에 적용됩니다. 해시 값이 서명된 카탈로그에 포함된 모든 파일은 카탈로그 파일의 서명을 상속합니다. 파일에는 포함된 서명과 카탈로그 서명의 혼합을 포함하여 여러 서명이 있을 수 있습니다.

카탈로그 파일을 사용하여 원래 원본 파일에 액세스할 필요 없이 비용이 많이 드는 재패키징 없이 기존 애플리케이션에 서명을 쉽게 추가할 수 있습니다. ISV가 직접 서명하는 모든 것을 신뢰하지 않으려는 경우 카탈로그 파일을 사용하여 ISV 앱에 고유한 서명을 추가할 수도 있습니다. 그런 다음 앱과 함께 서명된 카탈로그를 모든 관리형 엔드포인트에 배포합니다.

참고

카탈로그는 해시로 서명하는 파일을 식별하므로 파일을 변경하면 서명이 무효화됩니다. 애플리케이션이 업데이트될 때마다 업데이트된 카탈로그 서명을 배포해야 합니다. 코드 서명을 앱 개발 또는 앱 배포 프로세스와 통합하는 것이 일반적으로 가장 좋은 방법입니다. 앱 이진 파일이 사용자 모르게 변경될 수 있으므로 자체 업데이트 앱에 유의하세요.

기존 앱에 대한 카탈로그 파일을 만들고 관리하는 방법을 알아보려면 Windows Defender Application Control을 지원하도록 카탈로그 파일 배포를 참조하세요.

서명된 WDAC 정책

WDAC 정책은 XML 문서로 시작하는 동안 배포하기 전에 이진 인코딩 파일로 변환됩니다. 정책의 이 이진 버전은 다른 애플리케이션 이진 파일처럼 코드 서명될 수 있으며, 서명된 코드에 대해 위에서 설명한 것과 동일한 많은 이점을 제공합니다. 또한 서명된 정책은 WDAC에서 특별히 처리되며 관리자가 정책을 변조하거나 제거하지 않도록 보호합니다.

서명된 정책을 사용하는 방법에 대한 자세한 내용은 서명된 정책을 사용하여 변조로부터 Windows Defender 애플리케이션 제어 보호를 참조하세요.

사용자 고유의 용도로 코드 서명 인증서 가져오기

사용자 고유의 용도로 코드 서명 인증서를 가져오는 몇 가지 방법은 다음과 같습니다.

• Microsoft의 신뢰할 수 있는 서명 서비스를 사용합니다.
• Microsoft 신뢰할 수 있는 루트 프로그램 참가자 중 한 명으로부터 코드 서명 인증서를 구입합니다.
• 사용자 고유의 디지털 인증서 또는 PKI(공개 키 인프라)를 사용하여 코드 서명 인증서를 발급하려면 선택 사항: Windows Defender Application Control에 대한 코드 서명 인증서 만들기를 참조하세요.