ISG(Intelligent Security Graph)를 사용하여 평판 좋은 앱에 권한 부여

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

참고

Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

애플리케이션 제어는 IT 관리 시스템을 통해 애플리케이션을 배포하고 관리하지 않는 조직에서 구현하기 어려울 수 있습니다. 이러한 환경에서 사용자는 작업에 사용하려는 애플리케이션을 획득할 수 있으므로 효과적인 애플리케이션 제어 정책을 빌드하기가 어렵습니다.

최종 사용자 마찰 및 기술 지원팀 호출을 줄이기 위해 Microsoft의 ISG(Intelligent Security Graph)가 알려진 평판을 가진 것으로 인식되는 애플리케이션을 자동으로 허용하도록 WDAC(애플리케이션 제어)를 Windows Defender 설정할 수 있습니다. ISG 옵션은 organization 앱 에코시스템에 대한 제어가 제한된 경우에도 조직에서 애플리케이션 제어를 구현하는 데 도움이 됩니다. ISG에 대한 자세한 내용은 Microsoft Graph의 주요 서비스 및 기능의 보안 섹션을 참조하세요.

Warning

시스템을 부팅하는 데 중요한 이진 파일은 WDAC 정책에서 명시적 규칙을 사용하여 허용되어야 합니다. ISG를 사용하여 이러한 파일에 권한을 부여하지 마세요.

ISG 옵션은 중요 비즈니스용 앱을 허용하는 권장되는 방법이 아닙니다. 명시적 허용 규칙을 사용하거나 관리되는 설치 관리자와 함께 설치하여 항상 중요 비즈니스용 앱에 권한을 부여해야 합니다.

WDAC는 ISG에서 어떻게 작동하나요?

ISG는 앱의 "목록"이 아닙니다. 대신 SmartScreen 및 Microsoft Defender 바이러스 백신을 Microsoft Defender 동일한 방대한 보안 인텔리전스 및 기계 학습 분석을 사용하여 애플리케이션을 "알려진 양호", "알려진 나쁜" 또는 "알 수 없는" 평판으로 분류합니다. 이 클라우드 기반 AI는 Windows 엔드포인트 및 기타 데이터 원본에서 수집되고 24시간마다 처리되는 수조 개의 신호를 기반으로 합니다. 따라서 클라우드의 결정이 바뀔 수 있습니다.

WDAC는 정책에 의해 명시적으로 허용되거나 거부되지 않고 관리되는 설치 관리자가 설치하지 않은 이진 파일에 대해서만 ISG를 확인합니다. 이러한 이진 파일이 ISG 옵션을 사용하여 WDAC를 사용하도록 설정된 시스템에서 실행되는 경우 WDAC는 해시를 보내고 클라우드에 정보를 서명하여 파일의 평판을 검사. ISG에서 파일이 "잘 알려진" 평판을 가지고 있다고 보고하면 파일을 실행할 수 있습니다. 그렇지 않으면 WDAC에 의해 차단됩니다.

평판이 좋은 파일이 애플리케이션 설치 관리자인 경우 설치 관리자의 평판은 디스크에 쓰는 모든 파일에 전달됩니다. 이렇게 하면 앱을 설치하고 실행하는 데 필요한 모든 파일이 설치 관리자의 긍정적인 평판 데이터를 상속합니다. 설치 관리자의 평판에 따라 권한이 부여된 파일은 $KERNEL. SMARTLOCKER. 파일에 기록된 ORIGINCLAIM 커널 EA(확장 특성)입니다.

WDAC는 파일의 평판 데이터를 주기적으로 다시 쿼리합니다. 또한 기업은 다시 부팅 시 사용:EA 무효화 옵션을 사용하여 캐시된 평판 결과가 다시 부팅 시 플러시되도록 지정할 수 있습니다.

WDAC 정책에 대한 ISG 권한 부여 구성

ISG 설정은 원하는 모든 관리 솔루션을 쉽게 사용할 수 있습니다. ISG 옵션을 구성하려면 다음 기본 단계가 포함됩니다.

• WDAC 정책 XML에서 Enabled:Intelligent Security Graph 권한 부여 옵션이 설정되어 있는지 확인합니다.
• WDAC가 클라이언트에서 ISG를 올바르게 사용할 수 있도록 필요한 서비스를 사용하도록 설정합니다.

ISG 옵션이 WDAC 정책 XML에 설정되어 있는지 확인합니다.

Microsoft Intelligent Security Graph를 기반으로 하는 앱 및 이진 파일을 허용하려면 WDAC 정책에서 Enabled:Intelligent Security Graph 권한 부여 옵션을 지정해야 합니다. 이 단계는 Set-RuleOption cmdlet을 사용하여 수행할 수 있습니다. 또한 다시 부팅할 때마다 ISG 결과가 다시 확인되도록 다시 부팅 시 사용:EA 무효화 옵션을 설정해야 합니다. ISG 옵션은 인터넷에 정기적으로 액세스할 수 없는 디바이스에는 권장되지 않습니다. 다음 예제에서는 두 옵션 집합을 모두 보여줍니다.

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules> 

WDAC가 클라이언트에서 ISG를 올바르게 사용할 수 있도록 필요한 서비스를 사용하도록 설정합니다.

ISG에서 사용하는 추론이 제대로 작동하려면 Windows의 다른 구성 요소를 사용하도록 설정해야 합니다. 에서 appidtel 실행 파일을 실행하여 이러한 구성 요소를 구성할 수 있습니다 c:\windows\system32.

appidtel start

이 단계는 CSP가 필요한 구성 요소를 사용하도록 설정하므로 MDM을 통해 배포된 WDAC 정책에는 필요하지 않습니다. ISG가 Configuration Manager WDAC 통합을 사용하여 구성된 경우에도 이 단계가 필요하지 않습니다.

ISG 옵션을 사용하는 보안 고려 사항

ISG는 추론 기반 메커니즘이므로 명시적 허용 또는 거부 규칙과 동일한 보안 보장을 제공하지 않습니다. 사용자가 표준 사용자 권한으로 작업하는 위치와 엔드포인트용 Microsoft Defender 같은 보안 모니터링 솔루션이 사용되는 위치에 가장 적합합니다.

커널 권한으로 실행되는 프로세스는 ISG 확장 파일 특성을 설정하여 이진 파일이 잘 알려진 것으로 보이도록 설정하여 WDAC를 우회할 수 있습니다.

또한 ISG 옵션은 앱 설치 관리자의 평판을 디스크에 쓰는 이진 파일로 전달하므로 경우에 따라 파일에 과도하게 권한을 부여할 수 있습니다. 예를 들어 설치 관리자가 완료 시 앱을 시작하면 첫 번째 실행 중에 앱이 쓰는 파일도 허용됩니다.

ISG 사용에 대한 알려진 제한 사항

ISG는 "정상으로 알려진" 이진 파일만 허용하므로 ISG에서 합법적인 소프트웨어를 안전하게 실행할 수 있는지 여부를 예측할 수 없는 경우가 있습니다. 이 경우 소프트웨어가 WDAC에 의해 차단됩니다. 이 경우 WDAC 정책의 규칙이 있는 소프트웨어를 허용하거나, WDAC 정책에서 신뢰할 수 있는 인증서로 서명된 카탈로그를 배포하거나, WDAC 관리 설치 관리자에서 소프트웨어를 설치해야 합니다. 런타임에 동적으로 이진 파일을 만들고 애플리케이션을 자체 업데이트하는 설치 관리자 또는 애플리케이션은 이 증상을 나타낼 수 있습니다.

패키지된 앱은 ISG에서 지원되지 않으며 WDAC 정책에서 별도로 권한을 부여해야 합니다. 패키지된 앱은 강력한 앱 ID를 가지며 서명해야 하므로 WDAC 정책을 사용하여 패키지된 앱에 권한을 부여하는 것은 간단합니다.

ISG는 커널 모드 드라이버에 권한을 부여하지 않습니다. WDAC 정책에는 필요한 드라이버를 실행하도록 허용하는 규칙이 있어야 합니다.

참고

파일을 명시적으로 거부하거나 허용하는 규칙이 해당 파일의 신뢰도 데이터보다 우선합니다. Microsoft Intune 기본 제공 WDAC 지원에는 ISG를 통해 평판이 좋은 앱을 신뢰하는 옵션이 포함되어 있지만 명시적 허용 또는 거부 규칙을 추가할 수 있는 옵션은 없습니다. 대부분의 경우 애플리케이션 제어를 사용하는 고객은 Intune OMA-URI 기능을 사용하여 사용자 지정 WDAC 정책(원하는 경우 ISG 옵션을 포함할 수 있음)을 배포해야 합니다.