Windows Defender WDAC(애플리케이션 제어) 정책 배포

참고

Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

이제 하나 이상의 Windows Defender WDAC(애플리케이션 제어) 정책을 배포할 준비가 되었습니다. WDAC 디자인 가이드에 설명된 단계를 아직 완료하지 않은 경우 계속하기 전에 지금 수행합니다.

WDAC 정책 XML을 이진으로 변환

WDAC 정책을 배포하기 전에 먼저 XML을 이진 형식으로 변환해야 합니다. 다음 PowerShell 예제를 사용하여 이 작업을 수행할 수 있습니다. WDAC 정책 XML 파일을 가리키도록 $WDACPolicyXMLFile 변수를 설정해야 합니다.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

배포 계획

환경의 중요한 변경과 마찬가지로 애플리케이션 제어를 구현하면 의도하지 않은 결과가 발생할 수 있습니다. 최상의 성공 가능성을 보장하려면 안전한 배포 사례를 따르고 배포를 신중하게 계획해야 합니다. WDAC를 사용하여 관리할 디바이스를 식별하고 배포 링으로 분할합니다. 이렇게 하면 배포의 속도와 규모를 제어하고 문제가 발생하면 응답할 수 있습니다. 한 링에서 다음 링으로 계속 진행하는 것이 안전한 시기를 결정하는 성공 조건을 정의합니다.

적용을 계속하기 전에 모든 Windows Defender 애플리케이션 제어 정책 변경 내용을 감사 모드로 배포해야 합니다. 정책을 배포한 디바이스의 이벤트를 주의 깊게 모니터링하여 관찰하는 블록 이벤트가 다른 배포 링으로 배포를 확대하기 전에 예상과 일치하는지 확인합니다. organization 엔드포인트용 Microsoft Defender 사용하는 경우 고급 헌팅 기능을 사용하여 WDAC 관련 이벤트를 중앙에서 모니터링할 수 있습니다. 그렇지 않으면 이벤트 로그 전달 솔루션을 사용하여 관리형 엔드포인트에서 관련 이벤트를 수집하는 것이 좋습니다.

WDAC 정책을 배포하는 방법 선택

중요

알려진 문제로 인해 항상 메모리 무결성이 사용하도록 설정된 시스템에서 다시 부팅하여 서명된 새 WDAC 기본 정책을 활성화해야 합니다. 이 경우 스크립트를 통해 배포하는 것이 좋습니다.

이 문제는 시스템에서 이미 활성화된 서명된 기본 정책 업데이트, 서명되지 않은 정책 배포 또는 추가 정책 배포(서명 또는 서명되지 않음)에 영향을 주지 않습니다. 또한 메모리 무결성을 실행하지 않는 시스템에 대한 배포에는 영향을 주지 않습니다.

관리형 엔드포인트에 Windows Defender 애플리케이션 제어 정책을 배포하는 몇 가지 옵션이 있습니다.