AppLocker와 ActiveX(OCX), 그리고 DLL - Windows 7
AppLocker… 조직내 필요한 소프트웨어만을 구동… Windows 7 – Windows Server 2008 R2와 만났을 때 (4)
지난 AppLocker에 대한 포스팅 이후에 세미나 이후, 많이들 여쭤오신 사항중에 하나입니다. 잠시후 TechNet 세미나의 Windows 7 세션에서도 데모를 통해 보여드릴 예정입니다.
AppLocker의 경우, 기존 포스팅에서는 기본적으로 비활성화되어져 있는 규칙을 말씀드리지 않았습니다. 해당 기능을 사용할 경우, 약간의 클라이언트 성능 저하가 발생할 수 있다고 하는 경고가 포함되어져 있고.. 아직 얼마의 성능이 저하되는지에 대해서는 공식적인 언급은 없지만, 테스트해본 결과에선 크게 저하가 되지 않을 거라 생각합니다. (잠시후 다시 언급하죠.)
AppLocker 그룹 정책의 기본 속성창내 Advanced 탭에 가보면, DLL 규칙에 대한 언급이 있습니다. DLL 파일은 실제 응용 프로그램이 로드되었을 때, 관련된 기능 및 여러 분야를 지원하기 위해, 같이 로딩되는 라이브러리 모듈입니다. Windows 7의 AppLocker에서는 DLL 파일에 대한 제한을 가할 수도 있다는 것이며, 기본적으로 해당 기능은 사용하지 않는 상태로 되어져 있습니다. 당연히 응용 프로그램에서 불러들이는 DLL 파일이 많다면.. 성능상에 이슈가 발생할 수 있겠죠. 이러한 DLL들을 일일히 다 확인을 해야하니.. 실행 파일이나 스크립트 위주로 체크하던 기존 방식보다는 성능이 떨어질 수 밖에 없는 규칙입니다.
이를 사용한다 체크하신 후, 확인을 클릭하면..
DLL Rules라는 노드가 추가로 생깁니다. 여기서 DLL만 관리할 수 있다라고 생각하시면 안됩니다. :) 바로 ActiveX 컨트롤의 주요 파일인 OCX에 대한 관리까지 가능합니다.
AppLocker 파일 규칙을 생성할 때, 관련 파일 종류에 언급한 DLL과 OCX가 존재하는 것을 보실 수 있고, 예를 들어 Flash OCX를 제한했을 경우엔, 해당 규칙을 부여받는 Windows 7 클라이언트에서는 Flash ActiveX가 동작하지 않음을 확인할 수 있습니다.
AppLocker 정책을 서버에서만 설정하면 끝나는 것이 아닙니다. AppLocker를 사용하기 위해서는 Windows 7 클라이언트내 AppID 서비스가 동작하고 있어야 합니다. (해당 서비스는 기본적으로 사용 안함이 기본값입니다.)
우리나라에선 아직 ActiveX가 여러 사이트에 적용되고 있고, 일부에 대해서는 IT 관리자가 사용을 제어하길 원할 수도 있습니다. 이러한 IT 프로그램에 대한 컴플라이언스 관리 및 표준화에 AppLocker는 아주 적절한 가치를 제공해드릴 것입니다.