Configuration Manager 사용하여 Windows Defender 애플리케이션 제어 관리
적용 대상: Configuration Manager(현재 분기)
Windows Defender 애플리케이션 제어는 맬웨어 및 기타 신뢰할 수 없는 소프트웨어로부터 디바이스를 보호하도록 설계되었습니다. 알고 있는 승인된 코드만 실행할 수 있도록 하여 악성 코드가 실행되지 않도록 방지합니다.
Application Control은 PC에서 실행할 수 있는 명시적 소프트웨어 목록을 적용하는 소프트웨어 기반 보안 계층입니다. 자체적으로 Application Control에는 하드웨어 또는 펌웨어 필수 구성 요소가 없습니다. Configuration Manager 함께 배포된 애플리케이션 제어 정책은 이 문서에 설명된 최소 Windows 버전 및 SKU 요구 사항을 충족하는 대상 컬렉션의 디바이스에서 정책을 사용하도록 설정합니다. 필요에 따라 Configuration Manager 통해 배포된 애플리케이션 제어 정책의 하이퍼바이저 기반 보호는 지원되는 하드웨어의 그룹 정책을 통해 사용하도록 설정할 수 있습니다.
자세한 내용은 Windows Defender 애플리케이션 제어 배포 가이드를 참조하세요.
참고
이 기능은 이전에 구성 가능한 코드 무결성 및 Device Guard라고 했습니다.
Configuration Manager 애플리케이션 제어 사용
Configuration Manager 사용하여 애플리케이션 제어 정책을 배포할 수 있습니다. 이 정책을 사용하면 컬렉션의 디바이스에서 Application Control이 실행되는 모드를 구성할 수 있습니다.
다음 모드 중 하나를 구성할 수 있습니다.
- 적용 사용 - 신뢰할 수 있는 실행 파일만 실행할 수 있습니다.
- 감사 전용 - 모든 실행 파일을 실행할 수 있지만 로컬 클라이언트 이벤트 로그에서 실행되는 신뢰할 수 없는 실행 파일을 기록합니다.
애플리케이션 제어 정책을 배포할 때 실행할 수 있는 작업은 무엇인가요?
애플리케이션 제어를 사용하면 관리하는 디바이스에서 실행할 수 있는 항목을 강력하게 제어할 수 있습니다. 이 기능은 원치 않는 소프트웨어를 실행할 수 없는 중요한 보안 부서의 디바이스에 유용할 수 있습니다.
정책을 배포할 때 일반적으로 다음 실행 파일을 실행할 수 있습니다.
- Windows OS 구성 요소
- Windows 하드웨어 품질 랩 서명이 있는 하드웨어 개발자 센터 드라이버
- Microsoft Store 앱
- Configuration Manager 클라이언트
- 디바이스가 애플리케이션 제어 정책을 처리한 후 설치하는 Configuration Manager 통해 배포된 모든 소프트웨어
- 다음에서 기본 제공 Windows 구성 요소로 업데이트.
- Windows 업데이트
- 비즈니스용 Windows 업데이트
- Windows Server Update Services
- Configuration Manager
- 필요에 따라 MICROSOFT ISG(Intelligent Security Graph)에 의해 결정되는 평판이 좋은 소프트웨어입니다. ISG에는 Windows Defender SmartScreen 및 기타 Microsoft 서비스가 포함됩니다. 이 소프트웨어를 신뢰하려면 디바이스에서 Windows Defender SmartScreen 및 Windows 10 버전 1709 이상을 실행해야 합니다.
중요
이러한 항목에는 인터넷 또는 타사 소프트웨어 업데이트에서 자동으로 업데이트되는 Windows에 기본 제공되지 않는 소프트웨어가 포함되지 않습니다. 이 제한은 나열된 업데이트 메커니즘 또는 인터넷에서 설치되었는지 여부에 관계없이 적용됩니다. Application Control은 Configuration Manager 클라이언트를 통해 배포되는 소프트웨어 변경만 허용합니다.
지원되는 운영 체제
Configuration Manager Application Control을 사용하려면 디바이스에서 지원되는 버전을 실행해야 합니다.
- Windows 11 이상, Enterprise Edition
- Windows 10 이상, Enterprise Edition
- Windows Server 2019 이상
팁
Configuration Manager 버전 2006 이전 버전으로 만든 기존 애플리케이션 제어 정책은 Windows Server에서 작동하지 않습니다. Windows Server를 지원하려면 새 애플리케이션 제어 정책을 만듭니다.
시작하기 전에
디바이스에서 정책이 성공적으로 처리되면 Configuration Manager 해당 클라이언트에서 관리되는 설치 관리자로 구성됩니다. 정책이 처리되면 Configuration Manager 배포된 소프트웨어가 자동으로 신뢰할 수 있습니다. 디바이스가 애플리케이션 제어 정책을 처리하기 전에 Configuration Manager 설치된 소프트웨어는 자동으로 신뢰할 수 없습니다.
참고
예를 들어 OS 배포 중에는 작업 순서에서 애플리케이션 설치 단계를 사용하여 애플리케이션을 설치할 수 없습니다. 자세한 내용은 작업 순서 단계 - 애플리케이션 설치를 참조하세요.
애플리케이션 제어 정책에 대한 기본 준수 평가 일정은 매일입니다. 이 일정은 정책 배포 중에 구성할 수 있습니다. 정책 처리에서 문제가 발견되면 준수 평가 일정을 더 자주 구성합니다. 예를 들어 매시간. 이 일정은 오류가 발생할 경우 클라이언트가 애플리케이션 제어 정책을 처리하기 위해 재시도하는 빈도를 결정합니다.
선택한 적용 모드에 관계없이 애플리케이션 제어 정책을 배포할 때 디바이스는 파일 확장명에서 HTML 애플리케이션을
.hta
실행할 수 없습니다.
애플리케이션 제어 정책 만들기
Configuration Manager 콘솔에서 자산 및 호환성 작업 영역으로 이동합니다.
Endpoint Protection을 확장한 다음 Windows Defender 애플리케이션 제어 노드를 선택합니다.
리본의 홈 탭에 있는 만들기 그룹에서 애플리케이션 제어 정책 만들기를 선택합니다.
애플리케이션 제어 정책 만들기 마법사의 일반 페이지에서 다음 설정을 지정합니다.
이름: 이 애플리케이션 제어 정책의 고유한 이름을 입력합니다.
설명: 필요에 따라 Configuration Manager 콘솔에서 식별하는 데 도움이 되는 정책에 대한 설명을 입력합니다.
모든 프로세스에 대해 이 정책을 적용할 수 있도록 디바이스 다시 시작을 적용합니다. 디바이스가 정책을 처리한 후 컴퓨터 다시 시작에 대한 클라이언트 설정에 따라 클라이언트에서 다시 시작이 예약됩니다. 디바이스에서 현재 실행 중인 애플리케이션은 다시 시작할 때까지 새 애플리케이션 제어 정책을 적용하지 않습니다. 그러나 정책이 적용된 후 시작된 애플리케이션은 새 정책을 적용합니다.
적용 모드: 다음 적용 방법 중 하나를 선택합니다.
적용 사용: 신뢰할 수 있는 애플리케이션만 실행할 수 있습니다.
감사 전용: 모든 애플리케이션이 실행되도록 허용하지만 실행되는 신뢰할 수 없는 프로그램을 기록합니다. 감사 메시지는 로컬 클라이언트 이벤트 로그에 있습니다.
애플리케이션 제어 정책 만들기 마법사의 포함 탭에서 지능형 보안 그래프에서 신뢰할 수 있는 소프트웨어에 권한을 부여할지 선택합니다.
디바이스의 특정 파일 또는 폴더에 대한 신뢰를 추가하려면 추가를 선택합니다. 신뢰할 수 있는 파일 또는 폴더 추가 대화 상자에서 신뢰할 수 있는 로컬 파일 또는 폴더 경로를 지정할 수 있습니다. 연결할 수 있는 권한이 있는 원격 디바이스에서 파일 또는 폴더 경로를 지정할 수도 있습니다. 애플리케이션 제어 정책에서 특정 파일 또는 폴더에 대한 트러스트를 추가하는 경우 다음을 수행할 수 있습니다.
관리되는 설치 관리자 동작과 관련된 문제를 해결합니다.
Configuration Manager 사용하여 배포할 수 없는 기간 업무 앱을 신뢰합니다.
OS 배포 이미지에 포함된 앱을 신뢰합니다.
마법사를 완료합니다.
애플리케이션 제어 정책 배포
Configuration Manager 콘솔에서 자산 및 호환성 작업 영역으로 이동합니다.
Endpoint Protection을 확장한 다음 Windows Defender 애플리케이션 제어 노드를 선택합니다.
정책 목록에서 배포할 정책을 선택합니다. 리본의 홈 탭에 있는 배포 그룹에서 애플리케이션 제어 정책 배포를 선택합니다.
애플리케이션 제어 정책 배포 대화 상자에서 정책을 배포할 컬렉션을 선택합니다. 그런 다음 클라이언트가 정책을 평가할 때 일정을 구성합니다. 마지막으로 클라이언트가 구성된 유지 관리 기간 외부에서 정책을 평가할 수 있는지 여부를 선택합니다.
완료되면 확인을 선택하여 정책을 배포합니다.
애플리케이션 제어 정책 모니터링
일반적으로 준수 설정 모니터링 문서의 정보를 사용합니다. 이 정보는 배포된 정책이 모든 디바이스에 올바르게 적용되었는지 모니터링하는 데 도움이 될 수 있습니다.
애플리케이션 제어 정책의 처리를 모니터링하려면 디바이스에서 다음 로그 파일을 사용합니다.
%WINDIR%\CCM\Logs\DeviceGuardHandler.log
차단되거나 감사되는 특정 소프트웨어를 확인하려면 다음 로컬 클라이언트 이벤트 로그를 참조하세요.
실행 파일 차단 및 감사의 경우 애플리케이션 및 서비스 로그Microsoft>Windows>코드 무결성>작동을 > 사용합니다.
Windows Installer 및 스크립트 파일을 차단하고 감사하려면 애플리케이션 및 서비스 로그>Microsoft>Windows>AppLocker>MSI 및 스크립트를 사용합니다.
보안 및 개인 정보
감사 전용 또는 적용 사용 모드에서 정책을 배포했지만 정책을 적용하기 위해 다시 시작되지 않은 디바이스는 신뢰할 수 없는 소프트웨어가 설치되는 것에 취약합니다. 이 경우 디바이스가 다시 시작되거나 적용 사용 모드에서 정책을 수신하는 경우에도 소프트웨어가 계속 실행될 수 있습니다.
애플리케이션 제어 정책의 효과를 돕기 위해 먼저 랩 환경에서 디바이스를 준비합니다. 적용 사용 정책을 배포한 다음 디바이스를 다시 시작합니다. 앱이 작동하는지 확인한 후 사용자에게 디바이스를 제공합니다.
적용이 사용하도록 설정된 정책을 배포하지 말고 나중에 감사 전용을 사용하여 정책을 동일한 디바이스에 배포합니다. 이 구성으로 인해 신뢰할 수 없는 소프트웨어가 실행될 수 있습니다.
Configuration Manager 사용하여 디바이스에서 애플리케이션 제어를 사용하도록 설정하는 경우 이 정책은 로컬 관리자 권한이 있는 사용자가 애플리케이션 제어 정책을 우회하거나 신뢰할 수 없는 소프트웨어를 실행하는 것을 방지하지 않습니다.
로컬 관리자 권한이 있는 사용자가 애플리케이션 제어를 사용하지 않도록 설정하는 유일한 방법은 서명된 이진 정책을 배포하는 것입니다. 이 배포는 그룹 정책을 통해 가능하지만 현재 Configuration Manager 지원되지 않습니다.
디바이스에서 관리되는 설치 관리자로 Configuration Manager 설정하려면 Windows AppLocker 정책을 사용합니다. AppLocker는 관리되는 설치 관리자를 식별하는 데만 사용됩니다. 모든 적용은 애플리케이션 제어에서 발생합니다.