WDAC(Windows Defender 애플리케이션 제어) 적용 인프라 관리
WDAC(Windows Defender 애플리케이션 제어)는 사용자가 실행할 수 있는 애플리케이션과 시스템 코어(커널)에서 실행되는 코드를 제한하여 많은 보안 위협을 완화하는 데 도움이 될 수 있습니다. 애플리케이션 제어 정책은 서명되지 않은 스크립트 및 MSI 파일을 차단하고 Windows PowerShell이 ConstrainedLanguage 모드실행되도록 제한할 수도 있습니다.
Windows애플리케이션 제어에 대해 자세히 알아봅니다.
Windows Admin Center가 WDAC 적용 환경을 설치하고 관리하려면 추가 구성이 필요합니다. 이 문서에서는 WDAC 적용 환경 관리에서 이러한 요구 사항 및 알려진 문제에 대해 설명합니다.
요구 사항
다음 섹션에서는 Windows Admin Center를 사용하여 WDAC 적용 인프라(서버, 클라이언트 머신 또는 클러스터)를 관리하기 위한 요구 사항을 제공합니다.
정책 요구 사항
사용 사례에 따라 기본 또는 추가 정책의 일부로 허용 목록에 하나 이상의 인증서를 추가해야 합니다. 기본 또는 추가 정책배포하는 방법에 대해 자세히 알아봅니다.
- 사례 1: 관리되는 노드만 WDAC를 적용합니다.
- 사례 2: 관리되는 노드와 Windows Admin Center를 배포하는 컴퓨터 모두 WDAC를 적용합니다.
사례 1의 경우 관리되는 노드의 WDAC 정책에서 다음 서명자 규칙만 허용 목록에 추가되어야 합니다.
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
케이스 2의 경우, 선행 서명자 규칙을 과 모두 관리되는 노드와 Windows Admin Center를 배포하는 컴퓨터의 허용 목록에 추가해야 합니다. 또한 Windows Admin Center를 배포하는 컴퓨터에서만 허용 목록 에 다음 서명자 규칙을 추가해야 합니다.
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value=".NET" />
</Signer>
2410보다 오래된 Windows Admin Center 버전을 사용하는 경우 CertPublisher Value=".NET" 서명자 규칙이 필요하지 않습니다. 이들 이전 버전에서는 Windows Admin Center를 배포하는 해당 컴퓨터에서만 다음 파일/해시 규칙을 허용 목록에 추가해야 합니다: .
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
정책 생성 도구/스크립트는 Signer ID 및 Allow ID(즉, Signer ID="ID_SIGNER_S_XXXXX")을 자동으로 생성해야 합니다. 자세한 내용은 WDAC 설명서참조하세요.
팁
비즈니스용 앱 제어 마법사 WDAC 정책을 만들고 편집하는 데 유용할 수 있습니다. 마법사 또는 PowerShell 명령을 사용하여 새 정책을 만들 때는 이진 파일에 Publisher 규칙을 사용하여 규칙을 생성합니다. 예를 들어 마법사를 사용하는 경우 Windows Admin Center .msi 파일을 기반으로 사례 1에 대한 WDAC 정책을 생성할 수 있습니다. 사례 2의 경우 마법사를 계속 사용할 수 있지만 나열된 서명자 및 해시 규칙을 포함하도록 WDAC 정책을 수동으로 편집해야 합니다.
네트워크 요구 사항
기본적으로 Windows Admin Center는 HTTP(포트 5985) 또는 HTTPS(포트 5986)를 통해 WinRM을 통해 서버와 통신합니다. WDAC 적용 인프라의 경우 Windows Admin Center는 관리되는 노드(TCP 포트 445)에 대한 SMB 액세스도 추가로 필요합니다.
사용 권한
SMB 포트 445를 통한 UNC 경로를 기반으로 하는 파일 전송은 Windows Admin Center가 이러한 환경을 관리하는 데 중요합니다. 관리되는 서버 또는 클러스터의 관리자인지 확인합니다. 또한 보안 정책이 파일 전송을 차단하지 않는지 확인합니다.
PowerShell 실행 정책
Windows Admin Center에서 WDAC 적용 컴퓨터를 관리하기에는 기본 PowerShell 실행 정책 충분합니다. 그러나 머신에서 기본 실행 정책이 변경되는 경우 서명된 스크립트를 로드하고 실행할 수 있도록 LocalMachine 범위가 RemoteSigned 설정되어 있는지 확인해야 합니다. PowerShell 보안 기능이며 적절하고 필요한 경우에만 변경해야 합니다.
설치 중
평소처럼 WDAC 적용 서버 또는 클라이언트 컴퓨터에 Windows Admin Center를 설치합니다. 위의 요구 사항을 충족하는 경우 Windows Admin Center가 정상적으로 설치되고 작동해야 합니다.
Connecting
평소처럼 WDAC 적용 서버, 클라이언트 또는 클러스터 머신에 연결합니다. 서버에 연결하면 개요 페이지의 PowerShell 언어 모드 필드를 통해 적용 상태를 추적할 수 있습니다. 이 필드의 값이 제한된 경우 WDAC가 적용됩니다.
WDAC 적용 클러스터에 처음으로 연결하는 경우 Windows Admin Center에서 클러스터에 대한 연결을 설정하는 데 몇 분 정도 걸릴 수 있습니다. 후속 연결은 지연되지 않습니다.
참고 항목
관리되는 노드의 WDAC 적용 상태를 변경하는 경우 이 변경 내용을 반영하기 위해 Windows Admin Center를 30초 이상 사용하지 마세요.
알려진 문제
현재 Windows Admin Center를 통해 Azure Local 및 Azure Arc 리소스 브리지에 Azure Kubernetes Service를 배포하는 것은 WDAC 적용 환경에서 지원되지 않습니다.
단일 서버에서 RBAC(역할 기반 액세스 제어)를 사용하는 것은 현재 지원되지 않습니다.
인증서 도구의 특정 작업은 현재 지원되지 않습니다.
문제 해결
"모듈을 찾을 수 없음" 또는 "연결 실패" 오류가 표시되는 경우:
Windows Admin Center에서 관리 노드로 파일을 성공적으로 전송했는지 확인하려면 관리 노드의
%PROGRAMFILES%\WindowsPowerShell\Modules폴더로 이동하여 이름이Microsoft.SME.*모듈이 해당 폴더에 있는지 확인합니다.모듈이 없는 경우 Windows Admin Center에서 서버 또는 클러스터에 다시 연결합니다.
Windows Admin Center가 설치된 컴퓨터에 관리 노드의 TCP 포트 445에 액세스할 수 있는지 확인합니다.