마법사를 사용하여 새 기본 정책 만들기
참고
비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.
비즈니스용 App Control에서 사용할 정책을 만들 때 템플릿 정책으로 시작한 다음, App Control 시나리오에 맞게 규칙을 추가하거나 제거하는 것이 좋습니다. 이러한 이유로 앱 제어 마법사는 기본 정책 만들기 워크플로 중에 시작하고 사용자 지정할 세 가지 템플릿 정책을 제공합니다. App Control에 대한 필수 구성 요소 정보는 App Control 디자인 가이드를 통해 액세스할 수 있습니다. 이 페이지에서는 템플릿에서 새 App Control 정책을 만들고, 정책 옵션을 구성하고, 서명자 및 파일 규칙을 구성하는 단계를 간략하게 설명합니다.
템플릿 기본 정책
각 템플릿 정책에는 정책의 신뢰 원 및 보안 모델에 영향을 주는 고유한 정책 허용 목록 규칙 집합이 있습니다. 다음 표에서는 신뢰와 자유의 순서를 높이는 정책을 나열합니다. instance 경우 기본 Windows 모드 정책은 서명된 모드 및 신뢰할 수 있는 모드 정책보다 적은 수의 애플리케이션 게시자와 서명자를 신뢰합니다. 기본 Windows 정책은 서명된 정책 및 신뢰할 수 있는 정책보다 보안이 향상되지만 호환성을 희생하는 신뢰도가 작습니다.
템플릿 기본 정책 | 설명 |
---|---|
기본 Windows 모드 | 기본 Windows 모드는 다음 구성 요소에 권한을 부여합니다.
|
Microsoft 모드 허용 | 허용 모드는 다음 구성 요소에 권한을 부여합니다.
|
서명된 모드 및 신뢰할 수 있는 모드 | 서명 및 평판 모드는 다음 구성 요소에 권한을 부여합니다.
|
기울임꼴 콘텐츠는 이전 정책과 관련하여 현재 정책의 변경 내용을 표시합니다.
기본 Windows 모드 및 Microsoft 모드 허용 정책에 대한 자세한 내용은 비즈니스용 앱 컨트롤 기본 정책 예제 문서를 통해 액세스할 수 있습니다.
기본 템플릿이 선택되면 정책 이름을 지정하고 디스크에 App Control 정책을 저장할 위치를 선택합니다.
정책 규칙 구성
페이지가 시작되면 이전 페이지에서 선택한 템플릿에 따라 정책 규칙이 자동으로 활성화/비활성화됩니다. 정책 규칙 제목 옆에 있는 슬라이더 단추를 눌러 원하는 정책 규칙 옵션을 사용하거나 사용하지 않도록 설정합니다. 마우스가 규칙 제목을 가리키면 페이지 아래쪽에 각 규칙에 대한 간단한 설명이 표시됩니다.
정책 규칙 설명
다음 표에는 왼쪽 열부터 시작하여 각 정책 규칙에 대한 설명이 있습니다. 정책 규칙 문서에서는 각 정책 규칙에 대한 자세한 설명을 제공합니다.
규칙 옵션 | 설명 |
---|---|
고급 부팅 옵션 메뉴 | F8 프리부트 메뉴는 기본적으로 모든 비즈니스용 App Control 정책에 대해 사용하지 않도록 설정됩니다. 이 규칙 옵션을 설정하면 F8 메뉴가 물리적으로 현재 사용자에게 나타납니다. |
추가 정책 허용 | 기본 정책에서 이 옵션을 사용하여 추가 정책을 확장할 수 있습니다. |
스크립트 적용 사용 안 함 | 이 옵션은 스크립트 적용 옵션을 사용하지 않도록 설정합니다. 서명되지 않은 PowerShell 스크립트 및 대화형 PowerShell은 더 이상 제한된 언어 모드로 제한되지 않습니다. 참고: 이 옵션은 HTA 파일을 실행하는 데 필요하며 Windows 10 2019년 5월 업데이트(1903) 이상에서만 지원됩니다. 이전 버전의 Windows 10 사용은 지원되지 않으며 의도하지 않은 결과가 발생할 수 있습니다. |
HVCI(하이퍼바이저로 보호된 코드 무결성) | 사용하도록 설정하면 정책 적용은 가상화 기반 보안을 사용하여 보안 환경 내에서 코드 무결성 서비스를 실행합니다. HVCI는 커널 맬웨어에 대해 더 강력한 보호를 제공합니다. |
지능형 보안 그래프 권한 부여 | 이 옵션을 사용하여 ISG(Microsoft Intelligent Security Graph)에 정의된 "알려진 양호한" 평판을 가진 애플리케이션을 자동으로 허용합니다. |
관리되는 설치 관리자 | 이 옵션을 사용하여 관리되는 설치 관리자로 정의된 Microsoft Configuration Manager 같은 소프트웨어 배포 솔루션에 의해 설치된 애플리케이션을 자동으로 허용합니다. |
WHQL 필요 | 기본적으로 WHQL(Windows Hardware Quality Labs)에 서명되지 않은 레거시 드라이버는 실행할 수 있습니다. 이 규칙을 사용하도록 설정하려면 실행된 모든 드라이버가 WHQL로 서명되고 레거시 드라이버 지원을 제거해야 합니다. 이제부터 모든 새로운 Windows 호환 드라이버는 WHQL 인증을 받아야 합니다. |
다시 부팅하지 않고 정책 업데이트 | 이 옵션을 사용하여 시스템을 다시 부팅하지 않고도 향후 비즈니스용 App Control 정책 업데이트가 적용되도록 허용합니다. |
서명되지 않은 시스템 무결성 정책 | 정책이 서명되지 않은 상태로 유지될 수 있습니다. 이 옵션을 제거하면 정책에 서명해야 하 고 이후의 정책 수정이 가능하도록 정책에 UpdatePolicySigners를 추가해야 합니다. |
사용자 모드 코드 무결성 | 비즈니스용 앱 제어 정책은 커널 모드와 사용자 모드 이진 파일을 모두 제한합니다. 기본적으로 커널 모드 이진 파일만 제한됩니다. 이 규칙 옵션을 사용하도록 설정하면 사용자 모드 실행 파일 및 스크립트의 유효성이 검사됩니다. |
고급 정책 규칙 설명
+ 고급 옵션 레이블을 선택하면 정책 규칙의 다른 열인 고급 정책 규칙이 표시됩니다. 다음 표에서는 각 고급 정책 규칙에 대한 설명을 제공합니다.
규칙 옵션 | 설명 |
---|---|
실패 시 부팅 감사 | 비즈니스용 앱 제어 정책이 적용 모드에 있을 때 사용됩니다. 시작하는 동안 드라이버가 실패하면 Windows가 로드되도록 앱 제어 정책이 감사 모드에 배치됩니다. 관리자는 CodeIntegrity 이벤트 로그에서 실패 원인을 확인할 수 있습니다. |
플라이트 서명 사용 안 함 | 사용하도록 설정하면 App Control 정책은 flightroot 서명된 이진 파일을 차단합니다. 이 옵션은 조직에서 플라이트/미리 보기 서명된 빌드가 아닌 릴리스된 이진 파일만 실행하려는 시나리오에서 사용됩니다. |
런타임 FilePath 규칙 보호 사용 안 함 | 이 옵션은 관리자만 쓸 수 있는 경로에 대한 FilePath 규칙만 허용하는 기본 런타임 검사 사용하지 않도록 설정합니다. |
동적 코드 보안 | .NET 애플리케이션 및 동적으로 로드된 라이브러리(DLL)에 대한 정책 적용을 사용하도록 설정합니다. |
다시 부팅할 때 EA 무효화 | Intelligent Security Graph 옵션(14)을 사용하는 경우 App Control은 파일을 실행할 권한이 있음을 나타내는 확장된 파일 특성을 설정합니다. 이 옵션을 사용하면 App Control이 ISG에서 승인한 파일의 평판을 주기적으로 다시 확인합니다. |
EV 서명자 필요 | 이 옵션은 현재 지원되지 않습니다. |
참고
감사 모드를 적용하기 전에 새 비즈니스용 앱 제어 정책을 테스트할 수 있으므로 처음에는 감사 모드를 사용하도록 설정하는 것이 좋습니다. 감사 모드에서는 애플리케이션이 차단되지 않고 정책 외부의 애플리케이션이 시작될 때마다 정책이 이벤트를 기록합니다. 이러한 이유로 모든 템플릿에는 기본적으로 감사 모드가 사용하도록 설정되어 있습니다.
사용자 지정 파일 규칙 만들기
App Control 정책의 파일 규칙은 애플리케이션을 식별하고 신뢰할 수 있는 수준을 지정합니다. 파일 규칙은 App Control 정책에서 신뢰를 정의하기 위한 기본 메커니즘입니다. + 사용자 지정 규칙을 선택하면 사용자 지정 파일 규칙 조건 패널이 열리고 정책에 대한 사용자 지정 파일 규칙을 만듭니다. 마법사는 다음 네 가지 유형의 파일 규칙을 지원합니다.
게시자 규칙
게시자 파일 규칙 형식은 코드 서명 인증서 체인의 속성을 사용하여 기본 파일 규칙을 사용합니다. 참조 파일이라고 하는 규칙을 기반으로 하는 파일이 선택되면 슬라이더를 사용하여 규칙의 특이성을 나타냅니다. 다음 표에서는 슬라이더 배치, 해당 비즈니스용 App Control 규칙 수준 및 설명 간의 관계를 보여 줍니다. 테이블과 UI 슬라이더의 배치가 낮을수록 규칙의 특이성이 커지게됩니다.
규칙 조건 | 앱 제어 규칙 수준 | 설명 |
---|---|---|
CA 발급 | PCACertificate | 가장 높은 사용 가능한 인증서가 서명자에 추가됩니다. 이 인증서는 일반적으로 루트 인증서보다 한 수준 낮은 PCA 인증서입니다. 이 인증서로 서명된 모든 파일은 영향을 받습니다. |
게시자 | 게시자 | 이 규칙은 PCACertificate 규칙과 리프 인증서의 CN(일반 이름)의 조합입니다. 주요 CA에서 서명했지만 특정 회사(예: 디바이스 드라이버 회사)의 리프가 있는 모든 파일이 영향을 받습니다. |
파일 버전 | SignedVersion | 이 규칙은 PCACertificate, publisher 및 버전 번호의 조합입니다. 지정된 버전 이상이 지정된 게시자의 모든 항목이 영향을 받습니다. |
파일 이름 | FilePublisher | 가장 구체적인. 파일 이름, 게시자 및 PCA 인증서와 최소 버전 번호의 조합입니다. 지정된 이름을 가진 게시자의 파일이 지정된 버전보다 크거나 같은 경우 영향을 받습니다. |
파일 경로 규칙
파일 경로 규칙은 변경 가능한 액세스 권한을 기반으로 하는 명시적 서명자 규칙과 동일한 보안 보장을 제공하지 않습니다. 파일 경로 규칙을 만들려면 찾아보기 단추를 사용하여 파일을 선택합니다.
파일 특성 규칙
마법사는 인증된 파일 특성에 따라 파일 이름 규칙 만들기를 지원합니다. 파일 이름 규칙은 애플리케이션 및 해당 종속성(예: DLL)이 모두 instance 동일한 제품 이름을 공유할 수 있는 경우에 유용합니다. 이 규칙 수준을 사용하면 제품 이름 파일 이름 매개 변수를 기반으로 대상 정책을 쉽게 만들 수 있습니다. 규칙을 만들 파일 특성을 선택하려면 마법사의 슬라이더를 원하는 특성으로 이동합니다. 다음 표에서는 규칙을 만들 지원되는 각 파일 특성을 설명합니다.
규칙 수준 | 설명 |
---|---|
원본 파일 이름 | 이진 파일의 원래 파일 이름 또는 파일이 처음 만들어진 이름을 지정합니다. |
파일 설명 | 이진 파일 개발자가 제공하는 파일 설명을 지정합니다. |
제품 이름 | 이진 파일이 제공되는 제품의 이름을 지정합니다. |
내부 이름 | 이진 파일의 내부 이름을 지정합니다. |
파일 해시 규칙
마지막으로 마법사는 파일의 해시를 사용하여 파일 규칙 만들기를 지원합니다. 이 수준은 구체적이지만 현재 제품 버전의 해시 값을 유지하기 위해 추가 관리 오버헤드가 발생할 수 있습니다. 이진 파일이 업데이트될 때마다 해시 값이 변경되므로 정책 업데이트가 필요합니다. 기본적으로 마법사는 지정된 파일 규칙 수준을 사용하여 파일 규칙을 만들 수 없는 경우 파일 해시를 대체로 사용합니다.
서명 규칙 삭제
페이지 왼쪽에 있는 정책 서명 규칙 목록 테이블에는 템플릿의 허용 및 거부 규칙과 사용자가 만든 사용자 지정 규칙이 문서화되어 있습니다. 규칙 목록 테이블에서 규칙을 선택하여 정책에서 템플릿 서명 규칙 및 사용자 지정 규칙을 삭제할 수 있습니다. 규칙이 강조 표시되면 테이블 아래의 삭제 단추를 누릅니다. 그런 다음, 다른 확인을 요청하는 메시지가 표시됩니다. 정책 및 규칙 테이블에서 규칙을 제거하려면 선택합니다 Yes
.