다음을 통해 공유

스마트 앱 제어 정책을 사용하여 시작 정책 빌드

참고

비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.

이 문서에서는 스마트 앱 제어 정책을 템플릿으로 사용하여 비즈니스용 앱 제어 정책을 만드는 방법을 설명합니다. 스마트 앱 컨트롤 은 소비자 사용자를 위해 설계된 앱 제어 기반 보안 솔루션입니다. 비즈니스용 App Control과 동일한 기술을 사용하므로 똑같이 강력하지만 유연한 엔터프라이즈 정책의 기초로 사용하기 쉽습니다.

Microsoft는 이 문서에서 만든 정책을 최종 사용자의 디바이스에 대한 대부분의 App Control 배포에 이상적인 시작 정책으로 권장합니다. 일반적으로 App Control을 사용하는 조직은 이 문서에 설명된 것과 같은 허용 정책으로 시작하는 경우 가장 성공적입니다. 이후 문서에서 설명한 대로 시간이 지남에 따라 정책을 강화하여 App Control 관리 디바이스에서 보다 강력한 전반적인 보안 태세를 달성할 수 있습니다.

다양한 시나리오에서 비즈니스용 App Control 배포에서와 같이 Lamna Healthcare Company(Lamna)의 가상 예제를 사용하여 이 시나리오를 설명해 보겠습니다. Lamna는 앱 제어를 사용하여 원치 않거나 권한이 없는 애플리케이션이 관리되는 디바이스에서 실행되지 않도록 방지하는 등 더 강력한 애플리케이션 정책을 채택하려고 합니다.

Alice Pena(그녀/그녀) 는 App Control 출시를 담당하는 IT 팀 리더입니다. Lamna는 현재 완화된 애플리케이션 사용 정책과 사용자에게 최대 앱 유연성을 제공합니다. 따라서 Alice는 App Control에 대한 증분 접근 방식을 취해야 하며 다른 사용자 세그먼트에 대해 서로 다른 정책을 사용해야 한다는 것을 알고 있습니다. 그러나 지금은 Alice가 Lamna에 맞게 조정된 스마트 앱 컨트롤의 "서명된 & 평판" 정책인 수정 없이 대부분의 사용자를 커버할 수 있는 정책을 원합니다.

스마트 앱 컨트롤의 "신뢰 원"이 적합한지 분석

Alice는 앱 제어 정책 수명 주기 관리 계획 문서의 지침을 따르고 스마트 앱 컨트롤 정책에 대한 "신뢰 원"을 분석하여 시작합니다. Alice는 스마트 앱 컨트롤에 대한 Microsoft의 온라인 도움말 문서를 읽고 이를 잘 이해합니다. 이 읽기에서 Alice는 Smart App Control이 ISG(Intelligent Security Graph) 가 안전하다고 예측하는 공개적으로 신뢰할 수 있는 서명된 코드 또는 서명되지 않은 코드만 허용한다는 것을 알게 됩니다. 공개적으로 신뢰할 수 있는 서명된 코드는 서명 인증서의 발급자 가 Microsoft의 신뢰할 수 있는 루트 프로그램의 CA(인증 기관) 중 하나임을 의미합니다. ISG에서 코드가 안전하게 실행되도록 예측할 수 없는 경우 서명되지 않은 코드가 실행되지 않도록 차단됩니다. 안전하지 않은 것으로 확인된 코드는 항상 차단됩니다.

이제 Alice는 Lamna의 사용에 대한 정책을 조정하는 방법을 고려합니다. Alice는 가능한 한 완화되었지만 지속성 보안 값을 제공하는 초기 정책을 만들려고 합니다. Lamna 내의 일부 사람들은 앨리스의 계획보다 더 공격적인 접근 방식을 옹호합니다. 최종 사용자의 디바이스를 즉시 잠그고 제한된 낙진을 희망합니다. 그러나 리더십 팀은 시간이 지남에 따라 천천히 형성된 Lamna의 앱 문화가 하룻밤 사이에 사라지지 않으므로 초기 정책에는 많은 유연성이 필요하다는 데 동의합니다.

organization 대한 주요 요소를 고려합니다.

Alice는 다음으로 회사의 "신뢰의 원"에 영향을 미치는 Lamna의 환경에 대한 주요 요인을 식별합니다. 정책은 단기 및 중기적으로 비즈니스의 요구를 충족할 수 있도록 유연해야 합니다. 이를 통해 Lamna는 새로운 앱 관리 프로세스 및 정책을 도입하여 향후 보다 제한적인 앱 제어 정책에 실용화할 수 있습니다. 또한 주요 요소는 Alice가 첫 번째 배포에 포함할 시스템을 선택하는 데 도움이 됩니다. Alice는 계획 문서에서 다음과 같은 요소를 기록합니다.

  • 사용자 권한: 대부분의 사용자는 표준 사용자이지만 거의 1/4에는 디바이스에 대한 로컬 관리자 권한이 있으며 선택한 앱을 실행하는 옵션이 주요 요인입니다.
  • 운영 체제: Windows 11 대부분의 사용자 디바이스를 실행하지만 Lamna는 클라이언트의 ~10%가 다음 회계 연도, 특히 소규모 위성 사무소에서 Windows 10 유지할 것으로 예상합니다. Lamna의 서버와 특수 장비는 현재 scope 없습니다.
  • 클라이언트 관리: Lamna는 Microsoft Entra 클라우드 네이티브로 배포된 모든 Windows 11 디바이스에 Microsoft Intune 사용합니다. Microsoft Entra 하이브리드 조인으로 배포된 대부분의 Windows 10 디바이스에 대해 MEMCM(Microsoft Endpoint Configuration Manager)을 계속 사용합니다.
  • 앱 관리: Lamna는 사업부 전반에 걸쳐 수백 개의 LOB(기간 업무) 앱을 보유하고 있습니다. Alice 팀은 Intune 사용하여 이러한 앱 중 전부는 아니지만 대부분 배포합니다. 그리고 공식 헌장이 없지만 이를 사용하는 직원에게 중요한 많은 "그림자 IT" 앱을 포함하여 소규모 팀에서 사용하는 앱의 긴 꼬리가 있습니다.
  • 앱 개발 및 코드 서명: Lamna 사업부는 개발 플랫폼 및 프레임워크에서 표준화되지 않으므로 상당한 가변성과 복잡성이 발생할 수 있습니다. 거의 모든 앱은 서명되지 않은 코드 또는 대부분 서명되지 않은 코드를 사용합니다. 이제 회사에 코드 서명이 필요하지만 Lamna의 코드 서명 인증서는 회사 PKI(공개 키 인프라)에서 제공되며 정책에 사용자 지정 규칙이 필요합니다.

가볍게 관리되는 디바이스에 대한 "신뢰 원"을 정의합니다.

Alice는 이러한 요인에 따라 Microsoft의 서명된 & 신뢰할 수 있는 정책의 Lamna 버전에 대한 의사 규칙을 작성합니다.

  1. "Windows 및 Microsoft 인증 커널 드라이버" 다음을 허용하는 하나 이상의 서명자 규칙:

    • Windows 및 해당 구성 요소.
    • WHQL(Windows Hardware Quality Labs) 인증 기관에서 서명한 커널 드라이버입니다.

  2. "공개적으로 신뢰할 수 있는 서명된 코드" 다음을 허용하는 하나 이상의 서명자 규칙:

  3. Lamna 서명된 코드 다음을 허용하는 하나 이상의 서명자 규칙:

    • 자체 내부 PKI에서 발급된 중간 인증서인 Lamna Codesigning PCA(프라이빗 인증 기관)에서 발급된 인증서로 서명된 코드입니다.

  4. "평판"에 따라 앱 허용 다음을 허용하는 정책 옵션:

    • ISG에서 "안전"할 것으로 예측되는 앱입니다.

  5. 관리되는 설치 관리자 허용 다음을 허용하는 정책 옵션:

    • 정책에서 관리되는 설치 관리자로 지정한 프로세스에 의해 시스템에 기록된 코드입니다. Lamna의 관리되는 설치 관리자 정책의 경우 Alice는 Intune 관리 확장과 널리 사용되는 앱에 대한 잘 알려진 자동 업데이트 프로세스를 포함합니다. Alice에는 Lamna의 기술 지원팀 관리자가 사용자의 앱 및 시스템을 복구하는 데 사용하는 앱 설치 관리자 및 스크립트를 복사하도록 학습되는 파일 경로 규칙 "D:\ Lamna Helpdesk*"도 포함되어 있습니다.

  6. 관리 전용 경로 규칙 다음 위치에 대한 하나 이상의 파일 경로 규칙:

    • "C:\Program Files*"
    • "C:\Program Files (x86)*"
    • "%windir%*"
    • "D:\Lamna Helpdesk*"

organization 대한 "서명된 & 신뢰할 수 있는" 정책 템플릿 수정

Alice는 에서 앱 제어 정책 마법사를 https://aka.ms/appcontrolwizard 다운로드하고 실행합니다.

  1. 시작 페이지에서 Alice는 정책 작성자, 정책 편집기정책 병합의 세 가지 옵션을 확인합니다. Alice는 정책 작성 자를 선택하여 다음 페이지로 이동합니다.

  2. 정책 유형 선택에서 Alice는 다중 정책 형식 또는 단일 정책 형식 정책을 만들지 여부를 선택해야 합니다. 최종 사용자의 모든 디바이스가 Windows 11 또는 현재 버전의 Windows 10 실행되므로 Alice는 기본 다중 정책 형식을 그대로 둡니다. 마찬가지로 기본 정책과추가 정책 중에서 선택하는 것은 간단하며 여기에서도 기본 기본 정책을 선택한 상태로 둡니다. Alice가 다음 을 선택하여 계속합니다.

  3. 다음 페이지에서 Alice는 정책에 대한 기본 템플릿을 선택합니다. 앱 제어 마법사는 새 기본 정책을 만들 때 사용할 세 가지 템플릿 정책을 제공합니다. 각 템플릿 정책은 약간 다른 규칙을 적용하여 정책의 신뢰 원 및 보안 모델을 변경합니다. 세 가지 템플릿 정책은 다음과 같습니다.

    정책의 기본 템플릿 선택을 보여 주는 스크린샷

    템플릿 기본 정책 설명
    기본 Windows 모드 기본 Windows 모드는 다음 구성 요소에 권한을 부여합니다.
    • Windows 운영 체제 구성 요소 - 새로운 Windows 설치로 설치된 모든 이진 파일
    • Microsoft Store MarketPlace 서명자가 서명한 MSIX 패키지 앱
    • Microsoft Office365 앱, OneDrive 및 Microsoft Teams
    • WHQL 서명된 드라이버
    Microsoft 모드 허용 Microsoft 모드 허용은 다음 구성 요소에 권한을 부여합니다.
    • 기본 Windows 모드에서 허용되는 모든 코드와...
    • 모든 Microsoft 서명 소프트웨어
    서명된 모드 및 평판 모드 서명 및 평판 모드는 다음 구성 요소에 권한을 부여합니다.

    Alice는 서명된 모드 및 평판 모드 템플릿을 선택한 다음 , 정책 파일 이름 및 위치에 대한 기본값을 수락합니다.

  4. 정책 템플릿 구성 - 정책 규칙에서 Alice는 정책에 대해 사용하도록 설정된 옵션 집합을 검토합니다. 템플릿에는 이미 Microsoft에서 권장하는 대로 설정된 대부분의 옵션이 있습니다. Alice가 변경하는 유일한 변경 사항은 관리되는 설치 관리자WHQL 필요 옵션을 검사 것입니다. 이러한 방식으로 Intune 또는 다른 관리되는 설치 관리자가 설치한 앱은 자동으로 허용되며 Windows 10 이상용으로 빌드된 커널 드라이버만 실행할 수 있습니다. 다음을 선택하면 마법사가 진행됩니다.

    Windows 허용 모드 정책에 대한 규칙 옵션 UI를 보여 주는 스크린샷

  5. 파일 규칙 페이지에는 서명된 모드 및 신뢰할 수 있는 모드 템플릿 정책의 규칙이 표시됩니다. Alice는 서명자 규칙을 추가하여 Lamna 서명 코드를 신뢰하고 파일 경로 규칙은 두 프로그램 파일 디렉터리, Windows 디렉터리 및 Lamna의 Helpdesk 폴더 아래의 관리자 쓰기 가능 전용 위치에서 코드를 허용합니다.

    각 규칙을 만들기 위해 Alice는 + 사용자 지정 추가 를 선택하여 규칙에 대한 조건이 정의된 사용자 지정 규칙 대화 상자를 엽니다. 첫 번째 규칙의 경우 규칙 범위규칙 작업에 대한 기본 선택 항목이 정확합니다. 규칙 유형 드롭다운의 경우 게시자 옵션은 서명자 규칙을 만드는 올바른 선택입니다. 그런 다음 Alice는 찾아보기를 선택하고 Lamna Codesigning PCA에서 발급한 인증서로 서명된 파일을 선택합니다. 마법사는 파일의 RSRC(리소스 헤더 섹션)에서 가져온 서명 정보 및 정보(예: 제품 이름 및 각 요소의 확인란이 있는 원래 파일 이름 )를 표시합니다. 이 경우 Lamna의 내부 코드 서명 인증서로 서명된 모든 항목을 허용하려고 하므로 Alice는 발급 CA게시자 만 확인합니다. Lamna Codesigning PCA 규칙 집합에 대한 규칙 조건을 사용하여 Alice는 규칙 만들기 를 선택하고 규칙이 목록에 포함되는 것을 확인합니다. Alice는 Lamna의 나머지 사용자 지정 규칙에 대해 이러한 단계를 반복합니다.

    사용자 지정 filepublisher 파일 규칙 만들기를 보여 주는 스크린샷

  6. 의사 규칙에 설명된 모든 편집이 완료되었으므로 Alice는 다음 을 선택하고 마법사는 App Control 정책 파일을 만듭니다. 출력 파일에는 XML 양식과 컴파일된 이진 형식의 정책이 포함됩니다. Alice는 XML 정책 파일을 커서로 검토하여 결과가 양좋은지 확인한 다음 마법사를 닫습니다.

Alice는 Lamna의 앱 제어 정책 파일을 위해 특별히 만든 GitHub 리포지토리에 두 파일을 업로드합니다.

Alice의 시작 정책은 이제 감사 모드에서 Lamna의 관리 디바이스에 배포할 준비가 되었습니다.

이 정책의 보안 고려 사항

Alice는 사용자 생산성에 부정적인 영향을 줄 수 있는 가능성을 최소화하기 위해 보안과 사용자 앱 유연성 간에 몇 가지 절차를 만드는 정책을 정의했습니다. 일부 절전은 다음과 같습니다.

  • 관리 액세스 권한이 있는 사용자

    이러한 절충은 가장 영향력 있는 안보 절충안입니다. 이를 통해 디바이스 사용자 또는 사용자의 권한으로 실행되는 맬웨어가 디바이스에서 App Control 정책을 수정하거나 제거할 수 있습니다. 또한 관리자는 관리되는 설치 관리자 역할을 하도록 모든 앱을 구성할 수 있으므로 원하는 앱 또는 이진 파일에 대해 영구 앱 권한 부여를 얻을 수 있습니다.

    가능한 완화 방법:

    • App Control 정책의 변조를 방지하려면 UEFI(Unified Extensible Firmware Interface) 펌웨어를 실행하는 시스템에서 서명된 App Control 정책을 사용합니다.
    • 관리되는 설치 관리자를 신뢰할 필요가 없도록 하려면 서명된 카탈로그 파일을 만들고 배포하거나 정기적인 앱 배포 및 앱 업데이트 절차의 일부로 업데이트된 정책을 배포합니다.
    • 다른 회사 리소스 및 데이터에 대한 액세스를 제어하려면 디바이스 증명을 사용하여 TCG(신뢰할 수 있는 컴퓨팅 그룹) 로그에서 App Control 구성 상태의 부팅 시간 측정을 사용합니다.

  • 서명되지 않은 정책

    관리자 권한으로 실행되는 모든 프로세스는 결과 없이 서명되지 않은 정책을 대체하거나 제거할 수 있습니다. 마찬가지로 서명되지 않은 추가 정책은 옵션 17 사용:추가 정책 허용을 포함하는 서명되지 않은 기본 정책에 대해 "신뢰 원"을 변경할 수 있습니다.

    가능한 완화 방법:

    • App Control 정책의 변조를 방지하려면 UEFI 펌웨어를 실행하는 시스템에서 서명된 App Control 정책을 사용합니다.
    • 위험을 최소화하려면 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.

  • 관리되는 설치 관리자

    관리되는 설치 관리자를 사용하여 보안 고려 사항을 참조하세요.

    가능한 완화 방법:

    • 관리되는 설치 관리자를 신뢰할 필요가 없도록 하려면 서명된 카탈로그 파일을 만들고 배포하거나 정기적인 앱 배포 및 앱 업데이트 절차의 일부로 업데이트된 정책을 배포합니다.
    • 위험을 최소화하려면 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.

  • ISG(지능형 보안 그래프)

    지능형 보안 그래프를 사용하여 보안 고려 사항을 참조하세요.

    가능한 완화 방법:

    • ISG를 신뢰할 필요가 없도록 기존 앱 사용 및 설치에 대한 포괄적인 감사를 수행합니다. 현재 소프트웨어 배포 솔루션에 관리되지 않는 앱(예: Microsoft Intune)을 온보딩합니다. IT에서 앱을 관리하도록 요구하는 정책을 구현합니다. 그런 다음 ISG에서 관리되는 설치 관리자, 서명된 카탈로그 파일 및/또는 업데이트된 정책 규칙으로 전환하고 정기적인 앱 배포 및 앱 업데이트 절차의 일부로 배포합니다.
    • 보안 인시던트 조사 및 인시던트 후 검토에 사용할 더 많은 데이터를 수집하려면 감사 모드에서 매우 제한적인 앱 제어 정책을 배포합니다. App Control 이벤트 로그에 캡처된 데이터에는 Windows 서명되지 않은 실행 코드에 대한 유용한 정보가 포함되어 있습니다. 정책이 디바이스 성능 및 기능에 영향을 주지 않도록 하려면 부팅 프로세스의 일부로 실행되는 Windows 코드를 최소한으로 허용해야 합니다.

  • 추가 정책

    추가 정책은 기본 정책에 정의된 "신뢰 원"을 확장하도록 설계되었습니다. 기본 정책도 서명되지 않은 경우 관리자 권한으로 실행되는 모든 프로세스는 서명되지 않은 추가 정책을 배치하고 제한 없이 기본 정책의 "신뢰 원"을 확장할 수 있습니다.

    가능한 완화 방법:

    • 승인된 서명된 추가 정책만 허용하는 서명된 App Control 정책을 사용합니다.
    • 제한적인 감사 모드 정책을 사용하여 앱 사용량을 감사하고 취약성 검색을 보강합니다.

  • FilePath 규칙

    파일 경로 규칙에 대한 자세한 정보 참조

    가능한 완화 방법:

    • 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.
    • 파일 경로 규칙에서 관리되는 설치 관리자 또는 서명 기반 규칙으로 전환합니다.

  • 서명된 맬웨어

    코드 서명만으로는 보안 솔루션이 아니지만 App Control과 같은 보안 솔루션을 가능하게 하는 두 가지 중요한 구성 요소를 제공합니다. 첫째, 코드 서명은 코드를 실제 ID와 강력하게 연결합니다... 그리고 실제 ID는 서명되지 않은 맬웨어를 담당하는 이름 없는 그림자 그림이 하지 않는 결과에 직면할 수 있습니다. 둘째, 코드 서명은 게시자가 서명한 이후 실행 중인 코드가 중단되지 않은 상태로 유지된다는 암호화 증명을 제공합니다. 모든 코드가 서명되거나 정책이 명시적으로 허용하는 앱 제어 정책은 공격자의 지분과 비용을 높입니다. 그러나 동기 부여된 공격자가 적어도 잠시 동안 악의적인 코드에 서명하고 신뢰할 수 있는 방법이 남아 있습니다. 그리고 소프트웨어가 신뢰할 수 있는 원본에서 온 경우에도 실행해도 안전하다는 의미는 아닙니다. 모든 코드는 악의적인 행위자가 자신의 악의적인 의도에 악용할 수 있는 강력한 기능을 노출할 수 있습니다. 그리고 취약성은 가장 양성 코드를 진정으로 위험한 것으로 바꿀 수 있습니다.

    가능한 완화 방법:

    • Microsoft Defender 같은 실시간 보호를 통해 신뢰할 수 있는 맬웨어 방지 또는 바이러스 백신 소프트웨어를 사용하여 악성 파일, 광고웨어 및 기타 위협으로부터 디바이스를 보호합니다.