다음을 통해 공유

앱 관련 보안 정책을 적용하기 위해 프로세스 완화 옵션 재정의

Windows에는 메모리 기반 공격에 대한 고급 보호를 추가하는 그룹 정책 구성 가능한 "프로세스 완화 옵션", 즉 맬웨어가 메모리를 조작하여 시스템을 제어하는 공격이 포함되어 있습니다. 예를 들어 맬웨어는 버퍼 오버런을 사용하여 악성 실행 코드를 메모리에 삽입하려고 시도할 수 있지만 프로세스 완화 옵션은 악성 코드의 실행을 방지할 수 있습니다.

중요

조직에 배포하기 전에 테스트 랩에서 이러한 완화를 시도하여 조직의 필수 앱을 방해하는지 확인하는 것이 좋습니다.

이 문서의 그룹 정책 설정은 세 가지 유형의 프로세스 완화와 관련이 있습니다. 세 가지 유형은 모두 기본적으로 64비트 애플리케이션에 대해 켜져 있지만 이 문서에 설명된 그룹 정책 설정을 사용하여 더 많은 보호를 구성할 수 있습니다. 프로세스 완화 유형은 다음과 같습니다.

  • DEP(데이터 실행 방지) 는 운영 체제에서 하나 이상의 메모리 페이지를 비정상으로 표시하여 해당 메모리 영역에서 코드가 실행되지 않도록 하여 버퍼 오버런 악용을 방지할 수 있도록 하는 시스템 수준 메모리 보호 기능입니다. DEP는 기본 힙, 스택 및 메모리 풀과 같은 데이터 페이지에서 코드가 실행되지 않도록 방지하는 데 도움이 됩니다. 자세한 내용은 데이터 실행 방지를 참조하세요.
  • SEHOP(구조적 예외 처리 덮어쓰기 보호)는 SEH( 구조적 예외 처리기) 덮어쓰기 기술을 사용하는 익스플로잇을 차단하도록 설계되었습니다. 이 보호 메커니즘은 런타임에 제공되므로 최신 개선 사항으로 컴파일되었는지 여부에 관계없이 앱을 보호하는 데 도움이 됩니다. 자세한 내용은 구조적 예외 처리 덮어쓰기 보호를 참조하세요.
  • ASLR(주소 공간 레이아웃 임의화) 은 특정 DLL이 로드될 것으로 예상되는 특정 메모리 위치를 공격하도록 설계된 맬웨어를 완화하기 위해 부팅 시 임의의 메모리 주소로 DLL을 로드합니다. 자세한 내용은 주소 공간 레이아웃 임의화를 참조하세요. 아래 표에서 더 많은 ASLR 보호를 찾으려면 또는 ASLR를 찾 IMAGES 습니다.

다음 절차에서는 그룹 정책을 사용하여 개별 프로세스 완화 옵션 설정을 재정의하는 방법을 설명합니다.

프로세스 완화 옵션을 수정하려면

  1. 그룹 정책 편집기를 열고 관리 템플릿\시스템\완화 옵션\프로세스 완화 옵션 설정으로 이동합니다.

    그룹 정책 편집기: 설정이 활성화된 프로세스 완화 옵션 및 표시 단추가 활성 상태인 스크린샷

  2. 사용을 선택한 다음 옵션 영역에서 표시를 선택하여 이 문서의 비트 필드 설정예제 섹션과 같이 앱 및 적절한 비트 플래그 값을 추가할 수 있는 콘텐츠 표시 상자를 엽니다.

    중요

    포함하려는 각 앱에 대해 다음을 포함해야 합니다.

    • 값 이름입니다. 확장명을 포함한 앱 파일 이름입니다. 예를 들면 iexplore.exe입니다.
    • 값. 특정 위치에 일련의 비트 플래그가 있는 비트 필드입니다. 비트는 (설정이 강제 해제된 경우), (설정이 강제로 설정된 위치) 1 또는 ? (설정이 이전의 기존 값을 유지하는 위치)로 설정할 0 수 있습니다. 여기에 지정되지 않은 위치에 비트 플래그를 이외의 ? 항목으로 설정하면 정의되지 않은 동작이 발생할 수 있습니다.

    그룹 정책 편집기: 콘텐츠 표시 상자와 예제 텍스트가 있는 프로세스 완화 옵션의 스크린샷

비트 필드 설정

다음은 다양한 프로세스 완화 옵션 설정에 대한 비트 플래그 위치의 시각적 표현입니다.

프로세스 완화 옵션 설정에 대한 비트 플래그 위치의 시각적 표현입니다.

비트 플래그는 오른쪽에서 왼쪽으로 읽고 다음과 같이 정의됩니다.

Flag 비트 위치 설정 세부 정보
A 0 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) 자식 프로세스에 대한 DEP(데이터 실행 방지)를 켭니다.
B 1 PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) 자식 프로세스에 대한 DEP-ATL unk 에뮬레이션을 켭니다. DEP-ATL thunk 에뮬레이션을 사용하면 시스템에서 ATL(Active Template Library) thunk 계층에서 발생한 NX(nonexecutable) 오류를 가로채고 프로세스를 계속 실행할 수 있도록 지침을 에뮬레이트하고 처리할 수 있습니다.
C 2 PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) 자식 프로세스에 대해 SEHOP(구조적 예외 처리기 덮어쓰기 보호)를 켭니다. SEHOP는 SEH(구조적 예외 처리기) 덮어쓰기 기술을 사용하는 익스플로잇을 차단하는 데 도움이 됩니다.
D 8 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) ASLR(주소 공간 레이아웃 임의화) 강제 설정을 사용하여 로드 시 이미지 기본 충돌이 발생한 것처럼 작동하여 동적 기본 호환되지 않는 이미지를 강제로 다시 지정합니다. 재배치가 필요한 경우 기본 재배치 섹션이 없는 이미지는 로드되지 않습니다.
E 15 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) 스택 임의화 옵션을 포함하고 임의의 위치를 가장 낮은 사용자 주소로 사용하는 상향식 임의화 정책을 켭니다.
여자 16 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) 스택 임의화 옵션을 포함하고 임의의 위치를 가장 낮은 사용자 주소로 사용하는 상향식 임의화 정책을 해제합니다.

예제

PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLEPROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON 설정을 켜고 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF 설정을 끄고 다른 모든 항목을 기본값으로 둡니다. 값을 ???????????????0???????1???????1입력하려고 합니다.