규칙 컬렉션
AppLocker MMC(Microsoft Management Console) 스냅인은 규칙 컬렉션이라는 네 개의 영역으로 구성되어 있습니다. 이 네 개의 규칙 컬렉션은 실행 파일, 스크립트, Windows Installer 파일 및 DLL 파일입니다. 관리자는 이러한 컬렉션을 통해 손쉽게 여러 응용 프로그램 종류에 대한 규칙을 구분할 수 있습니다. 다음 표에서는 각 규칙 컬렉션에 포함된 파일 형식을 보여 줍니다.
 | 참고 |
DLL 규칙 컬렉션은 기본적으로 사용되지 않습니다. DLL 규칙 컬렉션을 사용하도록 설정하는 방법에 대한 자세한 내용은 AppLocker 규칙 적용을 참조하십시오. |
| 규칙 컬렉션 | 관련 파일 형식 |
|---|---|
실행 파일 |
.exe .com |
스크립트 |
.ps1 .bat .cmd .vbs .js |
Windows Installer |
.msi .msp |
DLL |
dll .ocx |
 | 중요 |
DLL 규칙을 사용할 경우 허용되는 모든 응용 프로그램에서 사용하는 각 DLL에 대해 DLL 허용 규칙을 만들어야 합니다. |
 | 주의 |
DLL 규칙이 사용되는 경우 AppLocker에서는 응용 프로그램이 로드하는 각 DLL을 검사해야 합니다. 따라서 DLL 규칙이 사용될 때는 성능이 저하될 수 있습니다. |
규칙 조건
규칙 조건은 AppLocker 규칙의 기준이 되는 조건입니다. AppLocker 규칙을 만들려면 주 조건이 필요합니다. 세 가지 주 규칙 조건은 게시자, 경로 및 파일 해시입니다.
게시자
이 조건은 디지털 서명과 확장 특성을 기반으로 응용 프로그램을 식별합니다. 디지털 서명에는 응용 프로그램을 만든 회사 즉, 게시자에 대한 정보가 들어 있습니다. 이진 리소스에서 가져온 확장 특성에는 해당 응용 프로그램을 포함하는 제품의 이름과 응용 프로그램의 버전 번호가 들어 있습니다. 게시자는 Microsoft와 같은 소프트웨어 개발 회사이거나 조직의 정보 기술 부서일 수 있습니다.
| 참고 |
가능하면 게시자 조건을 사용하십시오. 게시자 조건을 만들면 응용 프로그램의 위치가 변경되거나 응용 프로그램이 업데이트되는 경우에도 응용 프로그램이 계속 동작할 수 있습니다. |
게시자 조건에 대한 참조 파일을 선택하면 마법사가 게시자, 제품, 파일 이름 및 버전 번호를 지정하는 규칙을 만듭니다. 슬라이더를 아래로 이동하거나 제품, 파일 이름 또는 버전 번호 필드에 와일드카드 문자(*)를 사용하여 보다 일반적인 규칙으로 편집할 수 있습니다.
| 참고 |
규칙 만들기 마법사에서 규칙을 만드는 동안 사용자 지정 값을 입력하려면 사용자 지정 값 사용 확인란을 선택해야 합니다. 이 확인란이 선택되어 있으면 슬라이더를 사용하여 규칙의 구체성을 높이거나 낮출 수 없습니다. |
파일 버전은 사용자가 특정 버전, 이전 버전 또는 이후 버전을 실행할 수 있는지 여부를 제어합니다. 버전 번호를 선택한 후 다음 옵션을 구성할 수 있습니다.
- 정확히 일치. 해당 버전의 응용 프로그램에만 규칙이 적용됩니다.
- 이상. 해당 버전과 그 이후의 모든 버전에 규칙이 적용됩니다.
- 이하. 해당 버전과 그 이전의 모든 버전에 규칙이 적용됩니다.
다음 표에서는 게시자 조건이 적용되는 방식을 설명합니다.
| 옵션 | 게시자 조건으로 허용 또는 거부되는 항목 | |
|---|---|---|
모든 서명된 파일 | 게시자가 서명한 모든 파일 | |
게시자만 | 지정된 게시자가 서명한 모든 파일 | |
게시자 및 제품 이름 | 지정된 게시자가 서명한 특정 제품의 모든 파일 | |
게시자, 제품 이름, 파일 이름 | 해당 게시자가 서명한 지정된 제품의 지정된 파일(버전 상관없음) | |
게시자, 제품 이름, 파일 이름, 파일 버전 | 정확히 일치 | 해당 게시자가 서명한 지정된 제품의 지정된 파일 중 특정 버전 |
게시자, 제품 이름, 파일 이름, 파일 버전 | 이상 | 해당 게시자가 서명한 제품의 지정된 파일 중 특정 버전과 모든 새 릴리스 |
게시자, 제품 이름, 파일 이름, 파일 버전 | 이하 | 해당 게시자가 서명한 제품의 지정된 파일 중 특정 버전과 모든 이전 버전 |
사용자 지정 | 게시자, 제품 이름, 파일 이름 및 버전 필드를 편집하여 사용자 지정 규칙을 만들 수 있습니다. | |
경로
이 조건은 컴퓨터의 파일 시스템이나 네트워크에서의 위치에 따라 응용 프로그램을 식별합니다.
Windows에서 AppLocker는 디렉터리에 경로 변수를 사용합니다.
| 참고 |
이러한 경로 변수 중 두 개는 Windows 환경 변수와 동일한 형식을 사용하지만 환경 변수는 아닙니다. AppLocker는 AppLocker 경로 변수만 해석할 수 있습니다. |
다음 표에서는 이러한 경로 변수를 자세히 보여 줍니다.
| Windows 디렉터리 또는 드라이브 | AppLocker 경로 변수 | Windows 환경 변수 |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Windows 설치 디렉터리 | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% 및 %ProgramFiles(x86)% |
이동식 미디어(예: CD 또는 DVD) | %REMOVABLE% | |
이동식 저장 장치(예: USB 플래시 드라이브) | %HOT% |
| 중요 |
경로 조건은 많은 수의 폴더와 파일을 포함하도록 구성할 수 있으므로 경로 조건을 계획할 때는 주의해야 합니다. 예를 들어 경로 조건이 있는 허용 규칙에 관리자가 아닌 사용자가 데이터를 쓸 수 있는 폴더 위치가 포함되어 있으면 사용자가 승인되지 않은 파일을 해당 위치에 복사한 다음 이 파일을 실행할 수 있게 됩니다. 따라서 사용자 프로필과 같은 표준 사용자 쓰기 가능 위치에 대해서는 경로 조건을 만들지 않는 것이 가장 좋습니다. |
파일 해시
파일 해시 조건이 선택되어 있으면 시스템에서는 식별된 파일의 암호화 해시를 계산합니다.
AppLocker 기본 규칙
AppLocker에서는 각 규칙 종류에 대해 기본 규칙을 생성할 수 있습니다.
실행 파일의 기본 규칙 종류는 다음과 같습니다.
- 로컬 Administrators 그룹의 구성원이 모든 응용 프로그램을 실행할 수 있도록 허용
- Everyone 그룹의 구성원이 Windows 폴더에 있는 응용 프로그램을 실행할 수 있도록 허용
- Everyone 그룹의 구성원이 Program Files 폴더에 있는 응용 프로그램을 실행할 수 있도록 허용
Windows Installer의 기본 규칙 종류는 다음과 같습니다.
- 로컬 Administrators 그룹의 구성원이 모든 Windows Installer 파일을 실행할 수 있도록 허용
- Everyone 그룹의 구성원이 디지털 서명된 Windows Installer 파일을 실행할 수 있도록 허용
- Everyone 그룹의 구성원이 %systemdrive%\Windows\Installer에 있는 모든 Windows Installer 파일을 실행할 수 있도록 허용
스크립트의 기본 규칙 종류는 다음과 같습니다.
- 로컬 Administrators 그룹의 구성원이 모든 스크립트를 실행할 수 있도록 허용
- Everyone 그룹의 구성원이 Program Files 폴더의 스크립트를 실행할 수 있도록 허용
- Everyone 그룹의 구성원이 Windows 폴더의 스크립트를 실행할 수 있도록 허용
DLL의 기본 규칙 종류는 다음과 같습니다.
- 로컬 Administrators 그룹의 구성원이 모든 DLL을 로드할 수 있도록 허용
- Everyone 그룹의 구성원이 Program Files 폴더의 DLL을 로드할 수 있도록 허용
- Everyone 그룹의 구성원이 Windows 폴더의 DLL을 로드할 수 있도록 허용
자세한 내용은 기본 AppLocker 규칙 만들기를 참조하십시오.
AppLocker 규칙 동작
특정 규칙 컬렉션에 대한 AppLocker 규칙이 없으면 해당 파일 형식의 모든 파일을 실행할 수 있습니다. 그러나 특정 규칙 컬렉션에 대한 AppLocker 규칙이 만들어져 있으면 규칙에서 명시적으로 허용된 파일만 실행할 수 있습니다. 예를 들어 %SystemDrive%\파일 경로에 있는 .exe 파일을 실행할 수 있도록 허용하는 실행 파일 규칙을 만들면 해당 경로에 있는 실행 파일만 실행할 수 있습니다.
허용 또는 거부 동작 중 하나를 사용하도록 규칙을 구성할 수 있습니다.
- 허용. 사용 중인 환경에서 실행할 수 있는 파일과 해당되는 사용자 또는 사용자 그룹을 지정할 수 있습니다. 예외를 구성하여 규칙에서 제외되는 파일을 식별할 수도 있습니다.
- 거부. 사용 중인 환경에서 실행할 수 없는 파일과 해당되는 사용자 또는 사용자 그룹을 지정할 수 있습니다. 예외를 구성하여 규칙에서 제외되는 파일을 식별할 수도 있습니다.
| 중요 |
허용 동작과 거부 동작을 함께 사용할 수 있습니다. 하지만 거부 동작은 항상 허용 동작보다 우선하므로 그보다는 허용 동작과 예외를 사용하는 것이 좋습니다. 거부 동작을 우회할 수도 있습니다. |
규칙 예외
개별 사용자나 사용자 그룹에 AppLocker 규칙을 적용할 수 있습니다. 사용자 그룹에 규칙을 적용하면 해당 그룹의 모든 사용자가 해당 규칙의 영향을 받습니다. 사용자 그룹 중 특정 하위 집합만 응용 프로그램을 사용할 수 있도록 허용해야 하는 경우에는 해당 하위 집합에 대한 특수 규칙을 만들 수 있습니다. 예를 들어 Everyone 그룹의 구성원이 Windows를 실행할 수 있도록 허용 - 레지스트리 편집기 제외 규칙을 사용하면 조직의 모든 사용자가 Windows를 실행할 수 있지만 레지스트리 편집기는 실행할 수 없습니다. 따라서 기술 지원팀 담당자와 같은 사용자가 지원 작업에 필요한 프로그램을 실행할 수 없게 됩니다. 이 문제를 해결하려면 Helpdesk 사용자 그룹에 적용되는 두 번째 규칙, 즉 Helpdesk 그룹의 구성원이 레지스트리 편집기를 사용하도록 허용을 만듭니다. 모든 사용자가 레지스트리 편집기를 실행할 수 없도록 하는 거부 규칙을 만들면 이 거부 규칙은 Helpdesk 사용자 그룹이 레지스트리 편집기를 실행할 수 있도록 허용하는 두 번째 규칙보다 우선합니다.
AppLocker 마법사
다음과 같은 두 가지 방법으로 사용자 지정 규칙을 만들 수 있습니다.
- 규칙 만들기 마법사를 사용하여 규칙을 한 번에 하나씩 만들 수 있습니다. 자세한 내용은 AppLocker 규칙 만들기를 참조하십시오.
- 자동으로 규칙 만들기 마법사를 사용하여 폴더를 선택하고 규칙을 적용할 사용자 또는 그룹을 선택한 다음 해당 폴더에 대해 여러 규칙을 한 번에 만들 수 있습니다. 이 마법사는 허용 규칙만 자동으로 생성합니다. 자세한 내용은 AppLocker 규칙 자동 생성을 참조하십시오.
추가 고려 사항
- 기본적으로 AppLocker 규칙은 사용자가 명시적으로 허용되지 않은 어떤 파일도 열거나 실행할 수 없도록 합니다. 관리자는 허용되는 응용 프로그램의 최신 목록을 유지 관리해야 합니다.
- 다음 두 종류의 AppLocker 조건은 업데이트 후 유지되지 않습니다.
- 파일 해시 조건. 응용 프로그램의 암호화 해시 값은 규칙이 만들어질 때 생성되므로 파일 해시 조건은 응용 프로그램과 함께 사용할 수 있습니다. 하지만 해시 값은 해당 버전의 응용 프로그램과만 관련이 있습니다. 따라서 조직 내에서 사용하는 응용 프로그램의 버전이 여러 가지 있는 경우 사용 중인 각 버전과 이후 릴리스된 모든 새 버전에 대해 파일 해시 조건을 만들어야 합니다.
- 특정 제품 버전이 설정된 게시자 조건. 파일 조건 옵션으로 정확히 일치를 사용하는 게시자 조건을 만들 경우 새 버전의 응용 프로그램이 설치되면 규칙이 유지되지 않습니다. 새 게시자 조건을 만들거나 해당 규칙 버전을 보다 덜 구체적인 규칙으로 편집해야 합니다.
- 파일 해시 조건. 응용 프로그램의 암호화 해시 값은 규칙이 만들어질 때 생성되므로 파일 해시 조건은 응용 프로그램과 함께 사용할 수 있습니다. 하지만 해시 값은 해당 버전의 응용 프로그램과만 관련이 있습니다. 따라서 조직 내에서 사용하는 응용 프로그램의 버전이 여러 가지 있는 경우 사용 중인 각 버전과 이후 릴리스된 모든 새 버전에 대해 파일 해시 조건을 만들어야 합니다.
- 응용 프로그램이 디지털 서명되지 않은 경우에는 게시자 조건을 사용할 수 없습니다.
- Windows 7 이전의 Windows 운영 체제를 실행하는 컴퓨터를 관리하는 데는 AppLocker 규칙을 사용할 수 없습니다. 대신 소프트웨어 제한 정책을 사용해야 합니다.
- GPO(그룹 정책 개체)에 AppLocker 규칙이 정의되어 있으면 해당 규칙만 적용됩니다. 소프트웨어 제한 정책 규칙과 AppLocker 규칙 간의 상호 운용성을 보장하려면 소프트웨어 제한 정책 규칙과 AppLocker 규칙을 서로 다른 GPO에 정의해야 합니다.
- AppLocker 규칙이 감사만으로 설정되어 있으면 해당 규칙은 적용되지 않습니다. 사용자가 이 규칙에 포함된 응용 프로그램을 실행하면 응용 프로그램이 정상적으로 열리고 실행되며 해당 응용 프로그램에 대한 정보가 AppLocker 이벤트 로그에 추가됩니다.
- 응용 프로그램이 차단될 때 표시되는 메시지에 사용자 지정 구성 URL을 포함할 수 있습니다.
- 초기에는 차단된 응용 프로그램으로 인해 기술 지원팀에 접수되는 문의가 늘어날 수 있습니다. 허용되지 않은 응용 프로그램은 실행할 수 없다는 것을 사용자들이 이해하기 시작하면 문의는 줄어들 것입니다.
추가 참조