AppLocker는 Windows 7 및 Windows Server 2008 R2의 새로운 기능으로, 소프트웨어 제한 정책 기능을 대체합니다. AppLocker에는 관리 오버헤드를 줄여 주고 관리자가 사용자의 파일(실행 파일, 스크립트, Windows Installer 파일 및 DLL) 액세스 및 사용 방식을 제어할 수 있도록 도와 주는 새로운 기능과 확장이 포함되어 있습니다. AppLocker를 사용하여 다음과 같은 작업을 수행할 수 있습니다.
- 게시자, 제품 이름, 파일 이름 및 파일 버전을 포함하여 디지털 서명에서 가져온 파일 특성을 기준으로 규칙을 정의합니다. 예를 들어 업데이트 후에도 유지되는 게시자 특성을 기준으로 규칙을 만들거나 특정 파일 버전에 대한 규칙을 만들 수 있습니다.
- 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.
- 규칙에 대한 예외를 만듭니다. 예를 들어 레지스트리 편집기(Regedit.exe)를 제외한 모든 Windows 프로세스를 실행할 수 있도록 허용하는 규칙을 만들 수 있습니다.
- 정책을 적용하기 전에 감사 전용 모드를 사용하여 정책을 배포하고 해당 정책의 영향을 파악합니다.
- 규칙을 가져오거나 내보냅니다. 가져오기 및 내보내기는 전체 정책에 영향을 줍니다. 예를 들어 정책을 내보내면 규칙 컬렉션의 적용 설정을 포함하여 모든 규칙 컬렉션의 모든 규칙이 내보내집니다. 정책을 가져오면 이 정책이 기존 정책을 덮어씁니다.
- AppLocker PowerShell cmdlet을 사용하여 AppLocker 규칙의 생성 및 관리를 단순화합니다.
AppLocker 규칙에 대한 자세한 내용은 AppLocker 규칙 이해를 참조하십시오.
변경된 기능
다음 표에서는 AppLocker와 소프트웨어 제한 정책을 비교합니다.
기능 | 소프트웨어 제한 정책 | AppLocker |
---|---|---|
규칙 범위 | 모든 사용자 | 특정 사용자 또는 그룹 |
제공되는 규칙 조건 |
파일 해시, 경로, 인증서, 레지스트리 경로 및 인터넷 영역 규칙 |
파일 해시, 경로 및 게시자 규칙 |
제공되는 규칙 종류 | 허용 및 거부 | 허용 및 거부 |
기본 규칙 동작 | 허용 또는 거부 | 거부 |
감사 전용 모드 |
아니요 |
예 |
마법사에서 여러 규칙을 한 번에 만들 수 있음 |
아니요 |
예 |
정책 가져오기 또는 내보내기 |
아니요 |
예 |
규칙 컬렉션 |
아니요 |
예 |
PowerShell 지원 | 아니요 | 예 |
사용자 지정 오류 메시지 | 아니요 | 예 |
AppLocker 요구 사항
AppLocker는 모든 버전의 Windows Server 2008 R2와 Windows 7 Ultimate 및 Windows 7 Enterprise에서 사용할 수 있습니다. AppLocker를 사용하려면 다음이 필요합니다.
- AppLocker 규칙을 만들려면 컴퓨터에서 Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise 또는 Windows 7 Professional을 실행해야 합니다. Windows 7 Professional을 사용하여 규칙을 만들 수는 있지만 Windows 7 Professional을 실행하는 컴퓨터에 규칙을 적용할 수는 없습니다. 해당 컴퓨터는 도메인 컨트롤러일 수 있습니다.
- 그룹 정책 배포를 위해서는 AppLocker 규칙을 호스팅할 수 있도록 적어도 한 대의 컴퓨터에 GPMC(그룹 정책 관리 콘솔)나 RSAT(원격 서버 관리 도구)가 설치되어 있어야 합니다.
- 만든 AppLocker 규칙을 적용하려면 컴퓨터에서 Windows Server 2008 R2, Windows 7 Ultimate 또는 Windows 7 Enterprise를 실행해야 합니다.