AppLocker 프로세스 및 조작

IT 전문가를 위한 이 문서에서는 AppLocker가 규칙을 평가하고 적용할 때의 프로세스 종속성 및 상호 작용에 대해 설명합니다.

AppLocker에서 정책을 적용하는 방법

AppLocker 정책은 구성된 적용 모드 설정 중 하나를 포함할 수 있는 규칙의 컬렉션입니다. 적용되면 각 규칙이 정책 내에서 평가되고 규칙 컬렉션은 적용 설정 및 그룹 정책 구조에 따라 적용됩니다.

AppLocker 정책은 정책을 평가하고 Windows 커널 내에서 실행되는 엔진인 애플리케이션 ID 서비스(appid.sys)를 통해 컴퓨터에 적용됩니다. 서비스가 실행되고 있지 않으면 정책이 적용되지 않습니다. 애플리케이션 ID 서비스는 제품 또는 이진 이름이 비어 있더라도 이진 파일의 정보를 로컬 보안 정책 스냅인의 결과 창으로 반환합니다.

AppLocker 정책은 애플리케이션 ID 서비스 요구 사항에 따라 보안 설명자 형식으로 저장됩니다. 파일 경로, 해시 또는 정규화된 이진 이름 특성을 사용하여 규칙에 대한 허용 또는 거부 작업을 형성합니다. 각 규칙은 보안 설명자에 ACE(액세스 제어 항목)로 저장되며 다음 정보를 포함합니다.

• 허용 또는 거부 ACE(SDDL(보안 설명자 정의 언어) 형식의 "XA" 또는 "XD")입니다.
• 이 규칙이 적용되는 SID(사용자 보안 식별자)입니다. (기본값은 SDDL에서 인증된 사용자 SID입니다.)
• appid 특성을 포함하는 규칙 조건입니다.

예를 들어 %windir% 디렉터리의 모든 파일을 실행할 수 있는 규칙에 대한 SDDL은 형식 XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*")을 사용합니다.

Appid.sys DLL 및 실행 파일의 유효한 AppLocker 정책을 읽고 캐시합니다. 새 정책이 적용될 때마다 정책 변환기 작업이 appid.sys 알 수 있습니다. 다른 파일 형식의 경우 SaferIdentifyLevel 호출이 이루어질 때마다 AppLocker 정책을 읽습니다.

AppLocker 규칙 이해

AppLocker 규칙은 특정 사용자 또는 그룹에 대해 실행되는지 여부를 제어하는 파일에 배치된 컨트롤입니다. 5가지 형식의 파일 또는 컬렉션에 대한 AppLocker 규칙을 만듭니다.

• 실행 파일 규칙은 사용자 또는 그룹이 실행 파일을 실행할 수 있는지 여부를 제어합니다. 실행 파일은 대부분 .exe 또는 .com 파일 이름 확장명을 가지며 애플리케이션에 적용됩니다.
• 스크립트 규칙은 사용자 또는 그룹이 .ps1, .bat, .cmd, .vbs 및 .js 파일 이름 확장명을 사용하여 스크립트를 실행할 수 있는지 여부를 제어합니다.
• Windows Installer 규칙은 사용자 또는 그룹이 .msi, .mst 및 .msp(Windows Installer 패치)의 파일 이름 확장명을 사용하여 파일을 실행할 수 있는지 여부를 제어합니다.
• DLL 규칙은 사용자 또는 그룹이 .dll 및 .ocx의 파일 이름 확장명을 가진 파일을 실행할 수 있는지 여부를 제어합니다.
• 패키지된 앱 및 패키지된 앱 설치 관리자 규칙은 사용자 또는 그룹이 패키지된 앱을 실행하거나 설치할 수 있는지 여부를 제어합니다. 패키지된 앱 설치 관리자에는 .appx 확장이 있습니다.

규칙에 적용할 수 있는 세 가지 유형의 조건이 있습니다.

• 규칙의 게시자 조건은 사용자 또는 그룹이 특정 소프트웨어 게시자의 파일을 실행할 수 있는지 여부를 제어합니다. 파일에 서명해야 합니다.

• 규칙의 경로 조건은 사용자 또는 그룹이 특정 디렉터리 또는 해당 하위 디렉터리 내에서 파일을 실행할 수 있는지 여부를 제어합니다.

• 규칙의 파일 해시 조건은 사용자 또는 그룹이 일치하는 암호화된 해시를 사용하여 파일을 실행할 수 있는지 여부를 제어합니다.

• AppLocker 규칙 컬렉션 이해

  AppLocker 규칙 컬렉션은 실행 파일, Windows Installer 파일, 스크립트, DLL 및 패키지된 앱 유형 중 하나에 적용되는 규칙 집합입니다.

• AppLocker 규칙 조건 종류 이해

  규칙 조건은 AppLocker 규칙이 기반으로 하는 조건입니다. AppLocker 규칙을 만들려면 기본 조건이 필요합니다. 세 가지 기본 규칙 조건은 게시자, 경로 및 파일 해시입니다.

  • AppLocker의 게시자 규칙 조건 이해
  • AppLocker의 경로 규칙 조건 이해
  • AppLocker의 파일 해시 규칙 조건 이해

• AppLocker 기본 규칙 이해

  AppLocker에는 각 규칙 컬렉션에 대한 기본 규칙이 포함됩니다. 이러한 규칙은 Windows가 제대로 작동하는 데 필요한 파일이 AppLocker 규칙 컬렉션에서 허용되도록 하기 위한 것입니다.

  • AppLocker의 실행 파일 규칙
  • AppLocker의 Windows Installer 규칙
  • AppLocker의 스크립트 규칙
  • AppLocker의 DLL 규칙
  • AppLocker의 패키지된 앱 및 패키지된 앱 설치 관리자 규칙

• AppLocker 규칙 예외 이해

  개별 사용자 또는 사용자 그룹에 AppLocker 규칙을 적용할 수 있습니다. 사용자 그룹에 규칙을 적용하면 해당 그룹의 모든 사용자에게 규칙이 적용됩니다. 사용자 그룹의 하위 집합만 애플리케이션을 사용하도록 허용해야 하는 경우 해당 하위 집합에 대한 특수 규칙을 만들 수 있습니다.

• AppLocker 규칙 동작 이해 및 AppLocker 이해 규칙에서 작업 허용 및 거부

  각 AppLocker 규칙 컬렉션은 허용된 파일 목록으로 작동합니다.

AppLocker 정책 이해

AppLocker 정책은 규칙 컬렉션 집합과 하나 이상의 컴퓨터에 적용된 해당 구성된 적용 모드 설정입니다.

• AppLocker 적용 설정 이해

  규칙 적용은 개별 규칙이 아닌 규칙 컬렉션에만 적용됩니다. AppLocker는 규칙을 실행 파일, Windows Installer 파일, 스크립트 및 DLL 파일의 네 가지 컬렉션으로 나눕니다. 규칙 적용 옵션은 구성되지 않음, 규칙 적용 또는 감사 전용입니다. 모든 AppLocker 규칙 컬렉션은 함께 애플리케이션 제어 정책 또는 AppLocker 정책을 구성합니다. 기본적으로 적용이 구성되지 않고 규칙이 규칙 컬렉션에 있는 경우 해당 규칙이 적용됩니다.

AppLocker 및 그룹 정책 이해

그룹 정책 사용하여 AppLocker 정책을 별도의 개체 또는 다른 정책과 함께 만들고 수정하고 배포할 수 있습니다.

• 그룹 정책에서 AppLocker 규칙 및 적용 설정 상속 이해

  그룹 정책 AppLocker 정책을 배포하는 데 사용되는 경우 적용 모드가 감사로만 설정되지 않는 한 하나 이상의 규칙을 포함하는 규칙 컬렉션이 적용됩니다. 그룹 정책 GPO(연결된 그룹 정책 개체)에 이미 있는 규칙을 덮어쓰거나 바꾸지 않으며 기존 규칙 외에도 AppLocker 규칙을 적용합니다. AppLocker는 허용 규칙 전에 명시적 거부 규칙을 처리하고 규칙 적용의 경우 GPO에 대한 마지막 쓰기가 적용됩니다.

관련 문서

• AppLocker 기술 참조