비즈니스용 App Control 수명 주기 정책 관리 계획

이 문서에서는 비즈니스용 App Control 정책을 관리하고 유지 관리하기 위한 프로세스를 설정하는 데 필요한 결정에 대해 설명합니다.

정책 XML 수명 주기 관리

App Control 구현의 첫 번째 단계는 시간이 지남에 따라 정책을 관리하고 유지 관리하는 방법을 고려하는 것입니다. 비즈니스용 App Control 정책을 관리하기 위한 프로세스를 개발하면 App Control에서 애플리케이션을 organization 실행할 수 있는 방법을 계속 효과적으로 제어할 수 있습니다.

대부분의 비즈니스용 앱 제어 정책은 시간이 지남에 따라 진화하고 수명 동안 식별 가능한 일련의 단계를 진행합니다. 일반적으로 이러한 단계는 다음과 같습니다.

1. 정책에 대한 "신뢰 원"을 정의(또는 구체화)하고 정책 XML의 감사 모드 버전을 빌드합니다. 감사 모드에서는 차단 이벤트가 생성되지만 파일이 실행되지는 않습니다.
2. 감사 모드 정책을 의도된 디바이스에 배포합니다.
3. 의도한 디바이스에서 감사 블록 이벤트를 모니터링하고 필요에 따라 규칙을 추가/편집/삭제하여 예기치 않은/원치 않는 블록을 해결합니다.
4. 나머지 블록 이벤트가 기대에 부합할 때까지 2-3단계를 반복합니다.
5. 정책의 적용 모드 버전을 생성합니다. 강제 모드에서는 정책이 허용하지 않는 파일이 실행되지 않고 해당 블록 이벤트가 생성됩니다.
6. 적용 모드 정책을 의도된 디바이스에 배포합니다. 정책을 광범위하게 배포하기 전에 강제 정책에 단계적 롤아웃을 사용하여 문제를 감지하고 대응하는 것이 좋습니다.
7. 원하는 "신뢰 원"이 변경되는 경우 언제든지 1-6단계를 반복합니다.

소스 제어 또는 문서 관리 솔루션에서 App Control 정책 유지

비즈니스용 App Control 정책을 효과적으로 관리하려면 App Control 정책 관리를 담당하는 모든 사용자가 액세스할 수 있는 중앙 리포지토리에 정책 XML 문서를 저장하고 유지 관리해야 합니다. GitHub와 같은 소스 제어 솔루션 또는 버전 제어를 제공하고 XML 문서에 대한 메타데이터를 지정할 수 있는 Office 365 SharePoint와 같은 문서 관리 솔루션을 사용하는 것이 좋습니다.

각 정책에 대해 PolicyName, PolicyID 및 버전 메타데이터 설정

Set-CIPolicyIDInfo cmdlet을 사용하여 각 정책에 설명이 포함된 이름을 지정하고 고유한 정책 ID를 설정합니다. 이러한 고유한 특성은 비즈니스용 App Control 이벤트를 검토하거나 정책 XML 문서를 볼 때 각 정책을 구분하는 데 도움이 됩니다. PolicyId에 문자열 값을 지정할 수 있지만 여러 정책 형식을 사용하는 정책의 경우 -ResetPolicyId 스위치를 사용하여 시스템에서 정책에 대한 고유 ID를 자동으로 생성할 수 있도록 하는 것이 좋습니다.

또한 정책을 변경할 때 Set-CIPolicyVersion cmdlet을 사용하여 정책의 내부 버전 번호를 늘리는 것이 좋습니다. 버전은 표준 4부 버전 문자열(예: "1.0.0.0")으로 정의되어야 합니다.

정책 규칙 업데이트

새 앱이 배포되거나 소프트웨어 게시자가 기존 앱을 업데이트하여 앱이 올바르게 실행되도록 하는 경우 정책을 수정해야 할 수 있습니다. 정책 규칙 업데이트가 필요한지 여부는 정책에 포함된 규칙 유형에 따라 크게 달라집니다. 코드 서명 인증서를 기반으로 하는 규칙은 앱 변경에 대해 가장 복원력을 제공하는 반면, 파일 특성 또는 해시를 기반으로 하는 규칙은 앱이 변경되면 업데이트가 필요할 가능성이 큽니다. 또는 App Control 관리형 설치 관리자 기능을 사용하고 관리되는 설치 관리자 를 통해 모든 앱과 해당 업데이트를 지속적으로 배포하는 경우 정책 업데이트가 필요할 가능성이 적습니다.

App Control 이벤트 관리

App Control에서 프로세스를 차단할 때마다 이벤트는 CodeIntegrity\Operational 또는 AppLocker\MSI 및 스크립트 Windows 이벤트 로그에 기록됩니다. 이벤트는 실행하려는 파일, 해당 파일의 특성 및 해당 서명, 차단된 파일을 실행하려고 시도한 프로세스에 대해 설명합니다.

중앙 위치에서 이러한 이벤트를 수집하면 비즈니스용 App Control 정책을 유지하고 규칙 구성 문제를 해결하는 데 도움이 될 수 있습니다. Azure Monitor 에이전트를 사용하여 분석을 위해 App Control 이벤트를 자동으로 수집할 수 있습니다.

또한 엔드포인트용 Microsoft Defender고급 헌팅 기능을 사용하여 쿼리할 수 있는 App Control 이벤트를 수집합니다.

애플리케이션 및 사용자 지원 정책

고려 사항은 다음과 같습니다.

• 차단된 애플리케이션에 대해 제공되는 최종 사용자 지원 유형은 무엇인가요?
• 새 규칙은 정책에 어떻게 추가되는가?
• 기존 규칙은 어떻게 업데이트되는가?
• 검토를 위해 이벤트가 전달되었나요?

지원 센터 지원

organization 지원 센터 지원 부서가 설정된 경우 비즈니스용 App Control 정책을 배포할 때 다음 사항을 고려합니다.

• 지원 부서에서 새 정책 배포에 필요한 설명서는 무엇인가요?
• App Control 정책의 영향을 받는 작업 흐름과 타이밍 모두에서 각 비즈니스 그룹의 중요한 프로세스는 무엇이며 지원 부서의 워크로드에 어떤 영향을 미칠 수 있나요?
• 지원 부서의 연락처는 누구인가요?
• 지원 부서에서 최종 사용자와 비즈니스용 App Control 규칙을 유지 관리하는 리소스 간에 App Control 문제를 resolve 방법은 무엇입니까?

최종 사용자 지원

비즈니스용 App Control은 승인되지 않은 앱의 실행을 차단하기 때문에 organization 최종 사용자 지원을 제공하는 방법을 신중하게 계획하는 것이 중요합니다. 고려 사항은 다음과 같습니다.

• 인트라넷 사이트를 차단된 앱을 실행하려는 사용자를 위한 지원의 최전방으로 사용하시겠습니까?
• 정책에 대한 예외를 어떻게 지원하시겠습니까? 사용자가 차단된 앱에 대한 액세스를 일시적으로 허용하도록 스크립트를 실행할 수 있나요?

계획 문서화

organization 비즈니스용 앱 제어 정책을 관리하는 방법을 결정한 후 결과를 기록합니다.

• 최종 사용자 지원 정책. 차단된 앱을 실행하려고 시도한 사용자의 통화를 처리하는 데 사용할 프로세스를 문서화하고, 필요한 경우 관리자가 비즈니스용 앱 제어 정책을 업데이트할 수 있도록 지원 담당자에게 명확한 에스컬레이션 단계가 있는지 확인합니다.
• 이벤트 처리. 저장소라는 중앙 위치에서 이벤트를 수집할지 여부, 해당 저장소를 보관하는 방법 및 분석을 위해 이벤트를 처리할지 여부를 문서화합니다.
• 정책 관리. 계획된 정책, 정책을 관리하는 방법 및 시간이 지남에 따라 규칙을 유지 관리하는 방법을 자세히 설명합니다.