Microsoft Defender Application Guard 정책 설정 구성
참고
- Windows 격리 앱 시작 관리자 API를 포함한 Microsoft Defender Application Guard는 비즈니스용 Microsoft Edge에서 더 이상 사용되지 않으며 더 이상 업데이트되지 않습니다. 비즈니스용 Edge 보안 기능에 대한 자세한 내용은 비즈니스용 Microsoft Edge 보안 백서를 다운로드하세요.
- Application Guard는 더 이상 사용되지 않으므로 Edge 매니페스트 V3로 마이그레이션하지 않습니다. 해당 브라우저 확장 및 연결된 Windows 스토어 앱을 더 이상 사용할 수 없습니다. 엔터프라이즈에서 MDAG 사용을 중지할 준비가 될 때까지 보호되지 않는 브라우저를 차단하려면 AppLocker 정책 또는 Microsoft Edge 관리 서비스를 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Edge 및 Microsoft Defender Application Guard를 참조하세요.
Microsoft Defender Application Guard(Application Guard)는 그룹 정책을 사용하여 조직의 컴퓨터 설정을 관리하는 데 도움을 줍니다. 그룹 정책을 사용하여 설정을 한 번 지정한 다음, 해당 설정을 여러 컴퓨터에 복사할 수 있습니다. 예를 들어 도메인에 연결된 그룹 정책 개체에서 여러 보안 설정을 설정한 다음 도메인의 모든 엔드포인트에 모든 설정을 적용할 수 있습니다.
Application Guard는 네트워크 격리와 응용 프로그램별 설정을 모두 사용합니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 Edge 엔터프라이즈 모드 및 엔터프라이즈 관리를 위한 MDAG(Microsoft Defender Application Guard)를 지원하는 Windows 버전이 나와 있습니다.
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| 아니오 | 예 | 아니오 | 예 |
Edge 엔터프라이즈 모드 및 엔터프라이즈 관리 라이선스 권한에 대한 MDAG(Microsoft Defender Application Guard)는 다음 라이선스를 통해 부여됩니다.
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| 아니오 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
독립 실행형 모드의 Microsoft Edge용 MDAG(Microsoft Defender Application Guard)에 대한 자세한 내용은 Microsoft Defender Application Guard 개요를 참조하세요.
네트워크 격리 설정
에 Computer Configuration\Administrative Templates\Network\Network Isolation있는 이러한 설정은 조직의 네트워크 경계를 정의하고 관리하는 데 도움이 됩니다. Application Guard는 이 정보를 사용하여 비회사 리소스에 액세스하는 모든 요청을 Application Guard 컨테이너로 자동으로 전송합니다.
참고
Windows 10의 경우 KB5014666 설치되어 있고 Windows 11의 경우 KB5014668 설치한 경우 관리 모드에서 Microsoft Edge용 Application Guard를 사용하도록 네트워크 격리 정책을 구성할 필요가 없습니다.
참고
클라우드에 호스팅된 엔터프라이즈 리소스 도메인을 구성하거나 직원 장치에 앱 설정을 위한 개인 네트워크 범위를 구성해야만 엔터프라이즈 모드를 사용하여 Application Guard를 성공적으로 활성화할 수 있습니다. 프록시 서버는 도메인에 회사 및 개인 정책으로 분류된 중립 리소스여야 합니다.
| 정책 이름 | 지원되는 버전 | 설명 |
|---|---|---|
| 앱에 대한 개인 네트워크 범위 | 최소 Windows Server 2012, Windows 8 또는 Windows RT | 회사 네트워크에 있는 IP 주소 범위 목록(쉼표로 구분)입니다. 포함된 끝점이나 지정된 IP 주소 범위 내에 포함된 끝점은 Microsoft Edge를 사용하여 렌더링되며, Application Guard 환경에서 액세스할 수 없습니다. |
| 클라우드에 호스팅된 엔터프라이즈 리소스 도메인 | 최소 Windows Server 2012, Windows 8 또는 Windows RT | 도메인 클라우드 리소스의 파이프로 구분된(|) 목록입니다. 포함된 끝점은 Microsoft Edge를 사용하여 렌더링되며, Application Guard 환경에서 액세스할 수 없습니다. 이 목록은 네트워크 격리 설정 와일드카드 테이블에 자세히 설명된 와일드카드를 지원합니다. |
| 회사 및 개인용으로 분류된 도메인 | 최소 Windows Server 2012, Windows 8 또는 Windows RT | 회사 또는 개인 리소스도로 사용되는 도메인 이름 목록(쉼표로 구분)입니다. 포함된 엔드포인트는 Microsoft Edge를 사용하여 렌더링되며 Application Guard 및 일반 Microsoft Edge 환경에서 액세스할 수 있습니다. 이 목록은 네트워크 격리 설정 와일드카드 테이블에 자세히 설명된 와일드카드를 지원합니다. |
네트워크 격리 설정 와일드카드
| 값 | 왼쪽에 있는 점 수 | 의미 |
|---|---|---|
contoso.com |
0 | 의 리터럴 값만 신뢰합니다 contoso.com. |
www.contoso.com |
0 | 의 리터럴 값만 신뢰합니다 www.contoso.com. |
.contoso.com |
1 | 텍스트 contoso.com로 끝나는 모든 도메인을 신뢰합니다. 일치하는 사이트에는 , contoso.com및 www.contoso.com가 있습니다spearphishingcontoso.com. |
..contoso.com |
2 | 점 왼쪽에 있는 도메인 계층 구조의 모든 수준을 신뢰합니다. 일치하는 사이트에는 shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, 가 포함되지만 그 자체는 아닙니다 contoso.com . |
응용 프로그램별 설정
에 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard있는 이러한 설정은 조직의 Application Guard 구현을 관리하는 데 도움이 될 수 있습니다.
| 이름 | 지원되는 버전 | 설명 | 옵션 |
|---|---|---|---|
| Microsoft Defender Application Guard 클립보드 설정 구성 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
Application Guard가 클립보드 기능을 사용할 수 있는지 여부를 결정합니다. | 활성화. 이는 관리 모드에서만 적용됩니다. 클립보드 기능을 켜고 다음을 추가로 선택할지 여부를 선택할 수 있습니다. - Virtualization Security가 사용하도록 설정된 경우 클립보드 기능을 완전히 사용하지 않도록 설정합니다. - Application Guard에서 Microsoft Edge로 특정 콘텐츠를 복사할 수 있습니다. - Microsoft Edge에서 Application Guard로 특정 콘텐츠를 복사할 수 있습니다. 중요하다: 복사된 콘텐츠를 Microsoft Edge에서 Application Guard로 이동하도록 허용하면 잠재적인 보안 위험이 발생할 수 있으며 권장되지 않습니다. 비활성화되거나 구성되지 않음. Application Guard에 대한 클립보드 기능을 완전히 해제합니다. |
| Microsoft Defender Application Guard 인쇄 설정 구성 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
Application Guard가 인쇄 기능을 사용할 수 있는지 여부를 결정합니다. | 활성화. 이는 관리 모드에서만 적용됩니다. 인쇄 기능을 켜고 다음을 추가로 선택할지 여부를 선택할 수 있습니다. - Application Guard가 XPS 형식으로 인쇄되도록 설정합니다. - Application Guard가 PDF 형식으로 인쇄되도록 설정합니다. - Application Guard가 로컬로 연결된 프린터에 인쇄되도록 설정합니다. - Application Guard가 이전에 연결된 네트워크 프린터에서 인쇄되도록 설정합니다. 직원은 다른 프린터를 검색할 수 없습니다. 비활성화되거나 구성되지 않음. Application Guard에서 인쇄 기능을 완전히 비활성화합니다. |
| 지속성 허용 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
Microsoft Defender Application Guard의 여러 세션에서 데이터가 유지되는지 여부를 결정합니다. | 활성화. 이는 관리 모드에서만 적용됩니다. Application Guard는 향후 Application Guard 세션에서 사용할 수 있도록 사용자가 다운로드한 파일 및 기타 항목(예: 쿠키, 즐겨찾기 등)을 저장합니다. 비활성화되거나 구성되지 않음. Application Guard 내의 모든 사용자 데이터는 세션 간에 다시 설정됩니다. 참고: 나중에 직원의 데이터 지속성 지원을 중지하기로 결정한 경우 Windows 제공 유틸리티를 사용하여 컨테이너를 재설정하고 개인 데이터를 삭제할 수 있습니다.
컨테이너를 다시 설정하려면 |
| 관리 모드에서 Microsoft Defender Application Guard 켜기 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
Microsoft Edge 및 Microsoft Office용 Application Guard를 켤지 여부를 결정합니다. | 활성화. Microsoft Edge 및/또는 Microsoft Office용 Application Guard를 켜고, 네트워크 격리 설정을 적용하고, Application Guard 컨테이너에서 신뢰할 수 없는 콘텐츠를 렌더링합니다. 필요한 필수 구성 요소 및 네트워크 격리 설정이 디바이스에 이미 설정되어 있지 않으면 Application Guard가 실제로 켜지지 않습니다. 사용 가능한 옵션: - Microsoft Edge에 대해서만 Microsoft Defender Application Guard 사용 - Microsoft Office에 대해서만 Microsoft Defender Application Guard 사용 - Microsoft Edge 및 Microsoft Office 모두에 대해 Microsoft Defender Application Guard 사용 사용하지 않도록 설정됩니다. Application Guard를 해제하여 모든 앱이 Microsoft Edge 및 Microsoft Office에서 실행되도록 허용합니다. 메모: Windows 10의 경우 KB5014666 설치되어 있고 Windows 11의 경우 KB5014668 설치되어 있는 경우 더 이상 Microsoft Edge용 Application Guard를 사용하도록 네트워크 격리 정책을 구성할 필요가 없습니다. |
| 파일을 호스트 운영 체제에 다운로드하도록 허용 | Windows 10 Enterprise 또는 Pro, 1803 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise 또는 Pro 또는 Education |
다운로드한 파일을 Microsoft Defender Application Guard 컨테이너에서 호스트 운영 체제에 저장할지 여부를 결정합니다. | 활성화. 사용자가 다운로드한 파일을 Microsoft Defender Application Guard 컨테이너에서 호스트 운영 체제로 저장할 수 있습니다. 이 작업은 호스트에서 Application Guard 컨테이너로 업로드할 수도 있는 호스트와 컨테이너 간에 공유를 만듭니다. 비활성화되거나 구성되지 않음. 사용자는 Application Guard에서 호스트 운영 체제로 다운로드한 파일을 저장할 수 없습니다. |
| Microsoft Defender Application Guard에 대한 하드웨어 가속 렌더링 허용 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
Microsoft Defender Application Guard가 하드웨어 또는 소프트웨어 가속을 사용하여 그래픽을 렌더링하는지 여부를 결정합니다. | 활성화. 이는 관리 모드에서만 적용됩니다. Microsoft Defender Application Guard는 Hyper-V를 사용하여 지원되는 높은 보안 렌더링 그래픽 하드웨어(GPU)에 액세스합니다. 이러한 GPU는 특히 비디오 재생 및 기타 그래픽 집약적 사용 사례에 대해 Microsoft Defender Application Guard를 사용하는 동안 렌더링 성능 및 배터리 수명을 개선합니다. 높은 보안 렌더링 그래픽 하드웨어를 연결하지 않고 이 설정을 사용하도록 설정하면 Microsoft Defender Application Guard가 자동으로 소프트웨어 기반(CPU) 렌더링으로 되돌아갑니다.
중요하다: 잠재적으로 손상된 그래픽 디바이스 또는 드라이버에서 이 설정을 사용하도록 설정하면 호스트 디바이스에 위험이 발생할 수 있습니다. 비활성화되거나 구성되지 않음. Microsoft Defender Application Guard는 소프트웨어 기반(CPU) 렌더링을 사용하며 타사 그래픽 드라이버를 로드하거나 연결된 그래픽 하드웨어와 상호 작용하지 않습니다. |
| Microsoft Defender Application Guard에서 카메라 및 마이크 액세스 허용 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
Microsoft Defender Application Guard 내에서 카메라 및 마이크 액세스를 허용할지 여부를 결정합니다. | 활성화. 이는 관리 모드에서만 적용됩니다. Microsoft Defender Application Guard 내의 애플리케이션은 사용자의 디바이스에서 카메라와 마이크에 액세스할 수 있습니다.
중요하다: 잠재적으로 손상된 컨테이너를 사용하여 이 정책을 사용하도록 설정하면 카메라 및 마이크 권한을 우회하고 사용자의 지식 없이 카메라와 마이크에 액세스할 수 있습니다. 비활성화되거나 구성되지 않음. Microsoft Defender Application Guard 내의 애플리케이션은 사용자의 디바이스에서 카메라와 마이크에 액세스할 수 없습니다. |
| Microsoft Defender Application Guard가 사용자의 디바이스에서 루트 인증 기관을 사용하도록 허용 | Windows 10 Enterprise 또는 Pro, 1809 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise 또는 Pro |
루트 인증서가 Microsoft Defender Application Guard와 공유되는지 여부를 결정합니다. | 활성화. 지정된 지문과 일치하는 인증서가 컨테이너로 전송됩니다. 쉼표로 여러 인증서를 구분합니다. 비활성화되거나 구성되지 않음. 인증서는 Microsoft Defender Application Guard와 공유되지 않습니다. |
| Microsoft Defender Application Guard에서 감사 이벤트 허용 | Windows 10 Enterprise, 1709 이상 Windows 10 Education, 1809 이상 Windows 11 Enterprise and Education |
이 정책 설정을 사용하면 Microsoft Defender Application Guard에서 감사 이벤트를 수집할 수 있는지 여부를 결정할 수 있습니다. | 활성화. 이는 관리 모드에서만 적용됩니다. Application Guard는 디바이스에서 감사 정책을 상속하고 Application Guard 컨테이너에서 호스트로 시스템 이벤트를 기록합니다. 비활성화되거나 구성되지 않음. 이벤트 로그는 Application Guard 컨테이너에서 수집되지 않습니다. |
Application Guard 지원 대화 상자 설정
이러한 설정은 에 Administrative Templates\Windows Components\Windows Security\Enterprise Customization있습니다. 오류가 발생하면 대화 상자가 표시됩니다. 기본적으로 이 대화 상자에는 피드백 허브를 통해 Microsoft에 보고할 수 있는 오류 정보와 단추만 포함됩니다. 그러나 대화 상자에서 추가 정보를 제공할 수 있습니다.