Azure 로컬 버전 23H2에 대한 애플리케이션 제어 관리
적용 대상: Azure Local 2311.2 이상
이 문서에서는 Application Control을 사용하여 Azure Local의 공격 노출 영역을 줄이는 방법을 설명합니다. 자세한 내용은 Azure Local 버전 23H2에서 기준 보안 설정 관리를 참조 하세요.
필수 조건
시작하기 전에 Azure에 배포, 등록 및 연결된 Azure Local 버전 23H2 인스턴스에 액세스할 수 있는지 확인합니다.
Azure Portal을 통해 애플리케이션 제어 설정 보기
Azure Portal에서 애플리케이션 제어 설정을 보려면 MCSB 이니셔티브를 적용했는지 확인합니다. 자세한 내용은 Microsoft Cloud Security Benchmark 적용 이니셔티브를 참조 하세요.
애플리케이션 제어 정책을 사용하여 시스템에서 실행할 수 있는 드라이버 및 앱을 관리할 수 있습니다. Azure Portal을 통해서만 애플리케이션 제어 설정을 볼 수 있습니다. 설정을 관리하려면 PowerShell사용하여 애플리케이션 제어 설정 관리
PowerShell을 사용하여 애플리케이션 제어 설정 관리
애플리케이션 제어 정책 모드를 활성화하다
배포 중 또는 배포 후에 애플리케이션 제어를 사용하도록 설정할 수 있습니다. PowerShell을 사용하여 배포 후 애플리케이션 제어를 사용하거나 사용하지 않도록 설정합니다.
컴퓨터 중 하나에 연결하고 다음 cmdlet을 사용하여 "감사" 또는 "적용" 모드에서 원하는 애플리케이션 제어 정책을 사용하도록 설정합니다.
이 빌드 릴리스에는 두 개의 cmdlet이 있습니다.
-
Enable-AsWdacPolicy
- 모든 클러스터 노드에 영향을 줍니다. -
Enable-ASLocalWDACPolicy
- cmdlet이 실행되는 노드에만 영향을 줍니다.
사용 사례에 따라 전역 클러스터 변경 또는 로컬 노드 변경을 실행해야 합니다.
이 방법은 다음과 같은 경우 유용합니다.
- 기본 권장 설정으로 시작했습니다.
- 새 타사 소프트웨어를 설치하거나 실행해야 합니다. 정책 모드를 전환하여 추가 정책을 만들 수 있습니다.
- 배포하는 동안 Application Control을 사용하지 않도록 설정하기 시작했고, 이제 애플리케이션 제어를 사용하도록 설정하여 보안 보호를 강화하거나 소프트웨어가 제대로 실행되는지 확인하려고 합니다.
- 소프트웨어 또는 스크립트는 애플리케이션 제어에 의해 차단됩니다. 이 경우 감사 모드를 사용하여 문제를 이해하고 해결할 수 있습니다.
참고 항목
애플리케이션이 차단되면 Application Control은 해당 이벤트를 만듭니다. 이벤트 로그를 검토하여 애플리케이션을 차단하는 정책의 세부 정보를 이해합니다. 자세한 내용은 Application Control 운영 가이드참조하세요.
애플리케이션 제어 정책 모드 전환
애플리케이션 제어 정책 모드 간에 전환하려면 다음 단계를 수행합니다. 이러한 PowerShell 명령은 Orchestrator와 상호 작용하여 선택한 모드를 사용하도록 설정합니다.
Azure 로컬 컴퓨터에 연결합니다.
로컬 관리자 자격 증명 또는 배포 사용자(AzureStackLCMUser) 자격 증명을 사용하여 다음 PowerShell 명령을 실행합니다.
다음 cmdlet을 실행하여 현재 사용하도록 설정된 애플리케이션 제어 정책 모드를 확인합니다.
Get-AsWdacPolicyMode
이 cmdlet은 노드당 감사 또는 적용 모드를 반환합니다.
다음 cmdlet을 실행하여 정책 모드를 전환합니다.
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
예를 들어 정책 모드를 감사로 전환하려면 다음을 실행합니다.
Enable-AsWdacPolicy -Mode Audit
Warning
오케스트레이터는 선택한 모드로 전환하는 데 최대 2~3분이 걸립니다.
다시 실행
Get-ASWDACPolicyMode
하여 정책 모드가 업데이트되어 있는지 확인합니다.Get-AsWdacPolicyMode
다음은 이러한 cmdlet의 샘플 출력입니다.
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
타사 소프트웨어를 사용하도록 설정하는 애플리케이션 제어 정책 만들기
적용 모드에서 애플리케이션 제어를 사용하는 동안 Microsoft가 서명하지 않은 소프트웨어가 실행되도록 Microsoft에서 제공하는 기본 정책을 기반으로 애플리케이션 제어 추가 정책을 만드세요. 추가 정보는 공용 Application Control 설명서에서 찾을 수 있습니다.
참고 항목
새 소프트웨어를 실행하거나 설치하려면 먼저 애플리케이션 제어를 감사 모드로 전환하고(위 단계 참조), 소프트웨어를 설치하고, 올바르게 작동하는지 테스트하고, 새 추가 정책을 만든 다음, 애플리케이션 제어를 다시 적용 모드로 전환해야 할 수 있습니다.
아래와 같이 여러 정책 형식으로 새 정책을 만듭니다. 그런 다음 이를 추가 정책으로 변환하고 클러스터의 노드에 배포하는 데 사용합니다 Add-ASWDACSupplementalPolicy -Path Policy.xml
.
애플리케이션 제어 추가 정책 만들기
다음 단계를 사용하여 추가 정책을 만듭니다.
시작하기 전에 추가 정책이 적용되는 소프트웨어를 자체 디렉터리에 설치합니다. 하위 디렉터리가 있는 경우 괜찮습니다. 추가 정책을 만들 때 검사할 디렉터리를 제공해야 하며 추가 정책이 시스템의 모든 코드를 다루지 않도록 합니다. 이 예제에서는 이 디렉터리가 C:\software\codetoscan입니다.
모든 소프트웨어가 설치되면 다음 명령을 실행하여 추가 정책을 만듭니다. 고유한 정책 이름을 사용하여 식별할 수 있습니다.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
다음 cmdlet을 실행하여 추가 정책의 메타데이터를 수정합니다.
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
다음 cmdlet을 실행하여 정책을 배포합니다.
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
다음 cmdlet을 실행하여 새 정책의 상태를 확인합니다.
Get-ASLocalWDACPolicyInfo
다음은 이러한 cmdlet의 샘플 출력입니다.
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM