AppLocker로 패키지된 앱 관리
IT 전문가를 위한 이 문서에서는 전체 애플리케이션 제어 전략의 일부로 AppLocker를 사용하여 패키지된 앱을 관리하는 데 도움이 되는 개념 및 목록 절차를 설명합니다.
AppLocker용 패키지된 앱 및 패키지된 앱 설치 관리자 이해
패키지된 앱은 앱 패키지 내의 모든 파일이 동일한 ID를 공유하도록 하는 모델을 기반으로 합니다. 클래식 Windows 앱을 사용하면 앱 내의 각 파일에 고유한 ID가 있을 수 있습니다. 패키지된 앱을 사용하면 단일 AppLocker 규칙을 사용하여 전체 앱을 제어할 수 있습니다.
참고
AppLocker는 패키지된 앱에 대한 게시자 규칙만 지원합니다. Windows는 서명되지 않은 패키지 앱을 지원하지 않으므로 모든 패키지된 앱은 소프트웨어 게시자가 서명해야 합니다.
일반적으로 앱은 앱을 설치하는 데 사용되는 설치 관리자와 하나 이상의 exes, dll 또는 스크립트와 같은 여러 구성 요소로 구성됩니다. 클래식 Windows 앱을 사용하는 경우 이러한 모든 구성 요소가 항상 소프트웨어의 게시자 이름, 제품 이름 및 제품 버전과 같은 일반적인 특성을 공유하는 것은 아닙니다. 따라서 AppLocker는 exe, dll, 스크립트 및 Windows Installer 규칙과 같은 다양한 규칙 컬렉션을 통해 이러한 각 구성 요소를 개별적으로 제어합니다. 반면 패키지된 앱의 모든 구성 요소는 동일한 게시자 이름, 패키지 이름 및 패키지 버전 특성을 공유합니다. 따라서 단일 규칙으로 전체 앱을 제어할 수 있습니다.
클래식 Windows 앱 및 패키지된 앱 비교
클래식 Windows 앱 및 패키지된 앱에 대한 규칙을 함께 적용할 수 있습니다. 패키지된 앱과 고려해야 하는 클래식 Windows 앱의 차이점은 다음과 같습니다.
- 앱 설치 - 모든 패키지된 앱은 표준 사용자가 설치할 수 있는 반면, 대부분의 클래식 Windows 앱은 설치할 관리 권한이 필요합니다. 대부분의 사용자가 표준 사용자인 환경에서는 클래식 Windows 앱에 설치할 관리 권한이 필요하기 때문에 더 적은 exe 규칙이 필요할 수 있지만 패키지된 앱에 대한 더 많은 규칙이 필요할 수 있습니다.
- 시스템 상태 변경 - 관리 권한으로 실행되는 경우 클래식 Windows 앱을 작성하여 시스템 상태를 변경할 수 있습니다. 패키지된 대부분의 앱은 제한된 권한으로 실행되므로 시스템 상태를 변경할 수 없습니다. AppLocker 정책을 디자인할 때 허용하는 앱이 시스템 전체에서 변경할 수 있는지 여부를 이해하는 것이 중요합니다.
AppLocker는 다양한 규칙 컬렉션을 사용하여 패키지된 앱 및 클래식 Windows 앱을 제어합니다. 한 형식, 다른 형식 또는 둘 다를 제어할 수 있습니다.
클래식 Windows 앱 제어에 대한 자세한 내용은 AppLocker 관리를 참조하세요.
패키지된 앱에 대한 자세한 내용은 AppLocker의 패키지된 앱 및 패키지된 앱 설치 관리자 규칙을 참조하세요.
디자인 및 배포 결정
두 가지 방법을 사용하여 컴퓨터에 패키지된 앱의 인벤토리를 만들 수 있습니다. AppLocker 콘솔 또는 Get-AppxPackage Windows PowerShell cmdlet입니다.
참고
모든 패키지된 앱이 AppLocker의 애플리케이션 인벤토리 마법사에 나열되지는 않습니다. 특정 앱 패키지는 다른 앱에서 활용하는 프레임워크 패키지입니다. 자체적으로 이러한 패키지는 아무 작업도 수행할 수 없지만 이러한 패키지를 차단하면 허용하려는 앱에 실수로 오류가 발생할 수 있습니다. 대신 이러한 프레임워크 패키지를 사용하는 패키지된 앱에 대해 허용 또는 거부 규칙을 만들 수 있습니다. AppLocker 사용자 인터페이스는 프레임워크 패키지로 등록된 모든 패키지를 의도적으로 필터링합니다. 인벤토리 목록을 만드는 방법에 대한 자세한 내용은 각 비즈니스 그룹에 배포된 앱 목록 만들기를 참조하세요.
Get-AppxPackage Windows PowerShell cmdlet을 사용하는 방법에 대한 자세한 내용은 AppLocker PowerShell 명령 참조를 참조하세요.
패키지된 앱에 대한 규칙을 만드는 방법에 대한 자세한 내용은 패키지된 앱에 대한 규칙 만들기를 참조하세요.
앱을 디자인하고 배포할 때 다음 정보를 고려합니다.
- AppLocker는 패키지된 앱에 대한 게시자 규칙만 지원하므로 패키지된 앱에 대한 설치 경로 정보를 수집할 필요가 없습니다.
- 소프트웨어 게시자가 모든 패키지 앱 및 패키지 앱 설치 관리자에 서명해야 하므로 패키지된 앱에 대한 해시 또는 경로 기반 규칙을 만들 필요가 없습니다. 클래식 Windows 앱이 항상 일관되게 서명된 것은 아닙니다. 따라서 AppLocker는 해시 또는 경로 기반 규칙을 지원해야 합니다.
- 기본적으로 특정 규칙 컬렉션에 규칙이 없는 경우 AppLocker는 해당 규칙 컬렉션에 포함된 모든 파일을 허용합니다. 예를 들어 Windows Installer 규칙이 없는 경우 AppLocker는 모든 .msi, .msp 및 .mst 파일을 실행할 수 있도록 허용합니다.
참고
기존 도메인 정책에 exe 규칙 컬렉션에 구성된 규칙이 있는 경우 기본적으로 AppLocker는 패키지된 모든 앱을 차단합니다. 엔터프라이즈에서 패키지된 앱을 허용하려면 명시적 조치를 취해야 합니다. 패키지된 앱의 선택 집합만 허용할 수 있습니다. 또는 모든 패키지된 앱을 허용하려면 패키지된 앱 컬렉션에 대한 기본 규칙을 만들 수 있습니다.
AppLocker를 사용하여 패키지된 앱 관리
각 규칙 컬렉션을 관리하는 데 차이가 있는 것처럼 다음 전략을 사용하여 패키지된 앱을 관리해야 합니다.
사용자 환경에서 실행 중인 패키지된 앱에 대한 정보를 수집합니다. 이 정보를 수집하는 방법에 대한 자세한 내용은 각 비즈니스 그룹에 배포된 앱 목록 만들기를 참조하세요.
정책 전략에 따라 특정 패키지된 앱에 대한 AppLocker 규칙을 만듭니다. 자세한 내용은 패키지된 앱에 대한 규칙 만들기 및 AppLocker 기본 규칙 이해를 참조하세요.
새 패키지 앱이 사용자 환경에 도입됨에 따라 AppLocker 정책을 계속 업데이트합니다. 이 업데이트를 수행하려면 기존 AppLocker 규칙 집합에 패키지된 앱에 대한 규칙 추가를 참조하세요.
환경을 계속 모니터링하여 AppLocker 정책에 배포된 규칙의 효과를 확인합니다. 이 모니터링을 수행하려면 AppLocker를 사용하여 앱 사용량 모니터링을 참조하세요.