다음을 통해 공유

비즈니스용 앱 제어 정책 제거

참고

비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.

App Control 정책 제거

하나 이상의 App Control 정책을 제거하거나 배포한 모든 App Control 정책을 제거하려는 경우가 있을 수 있습니다. 이 문서에서는 App Control 정책을 제거하는 다양한 방법을 설명합니다.

중요

서명된 기본 앱 제어 정책

제거하려는 기본 정책이 서명된 App Control 정책인 경우 먼저 옵션 6 사용:서명되지 않은 시스템 무결성 정책을 포함하는 서명된 대체 정책을 배포해야 합니다.

대체 정책에는 대체하는 정책과 동일한 PolicyId 및 기존 정책과 같거나 더 큰 버전이 있어야 합니다. 대체 정책에는 UpdatePolicySigners>도 포함되어<야 합니다.

적용하려면 대체하려는 원래 정책의 UpdatePolicySigners> 섹션에 <포함된 인증서로 이 정책에 서명해야 합니다.

그런 다음, 정책의 UEFI 보호가 비활성화되도록 컴퓨터를 다시 시작해야 합니다. 이렇게 하지 않으면 부팅 시작 실패가 발생합니다.

앞서 언급한 단계를 수행하지 않고도 서명되지 않은 정책과 동일한 방식으로 서명된 추가 App Control 정책을 제거할 수 있습니다.

정책을 제거하기 전에 먼저 배포하는 데 사용되는 메서드(예: 그룹 정책 또는 MDM)를 사용하지 않도록 설정해야 합니다. 그렇지 않으면 정책이 컴퓨터에 다시 배포될 수 있습니다.

정책을 제거하기 전에 정책을 효과적으로 비활성화하려면 먼저 정책을 다음 변경 내용을 포함하는 새 정책으로 바꿀 수 있습니다.

  1. 정책 규칙을 "허용 *" 규칙으로 바꿉니다.
  2. 옵션 3 사용:감사 모드 를 설정하여 정책을 감사 모드로만 변경합니다.
  3. 설정 옵션 11 사용 안 함:스크립트 적용;
  4. 모든 COM 개체를 허용합니다. App Control 정책에서 COM 개체 등록 허용을 참조하세요.
  5. 해당하는 경우 옵션 0 Enabled:UMCI 를 제거하여 정책을 커널 모드로만 변환합니다.

CiTool.exe 사용하여 App Control 정책 제거

Windows 11 2022 업데이트부터 CiTool.exe 사용하여 App Control 정책을 제거할 수 있습니다. 관리자 권한 명령 창에서 다음 명령을 실행합니다. PolicyId GUID 텍스트를 제거할 App Control 정책의 실제 PolicyId로 바꿔야 합니다.

CiTool.exe -rp "{PolicyId GUID}" -json

참고

Windows 11 2024 업데이트부터는 다시 시작하지 않고도 CiTool.exe 사용하여 서명되지 않은 정책을 제거할 수 있습니다. 그러나 이전 버전의 Windows에서는 제거 프로세스를 완료하려면 다시 시작해야 합니다.

Intune 같은 MDM 솔루션을 사용하여 App Control 정책 제거

Microsoft Intune 같은 MDM(모바일 장치 관리) 솔루션을 사용하여 ApplicationControl CSP를 사용하여 클라이언트 컴퓨터에서 App Control 정책을 제거할 수 있습니다.

ApplicationControl CSP 사용에 대한 자세한 내용은 MDM 솔루션 공급자에게 문의하세요.

그런 다음 컴퓨터를 다시 시작합니다.

스크립트를 사용하여 앱 제어 정책 제거

스크립트를 사용하여 App Control 정책을 제거하려면 스크립트가 컴퓨터에서 정책 파일을 삭제해야 합니다. 여러 정책 형식(1903 이상) App Control 정책의 경우 다음 위치에서 정책 파일을 찾습니다. PolicyId GUID를 제거하려는 App Control 정책의 실제 PolicyId로 바꿔야 합니다.

  • <EFI 시스템 파티션>\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
  • <OS 볼륨>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip

위의 두 위치 외에도 단일 정책 형식 App Control 정책의 경우 다음 위치에서 찾을 수 있는 SiPolicy.p7b라는 파일을 찾습니다.

  • <EFI 시스템 파티션>\Microsoft\Boot\SiPolicy.p7b
  • <OS 볼륨>\Windows\System32\CodeIntegrity\SiPolicy.p7b

그런 다음 컴퓨터를 다시 시작합니다.

단일 App Control 정책을 삭제하는 샘플 스크립트

# Set PolicyId GUID to the PolicyId from your App Control policy XML
$PolicyId = "{PolicyId GUID}"

# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint =  $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"

# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition

# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}

$Count = 1
while ($Count -le $NumFilesToDelete)
{

    # Set the $PolicyPath to the file to be deleted, if exists
    Switch ($Count)
    {
        1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
        4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
    }

    # Delete the policy file from the current $PolicyPath
    Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
    if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}

    $Count = $Count + 1
}

# Dismount the EFI partition
mountvol $MountPoint /D

참고

컴퓨터에서 App Control 정책을 제거하려면 스크립트를 관리자 권한으로 실행해야 합니다.

부팅 중지 실패를 일으키는 App Control 정책 제거

부팅에 중요한 드라이버를 차단하는 앱 제어 정책으로 인해 BSOD(부팅 중지 실패)가 발생할 수 있지만 정책에서 옵션 10 사용:부팅 감사 실패 를 설정하여 완화할 수 있습니다. 또한 서명된 App Control 정책은 시스템에 대한 관리 수준 액세스 권한을 얻은 관리 조작 및 맬웨어로부터 정책을 보호합니다. 이러한 이유로 서명된 App Control 정책은 관리자의 경우에도 서명되지 않은 정책보다 의도적으로 제거하기가 더 어렵습니다. 서명된 App Control 정책을 변조하거나 제거하면 BSOD가 발생합니다.

부팅 중지 실패를 일으키는 정책을 제거하려면 다음을 수행합니다.

  1. 정책이 서명 된 App Control 정책인 경우 UEFI BIOS 메뉴에서 보안 부팅을 끕니다. BIOS 메뉴에서 보안 부팅을 해제할 위치를 찾는 방법에 대한 도움말은 OEM(원래 장비 제조업체)에 문의하세요.
  2. 컴퓨터의 고급 부팅 옵션 메뉴에 액세스하고 드라이버 서명 적용을 사용하지 않도록 설정하는 옵션을 선택합니다. 시작하는 동안 고급 부팅 옵션 메뉴에 액세스하는 방법에 대한 지침은 OEM에 문의하세요. 이 옵션은 단일 부팅 세션에 대해 App Control을 포함한 모든 코드 무결성 검사를 일시 중단합니다.
  3. Windows를 정상적으로 시작하고 로그인합니다. 그런 다음 스크립트를 사용하여 App Control 정책을 제거합니다.
  4. 위의 1단계에서 보안 부팅을 해제하고 드라이브가 BitLocker로 보호되는 경우 BitLocker 보호를 일시 중단한 다음 UEFI BIOS 메뉴에서 보안 부팅을 켭니다.
  5. 컴퓨터를 다시 시작합니다.

참고

드라이브가 Bitlocker로 보호되는 경우 위의 1-2단계를 수행하려면 Bitlocker 복구 키가 필요할 수 있습니다.