마법사를 사용하여 새 추가 정책 만들기
참고
비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.
Windows 10 버전 1903부터 비즈니스용 App Control은 디바이스에서 여러 활성 정책 만들기를 지원합니다. 하나 이상의 추가 정책을 통해 고객은 App Control 기본 정책을 확장하여 정책의 신뢰도를 높일 수 있습니다. 추가 정책은 하나의 기본 정책만 확장할 수 있지만 여러 추가 항목은 동일한 기본 정책을 확장할 수 있습니다. 추가 정책을 사용하는 경우 기본 또는 추가 정책에서 허용하는 애플리케이션을 실행할 수 있습니다.
App Control에 대한 필수 구성 요소 정보는 App Control 디자인 가이드를 통해 액세스할 수 있습니다. 이 페이지에서는 추가 App Control 정책을 만들고, 정책 옵션을 구성하고, 서명자 및 파일 규칙을 구성하는 단계를 간략하게 설명합니다.
기본 정책 확장
새 정책 페이지에서 추가 정책 유형을 선택하면 정책 이름 및 파일 대화 상자를 사용하여 추가 정책의 이름을 지정하고 저장할 수 있습니다. 다음 단계에서는 확장할 기본 정책을 선택해야 합니다. 기본 정책을 확장하려면 기본에서 추가 정책을 허용해야 합니다. 앱 제어 마법사는 기본 정책에서 추가를 허용하는지 확인하고 다음 확인을 표시합니다.
기본 정책이 추가 정책에 대해 구성되지 않은 경우 마법사는 정책을 보완할 수 있는 정책으로 변환하려고 시도합니다. 성공하면 추가 정책 허용 규칙의 추가가 완료되었음을 보여 주는 대화 상자가 마법사에 표시됩니다.
다른 추가 정책을 instance 위해 보완할 수 없는 정책은 마법사에서 검색되고 다음 오류를 표시합니다. 기본 정책만 보완할 수 있습니다. 추가 정책에 대한 자세한 내용은 여러 정책 문서에서 확인할 수 있습니다.
정책 규칙 구성
페이지가 시작되면 이전 페이지에서 선택한 기본 정책에 따라 정책 규칙이 자동으로 활성화/비활성화됩니다. 대부분의 추가 정책 규칙은 기본 정책에서 상속됩니다. 마법사는 기본 정책을 자동으로 구문 분석하고 기본 정책 규칙과 일치하도록 필요한 추가 정책 규칙을 설정합니다. 상속된 정책 규칙은 회색으로 표시되며 사용자 인터페이스에서 수정할 수 없습니다.
규칙에 대한 간단한 설명은 커서가 규칙 제목에 배치되면 페이지 아래쪽에 표시됩니다.
구성 가능한 추가 정책 규칙 설명
추가 정책은 세 가지 정책 규칙만 구성할 수 있습니다. 다음 표에서는 왼쪽 열부터 시작하여 각 정책 규칙에 대해 설명합니다. + 고급 옵션 레이블을 선택하면 정책 규칙의 다른 열인 고급 정책 규칙이 표시됩니다.
| 규칙 옵션 | 설명 |
|---|---|
| 지능형 보안 그래프 권한 부여 | 이 옵션을 사용하여 Microsoft의 ISG(Intelligent Security Graph)에 정의된 "알려진 양호한" 평판을 가진 애플리케이션을 자동으로 허용합니다. |
| 관리되는 설치 관리자 | 이 옵션을 사용하여 관리되는 설치 관리자로 정의된 Microsoft Configuration Manager 같은 소프트웨어 배포 솔루션에 의해 설치된 애플리케이션을 자동으로 허용합니다. |
| 런타임 FilePath 규칙 보호 사용 안 함 | 이 옵션은 관리자만 쓸 수 있는 경로에 대한 FilePath 규칙만 허용하는 기본 런타임 검사 사용하지 않도록 설정합니다. |
사용자 지정 파일 규칙 만들기
App Control 정책의 파일 규칙은 애플리케이션을 식별하고 신뢰할 수 있는 수준을 지정합니다. 파일 규칙은 App Control 정책에서 신뢰를 정의하기 위한 기본 메커니즘입니다. + 사용자 지정 규칙을 선택하면 사용자 지정 파일 규칙 조건 패널이 열리고 정책에 대한 대상 파일 규칙을 만들고 사용자 지정합니다. 마법사는 다음 네 가지 유형의 파일 규칙을 지원합니다.
게시자 규칙
게시자 파일 규칙 형식은 코드 서명 인증서 체인의 속성을 사용하여 기본 파일 규칙을 사용합니다. 참조 파일이라고 하는 규칙을 기반으로 하는 파일이 선택되면 슬라이더를 사용하여 규칙의 특이성을 나타냅니다. 다음 표에서는 슬라이더 배치, 해당 비즈니스용 App Control 규칙 수준 및 해당 설명 간의 관계를 보여 줍니다. 테이블과 UI 슬라이더의 배치가 낮을수록 규칙의 특이성이 커지게됩니다.
| 규칙 조건 | 앱 제어 규칙 수준 | 설명 |
|---|---|---|
| CA 발급 | PCACertificate | 가장 높은 사용 가능한 인증서가 서명자에 추가됩니다. 이 인증서는 일반적으로 루트 인증서보다 한 수준 낮은 PCA 인증서입니다. 이 인증서로 서명된 모든 파일은 영향을 받습니다. |
| 게시자 | 게시자 | 이 규칙은 PCACertificate 규칙과 리프 인증서의 CN(일반 이름)의 조합입니다. 주 CA에서 서명했지만 특정 회사(예: 디바이스 드라이버 게시자)의 리프가 있는 모든 파일이 영향을 받습니다. |
| 파일 버전 | SignedVersion | 이 규칙은 PCACertificate 및 Publisher 규칙과 버전 번호의 조합입니다. 지정된 버전 이상이 지정된 게시자의 모든 항목이 영향을 받습니다. |
| 파일 이름 | FilePublisher | 가장 구체적인. 파일 이름, 게시자 및 PCA 인증서와 최소 버전 번호의 조합입니다. 지정된 이름을 가진 게시자의 파일이 지정된 버전보다 크거나 같은 경우 영향을 받습니다. |
파일 경로 규칙
파일 경로 규칙은 변경 가능한 액세스 권한을 기반으로 하는 명시적 서명자 규칙과 동일한 보안 보장을 제공하지 않습니다. 파일 경로 규칙을 만들려면 찾아보기 단추를 사용하여 파일을 선택합니다.
파일 특성 규칙
마법사는 인증된 파일 특성에 따라 파일 이름 규칙 만들기를 지원합니다. 파일 이름 규칙은 애플리케이션 및 해당 종속성(예: DLL)이 모두 instance 동일한 제품 이름을 공유할 수 있는 경우에 유용합니다. 이 규칙 수준을 사용하면 제품 이름 파일 이름에 따라 대상 정책을 쉽게 만들 수 있습니다. 규칙을 만들 파일 특성을 선택하려면 마법사의 슬라이더를 원하는 특성으로 이동합니다. 다음 표에서는 규칙을 만들 지원되는 각 파일 특성을 설명합니다.
| 규칙 수준 | 설명 |
|---|---|
| 원본 파일 이름 | 이진 파일의 원래 파일 이름 또는 파일이 처음 만들어진 이름을 지정합니다. |
| 파일 설명 | 이진 파일 개발자가 제공하는 파일 설명을 지정합니다. |
| 제품 이름 | 이진 파일이 제공되는 제품의 이름을 지정합니다. |
| 내부 이름 | 이진 파일의 내부 이름을 지정합니다. |
파일 해시 규칙
마지막으로 마법사는 파일의 해시를 사용하여 파일 규칙 만들기를 지원합니다. 이 수준은 구체적이지만 현재 제품 버전의 해시 값을 유지하기 위해 추가 관리 오버헤드가 발생할 수 있습니다. 이진 파일이 업데이트될 때마다 해시 값이 변경되므로 정책 업데이트가 필요합니다. 기본적으로 마법사는 지정된 파일 규칙 수준을 사용하여 파일 규칙을 만들 수 없는 경우 파일 해시를 대체로 사용합니다.
서명 규칙 삭제
페이지 왼쪽의 표에는 템플릿의 허용 및 거부 규칙과 사용자가 만든 사용자 지정 규칙이 문서화되어 있습니다. 규칙 목록 테이블에서 규칙을 선택하여 정책에서 규칙을 삭제할 수 있습니다. 규칙이 강조 표시되면 테이블 아래의 삭제 단추를 누릅니다. 다른 확인 메시지가 다시 표시됩니다. 정책 및 규칙 테이블에서 규칙을 제거하려면 선택합니다 Yes .