 | 소프트웨어 제한 정책을 사용한 승인되지 않은 소프트웨어 차단
요약 소프트웨어 제한 정책은 Microsoft Windows XP와 Windows Server 2003의 새로운 기능입니다. 이는 중요한 기능으로 관리자에게 도메인의 컴퓨터에서 실행되는 소프트웨어를 식별할 수 있는 정책 위주의 메커니즘을 제공하고 프로그램의 실행 능력을 제어합니다. 소프트웨어 제한 정책은 시스템 무결성과 관리 효율성을 향상시켜 궁극적으로 컴퓨터 소유 비용을 낮춰 줍니다.
 소프트웨어 제한 정책은 기업이 컴퓨터의 안정성, 무결성 및 관리 효율성을 높이기 위한 Microsoft 보안 및 관리 전략의 일부이자 Windows XP와 Windows Server 2003에 들어 있는 수많은 새로운 관리 기능 중 하나입니다. 본 기술 자료에서는 다음과 같은 경우의 소프트웨어 제한 정책 사용 방법에 대해 자세히 소개하고 있습니다.
확장된 관리 기능Windows 2000에는 Windows 플랫폼 역사상 아주 획기적인 관리 기능이 들어 있는데 이 운영 체제에서는 다음과 같은 방식으로 컴퓨터의 소프트웨어를 관리합니다.
Windows XP와 Windows Server 2003은 다음 기능을 추가하여 Windows 2000의 관리 기능을 확장합니다. 정책의 결과 집합(RSOP)을 통해 보다 뛰어난 진단 및 계획 정보 제공. (자세한 내용은 기술 자료 Windows 2000 그룹 정책을 참조하십시오.) WMI(Windows Management Instrumentation) 필터링 사용 기능. Windows 2000 사용자는 Active Directory의 조직 정보를 토대로 정책을 적용할 수 있었습니다. 반면 Windows XP에서는 WMI 정보를 이용해 그룹 정책을 특정한 빌드나 서비스 팩 수준의 Windows가 있는 컴퓨터 등에 적용할 수 있습니다. 소프트웨어 제한 정책은 운영 체제 및 공통 스크립팅 런타임과 통합 운용되어 실행 시 소프트웨어의 실행을 제어합니다. Windows 2000 사용자는 시작 메뉴에서 응용 프로그램을 제거하거나 실행 명령을 숨김으로써 응용 프로그램에 대한 액세스를 숨길 수 있었습니다. 하지만 새로운 소프트웨어 제한 정책은 소프트웨어의 공통 액세스 지점을 제거함으로써 이러한 한계를 뛰어 넘었습니다.
본 섹션은 악의적인 코드의 동작과 알 수 없는 코드와 관련된 문제에 관해 다루고 있습니다. 악의적인 코드의 다양한 침투 경로일상적인 비즈니스 컴퓨팅 환경에서 네트워크와 인터넷의 사용이 증가함에 따라 악의적인 코드가 발생할 가능성이 전보다 더욱 높아졌습니다. 사람들은 전자 메일, 인스턴트 메시징 및 P2P 응용 프로그램을 사용하며 점점 더 복잡한 방법으로 협업을 진행하고 있습니다. 이러한 협업 기회가 증가할수록 바이러스나 웜을 비롯해 그 밖의 악의적인 코드가 시스템에 침입할 위험도 커집니다. 전자 메일과 인스턴트 메시징을 통해 원치 않는 악의적인 코드가 전송될 수 있다는 점을 항상 잊지 말아야 합니다. 또한 악의적인 코드는 원시 Windows 실행 파일(.exe)에서 워드 프로세서 문서(.doc)의 매크로 및 스크립트(.vbs)에 이르기까지 취하는 형태도 무척 다양합니다. 바이러스와 웜은 사회 공학(social engineering)을 이용하여 사용자가 바이러스와 웜을 실행하도록 속이는 경우도 많습니다. 코드가 취할 수 있는 형태의 수와 다양성만 놓고 보면 실행 시 안전 여부를 사용자가 판단하기란 여간 어려운 게 아닙니다. 악의적인 코드가 실행되면 하드 디스크의 내용을 손상시키고 서비스 거부(DoS) 공격으로 네트워크를 마비시킬 뿐 아니라 기밀 정보를 인터넷으로 내보내거나 컴퓨터의 보안을 손상시킵니다. 알 수 없는 코드의 문제점위협이 되는 것은 악의적인 코드만이 아니며 악의적인 의도가 없는 수많은 소프트웨어 응용 프로그램 역시 문제를 일으킵니다. 조직에서 알 수 없거나 지원되지 않는 소프트웨어는 다른 응용 프로그램과 충돌을 일으키거나 핵심 구성 정보를 변경시킬 수 있습니다. 소프트웨어 제한 정책은 조직에서 악의적인 코드는 물론 알 수 없는 코드(악의적이든 그렇지 않든)까지 모두 제어할 수 있도록 고안되었습니다. 알 수 없는 코드에 대한 대응기업의 소프트웨어 제한 정책은 다음과 같은 방식으로 알 수 없는 코드에 대응합니다.
아래 그림 1에는 소프트웨어 제한 정책의 세 가지 구성 요소가 나와 있습니다.
사용 가능 또는 사용할 수 없음소프트웨어 제한 정책은 MMC 그룹 정책 스냅인을 이용해 생성합니다. 정책은 프로그램의 실행 여부에 관한 기본 규칙과 이 규칙에 대한 예외 사항으로 구성됩니다. 기본 규칙은 사용 가능(사용 가능) 또는 사용할 수 없음(disallowed)의 형태로 설정할 수 있습니다. 기본 규칙을 사용 가능으로 설정하면 관리자는 실행할 수 없는 프로그램 집합에 대한 예외 항목을 정의할 수 있습니다. 보다 보안성이 높은 방법은 기본 규칙을 사용할 수 없음으로 설정하고 실행할 수 있는 알려진 프로그램들만 따로 지정하는 것입니다. 기본 보안 수준소프트웨어 제한 정책을 사용하는 방법은 두 가지가 있습니다.
소프트웨어를 식별하는 네 가지 규칙규칙의 목적은 하나 이상의 소프트웨어 응용 프로그램을 식별하고 실행 여부를 지정하는 것입니다. 규칙 작성은 기본 규칙의 예외가 되는 소프트웨어를 식별하는 것이 주를 이룹니다. 각 규칙에는 규칙이 작성된 이유를 납득시키는 데 도움이 되는 설명이 들어 있습니다. 소프트웨어 제한 정책에서 지원하는 소프트웨어 식별 방법은 다음 네 가지입니다. 해시-파일의 암호화 지문 인증서-파일의 디지털 서명에 사용하는 소프트웨어 게시자 인증서 경로-파일이 저장된 장소의 로컬 또는 범용 명명 규칙(UNC) 경로 영역-인터넷 영역 해시 규칙해시 규칙은 파일이 저장된 장소나 이름에 관계 없이 파일을 고유하게 식별하는 암호화 지문입니다. 관리자는 사용자가 특정 버전의 프로그램을 실행하는 것을 원치 않을 수도 있습니다. 프로그램에 보안 또는 개인 정보상의 버그가 있거나 시스템 안정성을 떨어뜨릴 때가 그런 경우입니다. 해시 규칙을 적용하면 소프트웨어의 이름을 바꿔 디스크상의 다른 위치로 이동시킬 수 있는데, 해시 규칙은 파일 내용과 연관된 암호화 계산법에 기반을 두고 있기 때문에 소프트웨어는 해시 규칙과 여전히 일치하게 됩니다. 해시 규칙은 콜론으로 구분되며 다음과 같은 세 개의 데이터로 이루어져 있습니다.
형식은 아래와 같습니다. [MD5 또는 SHA1 해시 값]:[파일 길이]:[해시 알고리즘 id] 디지털 서명된 파일은 서명에 들어 있는 해시 값, SHA-1 또는 MD5를 사용하며 디지털 서명되지 않은 파일은 MD5 해시를 사용합니다. 예: 다음 해시 규칙은 길이 126바이트, MD5(32771의 해시 알고리즘 식별자로 표시됨) 해시 7bc04acc0d6480af862d22d724c3b049와 일치하는 내용을 가진 파일과 매칭됩니다. 7bc04acc0d6480af862d22d724c3b049:126:32771 인증서 규칙인증서 규칙은 코드 서명한 소프트웨어 게시자 인증서를 지정합니다. 예를 들어, 어떤 회사에서는 모든 스크립트와 ActiveX 컨트롤을 특정한 게시자 인증서 집합으로 서명해야 할 경우가 있습니다. 인증서 규칙에 사용되는 인증서는 VeriSign과 같은 상업 인증 기관(CA), Windows 2000/Windows Server 2003 PKI 또는 자체 서명된 인증서에서 발급될 수 있습니다. 인증서 규칙은 이름이나 위치에 상관 없이 서명된 파일의 서명에 들어 있는 서명된 해시를 사용해 파일에 매칭시키므로 아주 뛰어난 소프트웨어 식별 방법이라 할 수 있습니다. 인증서 규칙에 예외를 만들려면 해시 규칙을 사용하여 예외를 식별할 수 있습니다 경로 규칙경로 규칙은 프로그램의 폴더 또는 정규화된 경로를 지정합니다. 경로 규칙으로 폴더를 지정하면 규칙은 해당 폴더에 들어 있는 프로그램과 하위 폴더의 프로그램을 매칭시키며 이는 로컬 및 UNC 경로가 모두 지원됩니다. 경로 규칙에 환경 변수 사용. 경로 규칙은 환경 변수를 사용합니다. 경로 규칙은 클라이언트 환경에서 평가되므로 환경 변수(예를 들어, %WINDIR%) 사용 기능으로 규칙을 특정 사용자의 환경에 맞게 적용할 수 있습니다.. 중요 환경 변수는 액세스 제어 목록(ACL)에서 보호하지 않습니다. 명령 프롬프트를 시작할 수 있으면 환경 변수를 사용자가 선택한 경로에 맞게 다시 정의할 수 있습니다. 경로 규칙에 와일드카드 사용. 경로 규칙은 ?와 * 와일드카드 기능을 포함시켜 *.vbs 같은 규칙을 모든 Visual Basic 스크립트 파일과 매칭시킬 수 있습니다. 다음은 이에 대한 몇 가지 예입니다.
레지스트리 경로 규칙. 대부분의 응용 프로그램은 Windows 레지스트리에 응용 프로그램의 설치 폴더나 디렉터리로 가는 경로를 저장하는데 경로 규칙을 만들면 이러한 레지스트리 키를 쉽게 찾을 수 있습니다. 예를 들어, 어떤 응용 프로그램은 파일 시스템의 아무 장소에나 설치할 수 있습니다. 이러한 위치는 C:\Program Files\Microsoft Platform SDK 같은 특정 폴더 경로나 %ProgramFiles%\Microsoft Platform SDK 같은 환경 변수를 사용해 간단히 식별할 수 없습니다. 만일 프로그램이 레지스트리에 응용 프로그램 디렉터리를 저장하면 %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir% 같은 레지스트리 값을 사용하는 경로 규칙을 만들 수 있습니다. 이런 유형의 경로 규칙을 레지스트리 경로 규칙이라고 하며 형식은 다음과 같습니다. %[레지스트리 하이브]\[레지스트리 키 이름]\[값 이름]% %[Registry Hive]\[Registry Key Name]\[Value Name]% 참고 레지스트리 경로 규칙 접미사에서는 규칙의 마지막 % 기호 바로 다음에 \ 문자가 올 수 없습니다.
중요 경로 규칙 설정 시에는 해당 경로에 대한 액세스 제어 목록(ACL) 항목을 확인해야 합니다. 사용자가 경로에 대해 쓰기 액세스 권한을 갖고 있으면 경로의 내용을 수정할 수 있습니다. 예를 들어, C:\Program Files를 허용하면 컴퓨터상의 파워 유저(Power User)는 누구든 Program Files 폴더에 소프트웨어를 복사할 수 있습니다. 경로 규칙 우선 순위. 매칭 경로 규칙이 여러 개일 경우에는 가장 구체적인 매칭 규칙이 우선 순위가 높습니다. 다음은 우선 순위가 가장 높은 것(가장 구체적인 매칭)부터 가장 낮은 것(가장 일반적인 매칭)까지의 경로를 나열한 것입니다.
영역 규칙. 규칙은 소프트웨어를 다운로드하는 Internet Explorer 영역에서 소프트웨어를 식별할 수 있습니다. 이러한 영역은 다음과 같습니다.
현재 이 규칙은 Windows Installer(*.MSI) 패키지에만 적용되며 Internet Explorer에서 다운로드한 소프트웨어에는 적용되지 않습니다. 참고 각 규칙에는 {f8c2c158-e1af-4695-bc93-07cbefbdc594} 같은 형태의 규칙과 연관된 전역 고유 식별자(GUID)가 있습니다. 두 규칙이 동일하더라도 GUID는 서로 다릅니다. GUID는 사용 중인 특정 정책에서 특정 규칙을 확인하기 위한 문제를 해결하는 데 도움이 됩니다. 자세한 내용은 본 기술 자료 뒷부분의 문제 해결 섹션을 참조하십시오. 표 1 각 규칙의 사용 시기
규칙 우선 순위규칙은 특정 순서에 따라 평가하며, 프로그램과 더 구체적으로 매칭되는 규칙이 보다 일반적으로 매칭되는 규칙에 우선합니다
표 2와 다음 예는 프로그램 시작 시 규칙이 처리되는 방식을 보여 줍니다. 표 2 규칙 우선 순위의 이해
시작되는 프로그램: C:\WINDOWS\SYSTEM32\EventQuery.vbs 이 프로그램은 다음 규칙과 매칭됩니다.
이 프로그램과 가장 구체적으로 매칭되는 것은 규칙 3입니다. 규칙 3의 보안 수준은 사용 가능이므로 프로그램의 실행이 허용됩니다. 시작되는 프로그램: C:\WINDOWS\SYSTEM32\pagefileconfig.vbs 이 프로그램은 다음 규칙과 매칭됩니다.
이 프로그램과 가장 구체적으로 매칭되는 것은 규칙 1입니다. 규칙 1의 보안 수준이 사용할 수 없음이므로 프로그램을 사용할 수 없습니다. 시작되는 프로그램: \\LOGIN_SRV\Scripts\CustomerScript1.vbs 이 프로그램은 다음 규칙과 매칭됩니다.
이 프로그램과 가장 구체적으로 매칭되는 것은 규칙 2입니다. 규칙 2의 보안 수준은 사용 가능이므로 프로그램의 실행이 허용됩니다. 시작되는 프로그램: C:\Documents and Settings\user1\LOVE-LETTER-FOR-YOU.TXT.VBS 이 프로그램은 .vbs 확장명을 갖고 있으므로 규칙 4와 매칭됩니다. 이 프로그램과 가장 구체적으로 매칭되는 것은 규칙 4입니다. 규칙 4의 보안 수준이 사용할 수 없음이므로 프로그램을 사용할 수 없습니다.
이 섹션은 소프트웨어 제한 정책의 동작에 영향을 주는 다양한 옵션에 대해 다룹니다. 이러한 옵션들은 적용 동작의 범위 또는 디지털 서명된 파일의 Authenticode 신뢰 설정을 변경합니다. 적용 옵션적용 옵션은 DLL 확인과 관리자 건너뛰기의 두 가지입니다. DLL 확인Internet Explorer 같은 프로그램은 실행 파일 iexplore.exe를 비롯해 이를 지원하는 수많은 동적 링크 라이브러리(DLL)로 이루어져 있습니다. DLL에는 기본적으로 소프트웨어 제한 정책 규칙을 적용하지 않는데, 이 옵션을 권장하는 이유는 다음 세 가지입니다.
DLL 확인은 프로그램 실행 시 실행을 최대한으로 보장해야 하는 환경에 옵션으로 제공됩니다. 바이러스는 주로 실행 파일을 감염 대상으로 하지만 일부는 DLL을 노리기도 합니다. 프로그램이 바이러스에 감염되지 않도록 하려면 실행 파일 및 필요한 모든 DLL을 식별하는 해시 규칙 집합을 사용하면 됩니다. DLL 확인 실행 아래 그림 2에서처럼 적용 속성 대화 상자에서 다음과 같이 옵션을 선택합니다. 다음 항목에 소프트웨어 제한 정책 적용 > 모든 소프트웨어 파일.
그림 2 적용 속성 설정 관리자 건너뛰기관리자가 대부분의 사용자에게 프로그램 실행을 허용하지 않으면서 자신은 어떤 프로그램이든 실행할 수 있도록 허용할 수도 있습니다. 가령, 어떤 고객이 터미널 서버를 사용해 여러 사용자가 접속하는 공유 컴퓨터를 갖고 있는 경우를 예로 듭니다. 이 경우 관리자는 사용자가 컴퓨터에서 특정 응용 프로그램만 실행하고 로컬 관리자 그룹의 구성원은 모든 프로그램을 실행하도록 허용할 수 있는데 이 때 관리자 건너뛰기 옵션을 사용합니다. 소프트웨어 제한 정책이 Active Directory에 있는 개체와 연결된 GPO에 생성되면 바람직한 관리자 건너뛰기 방법은 관리자가 속해 있는 그룹에 위의 GPO에 대한 그룹 정책 적용 권한을 거부하는 것입니다. 이 방식을 사용하면 관리자에게 적용되지 않는 GPO 설정을 다운로드하는 데 네트워크 트래픽이 많이 발생하지 않습니다. 하지만 로컬 보안 정책 개체에 정의되어 있는 소프트웨어 제한 정책은 사용자를 기반으로 필터링할 방법이 없는데 이런 경우에도 관리자 건너뛰기 옵션을 사용해야 합니다. 관리자 건너뛰기 실행 참고 관리자 건너뛰기 옵션은 컴퓨터 정책에 대해서만 유효합니다. 실행 파일 정의아래 그림 3의 지정된 파일 형식 대화 상자에 소프트웨어 제한 정책이 적용되는 파일 형식 목록이 나와 있습니다. 지정된 파일 형식은 실행 파일로 간주되는 파일 형식입니다. 예를 들어, 화면 보호기 파일(SCR)은 Windows Explorer에서 두 번 클릭하면 프로그램으로 로드되므로 실행 파일로 간주합니다. 소프트웨어 제한 정책의 규칙은 아래 지정된 파일 형식 대화 상자에 나열된 파일 형식에만 적용됩니다. 사용자 환경에서 자신이 규칙을 설정하고자 하는 파일 형식을 사용하려면 이를 목록에 추가하십시오. 예를 들어, 사용자가 Perl 스크립팅 파일을 사용한다면 .pl 및 Perl 엔진과 연관된 그 밖의 파일 형식을 지정된 파일 형식 목록에 추가합니다.
그림 3 지정된 파일 형식 대화 상자 신뢰할 수 있는 게시자아래 그림 4의 신뢰할 수 있는 게시자 옵션에서 ActiveX 컨트롤 및 그 밖의 서명된 컨텐트와 관련된 설정을 구성할 수 있습니다.
그림 4 신뢰할 수 있는 게시자 옵션 설정 표 3은 ActiveX 컨트롤 및 기타 서명된 컨텐트의 사용과 관련된 신뢰할 수 있는 게시자 옵션이 나와 있습니다. 표 3 신뢰할 수 있는 게시자 작업 및 설정
소프트웨어 제한 정책의 범위다음 항목에는 소프트웨어 제한 정책이 적용되지 않습니다.
이 섹션에서는 그룹 정책 스냅인을 사용해 소프트웨어 제한 정책을 관리하는 방법과 최초 정책 편집 시 고려해야 할 사항을 비롯해 소프트웨어 제한 정책을 사용자 그룹에 적용하는 것과 관련된 사항을 다루고 있습니다. 그룹 정책과의 통합소프트웨어 제한 정책은 다음의 그룹 정책 스냅인을 사용하여 관리합니다. 도메인 정책도메인 정책 설정
로컬 보안 정책보안 정책 설정
GPO를 편집하면 아래 그림 5에서처럼 사용자 및 컴퓨터의 소프트웨어 제한 정책을 설정할 수 있습니다.
그림 5 사용자 및 컴퓨터 소프트웨어 제한 정책 설정 로컬 보안 정책을 편집하면 아래 그림 6과 같이 소프트웨어 제한 정책 설정의 위치가 나타납니다.
그림 6 로컬 보안 정책 편집 최초 편집 시 고려 사항정책을 처음 편집하면 그림 7과 같은 메시지가 나타납니다. 이 메시지는 정책을 작성하면 기본값으로 정의된다는 내용의 경고를 내보냅니다. 이 기본값은 다른 소프트웨어 제한 정책 설정보다 우선합니다.
그림 7 새 정책 작성 시 경고 메시지 정책 작성
사용자 그룹에 소프트웨어 제한 정책 적용소프트웨어 제한 정책은 그룹 정책을 통해 사이트, 도메인 또는 OU에 전달됩니다. 하지만 어떤 관리자는 소프트웨어 제한 정책을 도메인 내에 있는 사용자 그룹에 적용하길 원할 수도 있는데, 이 경우에는 GPO 필터링을 사용합니다. GPO 필터링에 관한 자세한 내용은 Windows 2000 그룹 정책 기술 자료를 참조하십시오. 터미널 서버소프트웨어 제한 정책은 Windows Server 2003 터미널 서버 보안의 핵심적인 부분입니다. 이제 터미널 서버 관리자는 터미널 서버에 대한 소프트웨어 액세스를 철저하게 차단할 수 있습니다. 터미널 서버는 단일 컴퓨터에 사용자 수가 엄청나게 늘어날 수 있는 가능성이 있으므로 반드시 소프트웨어 제한 정책을 사용해야 합니다. 단일 사용자 Windows XP 클라이언트에서 불량한 응용 프로그램을 실행하면 사용자만 불편을 겪지만 터미널 서버에서 이러한 응용 프로그램을 실행하면 100명이 넘는 사용자가 불편을 겪게 됩니다. 하지만 소프트웨어 제한 정책을 사용하면 이러한 문제를 막아 주며, appsec.exe와 같은 응용 프로그램이 Windows Server 2003 터미널 서버에서 소프트웨어 실행을 관장해야 할 필요도 없습니다. 또한 터미널 서버의 클라이언트 세션 잠금 기능을 보다 강화하려면 278295 여러 터미널 서버에 동일한 소프트웨어가 설치되어 있지만 서버 관리자가 특정 그룹의 사용자에게는 일부 소프트웨어에 대한 액세스 권한을 부여하고 다른 그룹의 사용자에게는 다른 소프트웨어에 대한 액세스 권한을 부여하고 싶어할 수도 있습니다. 일부 소프트웨어는 그룹 간에 공유하게 되는데 예를 들어, 어떤 법률 회사가 일련의 터미널 서버에서 응용 프로그램들을 호스트하고 있으며 서버에는 모두 동일한 소프트웨어가 설치되어 있다고 가정합니다. 이 경우 소프트웨어에 대한 액세스 규칙은 다음과 같습니다.
이 소프트웨어에 액세스하려면 관리자는 사용자 지정된 소프트웨어 제한 정책을 이용해 5개의 GPO를 작성합니다. 각 GPO는 필터링되어 AllEmployees, AccountingEmployees, Lawyers, MailRoomEmployees 및 Executives 그룹의 사용자들만 자신들을 대상으로 작성된 GPO를 받습니다. 중역들만 터미널 서버 뿐 아니라 로컬 워크스테이션에 있는 모든 소프트웨어에 액세스할 수 있으므로 관리자는 그룹 정책의 루프백 기능을 사용합니다. 관리자는 루프백 기능을 이용해 사용자가 로그온하는 컴퓨터를 기반으로 사용자에게 정책을 적용할 수 있습니다. 루프백 대체 모드에서 컴퓨터 GPO 설정을 사용자 로그인 중에 다시 적용하고 사용자 GPO 설정은 무시합니다. 루프백 구성 방법에 관한 자세한 내용은 그룹 정책 백서를 참조하십시오.
이 섹션에서는 소프트웨어 제한 정책 설계 시 따라야 할 단계를 간략히 소개합니다. 처리 항목정책 설계 시에는 다음 항목에 관해 결정해야 합니다.
프로세스를 통한 단계 수행1단계. GPO 또는 로컬 보안 정책정책을 도메인이나 OU에 있는 여러 컴퓨터 또는 사용자에게 적용해야 합니까, 아니면 로컬 컴퓨터에만 적용해야 합니까?
2단계. 사용자 또는 컴퓨터 정책정책 적용 시 로그인한 컴퓨터에 관계 없이 사용자에게 적용해야 합니까, 아니면 로그인한 사용자에 관계 없이 컴퓨터에 적용해야 합니까?
3단계. 기본 보안 수준사용자들에게 필요한 소프트웨어를 모두 알고 있습니까, 아니면 사용자들이 선택한 소프트웨어를 스스로 설치할 수 있습니까?
4단계. 추가 규칙위의 소프트웨어 제한 정책 아키텍처 섹션에서 언급한 네 가지 유형의 규칙을 사용하여 허용하거나 허용하지 않을 응용 프로그램을 식별합니다.
5단계. 정책 옵션다음과 같은 여러 정책 옵션이 있습니다.
6단계. 정책을 사이트, 도메인 또는 조직 단위에 연결GPO를 사이트에 연결하려면 다음과 같이 합니다.
GPO를 도메인 또는 OU에 연결하려면 다음과 같이 합니다.
필터링GPO 필터링은 이 단계에서 수행하는데 그룹 등록을 토대로 필터링하면 일부 OU에서 GPO를 받을 수 있습니다. 또한 WMI 쿼리를 토대로 필터링할 수도 있습니다. 정책 테스트다음 그룹 정책의 새로 고침 간격까지 기다리지 않고 정책을 즉시 테스트하려면 gpupdate.exe를 실행하고 다시 로그온하여 정책을 테스트합니다.
다음은 추가 규칙을 작성하기 위한 단계들입니다. 단계를 뒷받침하는 원칙을 설명하기 위해 단계마다 Microsoft Office XP의 규칙 작성 예가 제시되어 있습니다. 1단계. 소프트웨어 응용 프로그램 목록 작성식별할 소프트웨어 목록을 작성합니다. 여기서 예로 사용할 Office XP 소프트웨어는 Microsoft Word, Excel, PowerPoint 및 Outlook입니다. 2단계. 규칙 유형 결정사용할 규칙 유형을 결정하려면 위의 표 1에서 각 규칙의 사용 시기를 참조하십시오. 또한 여기서 규칙의 보안 수준도 결정합니다. 예에서는 경로 규칙을 사용 가능 보안 수준으로 설정하여 사용합니다. 3단계. 소프트웨어가 설치된 폴더 기록소프트웨어가 설치되는 경로의 목록을 작성하는데 다음과 같은 세 가지 방법이 있습니다.
예에서 다음 작업이 실행 중임을 알 수 있습니다.
4단계. 종속 프로그램 확인일부 프로그램은 작업을 수행하기 위해 다른 프로그램을 실행합니다. 소프트웨어 응용 프로그램은 하나 이상의 프로그램으로부터 지원을 받습니다. 예를 들어, Microsoft Word는 클립 아트를 관리하기 위해 Microsoft Clip Organizer를 실행하며 Microsoft Clip Organizer는 다음 프로그램을 사용합니다.
Microsoft Office 역시 C:\Program Files\Common Files 폴더에 있는 파일을 사용합니다. 5단계. 규칙의 일반화이 단계에서는 관련 규칙을 그룹 지어 좀 더 일반적인 규칙을 만들어야 합니다. 환경 변수, 와일드카드 및 레지스트리 경로 규칙 등의 사용을 고려합니다. 계속해서 예를 보면 각 프로그램은 C:\Program Files\Microsoft Office\Office10에 저장되므로 해당 폴더에는 네 개의 개별 경로 규칙 대신 하나의 경로 규칙을 사용하는 것으로 충분합니다. 또한 Office는 항상 컴퓨터의 Program Files 폴더에 설치되기 때문에 명시적인 경로 대신 환경 변수를 사용합니다. 따라서 다음과 같은 규칙을 제안합니다.
6단계. 불필요한 허용 확인이 단계는 사용자가 제안한 규칙이 불필요한 것까지 허용했는지 살펴보는 단계입니다. 지나치게 일반적인 규칙을 작성하면 의도하지 않은 프로그램의 실행을 허용할 수도 있습니다. Office10 폴더에는 다음 프로그램들이 들어 있습니다.
이런 프로그램의 실행은 허용할 수 있기 때문에 규칙을 변경할 필요가 없습니다. 자주 간과되는 규칙정책 설계 시에는 다음을 고려하면서 규칙을 작성합니다. 로그인 스크립트로그인 스크립트는 중앙 서버에 저장되어 있습니다. 대개, 이 중앙 서버는 로그인마다 변경될 수 있습니다. 기본 규칙이 사용할 수 없음일 경우에는 반드시 로그온 스크립트의 위치를 확인하는 규칙을 작성해야 합니다. 로그온 서버의 이름들이 서로 비슷하면 와일드카드를 사용하여 이 위치를 식별하는 방법에 대해 고려해 봅니다. 시스템 파일 보호시스템 파일 보호에는 dllcache라는 이름의 폴더에 수많은 시스템 프로그램 백업 복사본이 들어 있습니다. 이 프로그램은 백업 복사본의 전체 경로를 알고 있는 사용자가 시작할 수 있습니다. 사용자가 백업 폴더에 있는 프로그램을 실행하지 못하도록 하려면 규칙 %WINDIR%\system32\dllcache, Disallowed를 작성하면 됩니다. 공통 시작 위치Windows에는 시작할 때 실행되는 프로그램 링크가 들어 있는 곳이 많습니다. 이 프로그램에 대해 대비하지 않으면 로그온 시 오류 메시지가 나타납니다. 일반적인 시작 위치는 다음과 같습니다. Common startup locations include:
바이러스 검색 프로그램대부분의 안티 바이러스 소프트웨어에는 사용자가 로그인할 때 시작하여 사용자가 액세스한 모든 파일을 스캔하고 바이러스 감염 여부를 검사하는 실시간 스캐너 프로그램이 들어 있습니다. 규칙에서 바이러스 검색 프로그램의 실행을 허용하는지 확인합니다.
이 섹션에서는 몇 가지 일반적인 문제와 이를 소프트웨어 제한 정책을 사용해 해결하는 방법에 대해 살펴 보겠습니다. 불량 스크립트 차단조직은 스크립트 기반의 바이러스로부터 보호 받기를 원합니다. 기술적으로는 정확히 웜이라고 부르는 러브레터 바이러스는 60억에서 100억 달러 상당의 피해를 낸 것으로 추산되었습니다. 이 웜은 80개 이상의 변종 형태를 띠면서 주기적으로 계속해서 나타나는 것이 특징입니다. Visual Basic 스크립트 언어(VBS)로 작성된 러브레터 웜은 LOVE-LETTER-FOR-YOU.TXT.VBS로 나타납니다. 소프트웨어 제한 정책은 단순히 임의의 .vbs 파일 실행을 허용하지 않음으로써 이 웜을 차단합니다. 하지만 많은 조직에서 시스템 관리와 로그온 스크립트에 VBS 파일을 사용합니다. 모든 VBS 파일의 실행을 차단하면 조직을 보호하지만 정상적인 의도를 가진 VBS도 사용할 수 없습니다. 소프트웨어 제한 정책은 잘못된 VBS는 차단하고 정상적인 VBS는 실행을 허용함으로써 이러한 단점을 극복했습니다. 이 정책은 표 4의 규칙을 사용하여 작성합니다. 표 4 불량 스크립트 차단 규칙
이 정책은 IT 부서의 인증서로 디지털 서명한 파일을 제외하고 Windows Scripting Host와 연결되어 있는 모든 스크립트 파일의 실행을 차단합니다. 인증서를 얻어 파일을 디지털 서명하는 방법은 아래 부록을 참조하십시오. 소프트웨어 설치 관리조직 내 컴퓨터에 승인된 소프트웨어만 설치하도록 컴퓨터를 구성할 수 있습니다. Windows Installer 기술을 사용하는 소프트웨어는 표 5의 정책을 사용해 이처럼 구성할 수 있습니다. 표 5 소프트웨어 설치 관리 규칙
이 정책은 모든 Windows Installer 패키지가 설치되는 것을 막고, IT 부서 인증서로 디지털 서명한 MSI 파일과 \\products\install에 들어 있는 OWC10.MSI 패키지를 설치합니다. 인증서를 얻어 파일을 디지털 서명하는 방법은 아래 부록을 참조하십시오. 또한, 이 정책은 경로와 인증서 규칙의 우선 순위를 이용해 원하는 소프트웨어만 허용하는 방법을 보여 줍니다. 사용자의 조직이 디지털 서명할 수 없거나 하지 않는 기타 모든 패키지에 대해서는 해시 규칙 또는 정규화된 경로 규칙을 작성하여 이들에 대한 예외를 정합니다. 업무용 PC경우에 따라 관리자가 컴퓨터에서 실행되는 모든 소프트웨어를 관리할 수도 있습니다. 이는 사용자가 Program Files 같은 공유 폴더의 시스템 파일이나 파일들을 교체할 권한이 충분치 않더라도 파일 시스템상에 적절한 쓰기 공간이 있다면 여기에 있는 프로그램을 복사하여 시작할 수 있기 때문입니다. 이런 방식으로 감염되는 바이러스는 운영 체제 설정과 파일을 수정하여 시스템을 손상시킬 수 있습니다. 또한 사용자의 권한을 잘못 사용하여 엄청난 피해를 일으킬 수도 있습니다. 예를 들어, 매스 메일러 웜(mass-mailer worm)은 사용자의 주소록에 액세스하여 메일을 보냄으로써 널리 전파됩니다. 정상적인 시스템 사용자라 하더라도 이런 종류의 공격에는 취약할 수 밖에 없습니다. 사용자가 로컬 컴퓨터의 관리자가 아니면 표 6의 정책을 이용해 악의적인 코드를 실수로 실행하는 것을 방지합니다. 사용자는 Program Files 또는 Windows 폴더의 컨텐트를 수정할 수 없으므로 관리자가 설치한 소프트웨어만 실행할 수 있습니다. 표 6 컴퓨터의 모든 소프트웨어 관리 정책
이 정책은 Windows, Program Files 디렉터리 또는 이들의 하위 폴더에 설치된 소프트웨어를 제외하고 사용자 컴퓨터의 모든 소프트웨어를 사용할 수 없음으로 설정하지만 관리자에게는 적용되지 않습니다. 사용자가 전자 메일을 통해 WORM.vbs 등의 바이러스 첨부 파일을 받으면 메일 프로그램은 이 파일을 프로필 디렉터리(%USERPROFILE%)에 복사하고 이 위치에서 시작합니다. 프로필 디렉터리는 Windows 폴더나 Program Files 폴더의 하위 폴더가 아니므로 이 디렉터리에서 시작된 프로그램은 실행이 불가능합니다. 사용자에게 필요한 모든 프로그램을 %WINDIR%이나 %PROGRAMFILES%에 설치하지 않거나, 관리자가 사용자의 실행을 원치 않는 프로그램이 이 폴더에 있으면 관리자는 표 7에서처럼 예외 사항을 추가할 수 있습니다. 표 7 컴퓨터의 모든 소프트웨어 관리에 대한 예외
이 예외 사항의 결과는 다음과 같습니다.
사용자에 따른 정책 적용이 시나리오의 컴퓨터는 여러 사용자가 공유하고 있습니다. 컴퓨터에는 동일한 소프트웨어가 설치되어 있지만 관리자는 일정 그룹의 사용자에게 일부 소프트웨어에 대한 액세스 권한을 부여하고, 다른 그룹의 사용자에게는 또 다른 소프트웨어에 대한 액세스 권한을 부여해야 합니다. 또한 소프트웨어를 그룹 간에 공유할 수도 있습니다. 예한 대학의 컴퓨터 연구실에서 동일한 소프트웨어를 탑재한 15대의 컴퓨터를 실행합니다. 컴퓨터에는 Microsoft Office, CAD 소프트웨어 및 Microsoft Visual C++ 컴파일러가 있습니다. 라이센스 문제로 인해 컴퓨터 연구실 관리자는 다음을 수행하려고 합니다.
있는 세 가지 그룹 정책 개체를 생성합니다. 각각의 GPO는 필터링되어 AllStudents, EngStudents 및 CSStudents의 사용자만 이들을 위해 작성된 GPO를 받습니다. 관리자는 학생이 연구실 컴퓨터에 로그온할 때는 정책을 받지만 자신의 PC에 로그온할 때는 받지 않도록 해야 하므로 그룹 정책 루프백 기능을 사용합니다. 관리자는 루프백 기능을 이용해 정책을 사용자가 로그온하고 있는 컴퓨터를 기반으로 사용자에게 정책을 적용할 수 있습니다. 컴퓨터 GPO는 루프백 대체 모드에서 사용자 로그온 중에 다시 적용되어 정상적인 사용자 정책을 건너뜁니다. 아래 표 8, 9 및10과 그림 8을 참조하십시오. 루SMB/ .. ..?.?. 沙& . .? .煖info/howitworks/management/grouppolwp.asp"> Windows 2000 그룹 정책의 기술 자료를 참조하십시오. 표8 Lab Resource 도메인과 연결된 A1
그림 8 컴퓨터 랩의 그룹 정책 구성 표 9 Lab Resource 도메인과 연결된 A2
표 10 Lab Resource 도메인과 연결된 A3
이 섹션에서는 소프트웨어 제한 정책 배포 시 고려해야 할 다양한 문제들을 다룹니다. 최적화 방법소프트웨어 제한 정책 배포 시 수행할 수 있는 최적화 방법은 다음과 같습니다. 항상 소프트웨어 제한 정책에 대한 별도의 GPO를 작성합니다. 정책 설정에 별도의 GPO를 작성하면 비상 시 나머지 보안 설정에 영향을 주지 않고도 이를 사용할 수 없도록 설정할 수 있습니다. 기본 도메인 정책을 수정하지 않습니다. 기본 정책을 편집하지 않으면 항상 이를 다시 적용할 수 있습니다. 다른 도메인의 소프트웨어 제한 정책에 연결하지 않습니다. 다른 도메인의 그룹 정책 개체에 연결하면 성능 저하 현상을 유발할 수 있습니다. 정책 설정을 사용자 도메인에 적용하기 전에 새 정책 설정을 테스트 환경에서 철저하게 테스트합니다. 새 정책 설정은 원래 기대했던 것과 다르게 동작할 수도 있습니다. 네트워크에 정책 설정을 배포할 때 이를 테스트하면 문제 발생 가능성을 줄일 수 있습니다.
그룹 정책 처리그룹 정책 개체로 작업 시 고려해야 할 정보는 다음과 같습니다. 보안 그룹을 사용하여 그룹 정책 개체의 범위를 필터링합니다. 특정 GPO가 Windows 2000 보안 그룹을 사용하면 컴퓨터 및 사용자 그룹에 영향을 주는 특정 GPO를 보다 세부적으로 조정할 수 있습니다.
GPO 필터링에 관한 자세한 내용은 Windows 2000 그룹 정책의 기술 자료를 참조하십시오. WMI를 사용하여 그룹 정책 개체의 범위를 필터링합니다. Windows XP 클라이언트는 GPO에 대해 WMI 필터링을 사용합니다. 이 필터링 기능은 클라이언트가 자신에게 있는 WMI 정보를 기반으로 GPO의 처리를 건너뛸 수 있게 해줍니다.
WMI 필터링에 관한 자세한 내용은 Windows 2000 그룹 정책의 기술 자료를 참조하십시오. 그룹 정책 적용 순서. 그룹 정책은 기본적으로 상속 및 누적되며 Active Directory 컨테이너에 있는 모든 컴퓨터와 사용자에게 영향을 줍니다. 그룹 정책 개체의 처리 순서는 다음과 같습니다.
위의 GPO 처리 순서(로컬? 사이트? 도메인? OU)는 나중에 적용되는 정책이 먼저 적용된 정책을 덮어쓰기 때문에 반드시 유의해야 합니다. 무시 안 함 및 정책 상속 금지 옵션. 무시 안 함 옵션을 사용하여 특정 GPO의 그룹 정책 설정을 적용하면 하위 수준 Active Directory 컨테이너에 있는 GPO가 해당 정책을 무시하는 것을 막을 수 있습니다 또한 정책 상속 차단 옵션을 사용하여 상위 Active Directory 컨테이너로부터의 그룹 정책 상속을 막을 수도 있습니다. 자세한 내용은 Windows 2000 그룹 정책의 기술 자료를 참조하십시오. 혼합된 도메인 배포혼합 모드 배포에서도 소프트웨어 제한 정책을 사용할 수 있습니다. 다시 말해 소프트웨어 제한 정책을 활용하기 위해 Windows 2000 도메인 컨트롤러를 업그레이드할 필요가 없습니다. Windows XP Professional 컴퓨터를 사용하면 GPO를 편집하고 소프트웨어 제한 정책을 구성할 수 있습니다. Windows XP 및 Windows Server 2003 컴퓨터에 GPO를 다운로드하면 소프트웨어 제한 정책이 적용됩니다. 하지만 Windows 2000을 실행하는 컴퓨터는 이러한 설정을 무시합니다. 여러 소프트웨어 제한 정책의 병합 의미둘 이상의 그룹 정책을 사용자 또는 컴퓨터에 적용할 때마다 정책이 병합됩니다. 둘 이상의 소프트웨어 제한 정책을 병합하면 다음과 같은 결과가 나타납니다.
소프트웨어 제한 정책은 사용자 범위와 컴퓨터 범위에 설정할 수 있습니다. 사용자와 컴퓨터 범위를 병합한다는 것은 다음과 같은 의미입니다.
이 섹션에서는 소프트웨어 제한 정책의 문제 해결에 필요한 정보를 다루고 있습니다. 소프트웨어 제한 정책의 기본 설정소프트웨어 제한 정책의 기본 설정은 다음과 같습니다.
오류 메시지소프트웨어 제한 정책으로 인해 특정 프로그램을 사용할 수 없음에도 불구하고 해당 프로그램을 시작하면 오류 코드가 나타납니다. 시작 프로그램에서 이 오류 코드에 대한 시스템 메시지를 반환하면 다음과 같은 메시지가 나타납니다. 이 프로그램은 소프트웨어 제한 정책으로 금지되어 있으므로 Windows에서 열 수 없습니다. 자세한 정보는 아래 그림 9의 이벤트 뷰어를 열거나 시스템 관리자에게 문의하십시오.
그림 9 Windows 탐색기에서 받는 오류 메시지 어떤 프로그램은 발생 가능한 많은 오류 코드를 하나의 오류 메시지에 표시하기도 합니다. 예를 들어, Windows 명령 프롬프트는 프로그램이 소프트웨어 제한 정책으로 제한되면 아래 그림 10과 같은 메시지를 표시합니다. The system cannot execute the specified program, as shown in Figure 10 below.
그림 10 명령 프롬프트에서 받는 오류 메시지 규칙 GUID각 경로, 해시 또는 영역 규칙은 전역 고유 식별자(GUID)와 연결되어 있습니다. 동일한 프로그램에 대한 두 개의 사용할 수 없음 해시 규칙 같은 두 개의 동일한 규칙이라도 각각 다른 GUID와 연결되어 있습니다. 이 GUID는 규칙 데이터와 함께 레지스트리에 저장되어 있습니다. 다양한 로깅 및 문제 해결 도구들이 이러한 GUID를 표시하며, 규칙 GUID 사용하면 규칙이 정의되는 GPO를 결정할 수 있습니다. 계산기 누락의 경우GUID가 문제 해결에 도움이 되는 방식을 이해하려면 사용자가 Windows 계산기인 calc.exe 프로그램을 시작하려고 하는 예를 들어 봅니다. 사용자가 소프트웨어 제한 정책으로 금지되었다는 내용의 오류를 받으면 이를 실수로 생각하고 고객 지원 센터에 전화를 합니다. 고객 지원 전문가는 이벤트 로그를 확인하고 다음과 같은 소프트웨어 제한 정책 이벤트를 발견합니다.
이 이벤트 로그 항목 세부 사항에 GUID {91ecff50-2ff4-4672-a182-b0f07a74b2df}가 나와 있습니다. 고객 지원 전문가는 gpresult.exe 도구를 실행하여 다음 항목을 확인합니다.
고객 지원 전문가는 그룹 정책 편집기에서 DisallowedPolicy라는 GPO를 엽니다. 그런 다음 규칙을 검사하여 calc.exe의 경로 규칙을 확인합니다. 규칙 설명에는 프로그램 cacls.exe를 사용 안 함으로 설정돼있는 것으로 나타나 있으며 파일의 액세스 제어 목록(ACL)을 표시하거나 수정하는 데 사용된다고 명시되어 있습니다. 고객 지원 전문가는 규칙에 오타가 있어서 cacls.exe 대신 calc.exe를 잘못 입력했다고 결론을 내리고 담당 IT 관리자와 다음 단계를 수행합니다. 이벤트 로그소프트웨어 제한 정책은 다음 이벤트 로그 항목을 생성할 수 있습니다. Event Log: System
Event Type: Warning
Event Source: Software Restriction Policy
Event Category: None
Event ID: 865
Date: 6/6/2001
Time: 2:50:29 PM
User: bob
Computer: EXAIR-1
Description:
Access to C:\Program Files\Messenger\msmsgs.exe has been restricted by your
Administrator by the default software restriction policy level.
This event is logged when a user starts a program that is disallowed by the default
security level.
Event Log: System
Event Type: Warning
Event Source: Software Restriction Policy
Event Category: None
Event ID: 866
Date: 6/6/2001
Time: 2:50:29 PM
User: bob
Computer: EXAIR-1
Description:
Access to C:\Program Files\Messenger\msmsgs.exe has been restricted by your
Administrator by location with policy rule {79d2f45e-5d93-4138-9608-dde4afc8ac64}
placed on path C:\Program Files\Messenger\msmsgs.exe
This event is logged when a user starts a program that is disallowed by a path rule.
The rule GUID, {79d2f45e-5d93-4138-9608-dde4afc8ac64} in this example, can be used in
conjunction with gpresult.exe to find the GPO this rule came from.
Event Log: System
Event Type: Warning
Event Source: Software Restriction Policy
Event Category: None
Event ID: 867
Date: 6/6/2001
Time: 2:50:29 PM
User: bob
Computer: EXAIR-1
Description:
Access to C:\Program Files\Messenger\msmsgs.exe has been restricted by your
Administrator by software publisher policy.
This event is logged when a user starts a program that is disallowed by a
certificate rule.
Event Log: System
Event Type: Warning
Event Source: Software Restriction Policy
Event Category: None
Event ID: 868
Date: 6/6/2001
Time: 2:50:29 PM
User: bob
Computer: EXAIR-1
Description:
Access to C:\Program Files\Messenger\msmsgs.exe has been restricted by your
Administrator by policy rule {79d2f45e-5d93-4138-9608-dde4afc8ac64}.
This event is logged when a user starts a program that is disallowed by a zone rule or
hash rule.
다음 명령줄은 모든 소프트웨어 제한 정책 이벤트를 쿼리합니다. 이 쿼리에 관한 자세한 정보는 명령줄에 EventQuery -l System -fi "ID ge 865" -fi "ID le 868" -v -fo list 고급 로깅관리자는 규칙을 작성하거나 컴퓨터 표시 문제를 해결하면서 모든 소프트웨어 제한 정책 평가의 로그가 필요할 경우가 있습니다. 이는 고급 로깅을 사용하여 수행할 수 있습니다. 고급 로깅을 활성화하려면 다음과 같이 하십시오. 다음 레지스트리 키를 생성합니다. KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 문자열 값: 로그 파일명, <로그 파일 경로> 명령줄에서 로깅 활성화/비활성화 설정다음 명령을 사용하면 명령줄에서 로깅을 활성화 및 비활성화로 설정할 수 있습니다. 로깅 활성화 reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v LogFileName /d saferlog.txt 로깅 비활성화 reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v LogFileName /f 로그 파일 항목의 형식은 다음과 같습니다. parent process (Process ID) identified Path to launched program as Rule Level using Rule Type, GUID = GUID of rule 예제 항목: 이 항목은 프로세스 ID 396으로 실행되는 winlogon 프로세스가 프로그램 C:\Windows\system32\userinit.exe를 시작하는 것을 보여 줍니다. 프로그램과 매칭된 규칙에는 GUID{f8c2c158-e1af-4695-bc93-07cbefbdc594}가 있습니다. 이 규칙의 보안 수준은 사용 가능이며 매칭 규칙은 경로 규칙입니다. 참고 고급 로깅을 수행하지 않을 때는 반드시 레지스트리 값을 삭제하여 고급 로깅을 종료합니다. 고급 로깅을 장시간 사용하면 디스크 공간을 많이 소모하고 시스템 성능을 저하시킵니다. 그룹 정책 문제 해결다음의 도구를 사용하여 그룹 정책 문제점을 해결합니다. 정책 결과 집합(RSOP)RSOP는 MMC 스냅인 형태로 된 인프라이자 도구로서 관리자가 로깅 모드와 계획 모드라는 두 가지 모드에서 현재의 정책 집합을 결정하고 분석할 수 있게 해줍니다. 관리자는 로깅 모드에서 특정 대상에 적용된 정책에 액세스합니다. 계획 모드에서는 그룹 정책의 변경 사항을 배포하기 전에 정책이 대상에 어떻게 적용될지 확인한 다음 결과를 검사할 수 있습니다. 현재 사용자의 RSOP 데이터 보기
gpupdate.exeGpupdate는 그룹 정책용 유틸리티이며 다음과 같은 방식으로 클라이언트 컴퓨터의 그룹 정책을 새로 고치고 소프트웨어 제한 정책에 사용할 수 있습니다.
소프트웨어 제한 정책 설정을 새로 고친 후에는 새로 시작된 프로그램만 정책을 적용합니다. Windows 셸인 explorer.exe 같은 일부 오래된 프로그램은 새로운 정책을 반영하지 않습니다. 모든 프로그램이 정책을 적용하려면 사용자가 다시 로그인해야 합니다. gpresult.exeGpresult.exe는 그룹 정책을 새로 고치는 동안 적용되는 설정을 검사하는 그룹 정책 유틸리티이며 정책 결과 집합(RSOP) 데이터를 사용합니다. 다음과 같은 방식으로 소프트웨어 제한 정책에 사용합니다.
명령 샘플다음은 명령 gpresult /scope user /v /user bob의 샘플 출력 결과입니다. Microsoft Windows XP Operating System Group Policy Result tool v2.0 Copyright Microsoft Corp. 1981-2001 Created On 8/1/2001 at 3:07:34 PM RSOP results for EXAIR-70\bob on EXAIR-7 : Logging Mode OS Type: Microsoft Windows XP Server OS Configuration: Primary Domain Controller OS Version: 5.1.3524 Domain Name: EXAIR-70 Domain Type: Windows 2000 Site Name: Default-First-Site-Name Roaming Profile: Local Profile: C:\Documents and Settings\bob Connected over a slow link?: No User Settings CN=bob,OU=Product Group,DC=EXAIR-7,DC=nttest,DC=microsoft,DC=com Last time Group Policy was applied: 8/1/2001 at 2:49:28 PM Group Policy was applied from: N/A Group Policy slow link threshold: 500 kbps Applied Group Policy Objects DisallowedPolicy Software Restriction Policy Default Domain Policy 참고 적용된 GPO(Applied Group Policy)는 해당 사용자에게 적용되는 GPO를 보여 줍니다. The following GPOs were not applied because they were filtered out: Local Group Policy Filtering: Not Applied (Empty) The user is a part of the following security groups: Domain Users Everyone BUILTIN\Users BUILTIN\Pre-Windows 2000 Compatible Access LOCAL NT AUTHORITY\INTERACTIVE NT AUTHORITY\Authenticated Users 참고 그룹 구성원 자격은 GPO 필터링 시나리오의 문제 해결을 위해 표시합니다. Resultant Set Of Policies for User:
Software Installations: N/A
Public Key Policies: N/A
Administrative Templates
GPO: Software Restriction Policy
Setting:
Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{593905cd-1a5b-4c56-93a6-ecf1c8a78c04}
State: Enabled참고 규칙 세부 사항은 표시하지 않았지만 규칙에 대응하는 GUID는 표시되며, 설정의 기반이 되는 GPO 이름도 표시됩니다. GPO: DisallowedPolicy
Setting:
Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{094a935d-a2b8-
48be-a50b-0fe3174e9ced}
State: Enabled
GPO: DisallowedPolicy
Setting:
Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{bba39f11-e1a9-
406a-8296-3b2cbcb1f144}
State: Enabled
GPO: Software Restriction Policy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{c0193a34-
594d-452b-b3e6-edc0d593f345}
State: Enabled
GPO: DisallowedPolicy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
State: Enabled
GPO: Software Restriction Policy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a5c5639e-
4ee7-4882-aa80-560bbecaca22}
State: Enabled
GPO: Software Restriction Policy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f63296b7-
4b0a-4318-ae8d-5d070b44b4ec}
State: Enabled
GPO: DisallowedPolicy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
State: Enabled
GPO: Software Restriction Policy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{8e85c506-
2964-4745-8f4e-3c2efe02f509}
State: Enabled
GPO: Software Restriction Policy
Setting: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{739c2db8-
8ef5-4b2d-b210-d84d7b697603}
State: Enabled
Folder Redirection: N/A
Internet Explorer Browser User Interface: N/A
Internet Explorer Connection: N/A
Internet Explorer URLs: N/A
Internet Explorer Security: N/A
Internet Explorer Programs: N/A복구 옵션안전 모드Windows를 안전 모드에서 시작하여 로컬 관리자로 로그인하면 소프트웨어 제한 정책이 적용되지 않습니다. 안전 모드에 들어가면 문제를 일으키는 정책을 수정할 수 있습니다. 문제를 일으키는 정책 수정
이 섹션에서는 기본값으로 지정된 파일 형식 목록, 레지스트리 형식 및 테스트 인증서로 파일을 디지털 서명하는 방법에 대해 다룹니다. 표 11 기본값으로 지정된 파일 형식
레지스트리 형식정책 적용이 끝나면 소프트웨어 제한 정책 구성이 시스템 레지스트리에 저장됩니다. 이러한 레지스트리 키를 보호하는 보안 액세스 제어 목록(ACL)은 관리자와 SYSTEM 계정만 이를 변경할 수 있도록 합니다. 사용자 정책사용자 정책은 다음 키 아래 저장됩니다. HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ 컴퓨터 정책컴퓨터 정책은 다음 키 아래 저장됩니다. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ 레지스트리 형식 설명
[선택 사항인 레지스트리 값입니다. 이 값은 수동으로 설정해야 합니다.] 참고 이 키 아래의 항목들은 사용할 수 없음 규칙입니다. 참고 중괄호로 묶인 번호는 GUID입니다. 각각의 GUID는 고유합니다. ItemSize, QWORD, (파일 크기) 또는 Note REG_EXPAND_SZ는 환경 변수와 레지스트리 경로 규칙을 사용하는 경로 규칙에 사용됩니다. 참고 이 키 아래의 항목들은 사용 가능 규칙입니다. 인증서 규칙인증서 규칙은 레지스트리에서 별도의 키에 저장됩니다. 사용자 소프트웨어 제한 정책의 인증서 규칙은 다음 레지스트리 키에 저장됩니다.
컴퓨터 소프트웨어 제한 정책의 인증서 규칙은 다음 레지스트리 키에 저장됩니다.
참고 이 키 아래의 항목들은 사용 가능 규칙입니다. 참고 이것은 인증서의 해시입니다. 참고 이 키 아래의 항목들은 사용할 수 없음 규칙입니다. s 참고 이것은 인증서의 해시입니다. 기본 설정
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK* 테스트 인증서로 파일을 디지털 서명하기 위한 단계별 지침이 섹션은 인증서 규칙으로 파일을 디지털 서명하는 도구와 프로세스를 다룹니다. 1단계: 도구 다운로드 Internet Explorer 5.0의 Authenticode를 다운로드합니다. 이 도구는 Authenticode 서명을 이용해 파일의 서명을 확인하는 데 사용합니다. http://www.microsoft.com/korea/msdn/downloads/default.asp 2단계: 코드 서명 인증서 등록 이 단계에서는 코드 서명에 유효한 인증서를 얻으며 여기에는 다음과 같은 세 가지 방법이 있습니다.
setreg.exe 명령은 로컬 컴퓨터가 테스트 코드 서명 인증서를 발급하는 Test Root Agency 인증서를 신뢰하도록 명령합니다. 제품 컴퓨터에 있는 테스트 루트 인증서는 신뢰해서는 안 됩니다. 3단계: 파일 서명 다음 내용을 포함한 hello.vbs라는 테스트 VB 스크립트 파일을 생성합니다.
다음 명령을 실행하여 이 파일에 서명하고 타임스탬프를 찍습니다.
서명 및 타임스탬프 작업을 완료하면 도구가 성공(Succeeded)을 인쇄합니다. 스크립트는 아래 그림 11에서처럼 Base 64로 인코딩 디지털 서명 섹션을 추가합니다.
그림 11 디지털 서명이 있는 Visual Basic 스크립트 파일 다음 명령을 실행하면 파일이 서명이 올바른지 확인할 수 있습니다.
그림 12의 대화 상자가 나타납니다.
그림 12 서명된 파일 확인 e 4단계: 인증서 및 경로 규칙 작성 로컬 보안 정책 secpol.msc를 편집하고 다음과 같은 두 가지 규칙을 생성합니다.
다음 명령을 실행하여 인증서를 파일로 내보내기 하고 인증서 규칙을 작성할 때 이 파일을 검색합니다.
이 두 가지 규칙을 결합하여 이 테스트 인증서가 서명한 파일을 제외한 모든 VB 스크립트 파일을 사용할 수 없음으로 설정합니다. 사용자의 정책은 아래 그림 13에 나와 있는 예와 유사합니다.
그림 13 인증서와 경로 규칙이 나타난 소프트웨어 제한 정책 5단계: 다시 로그인하여 소프트웨어 제한 정책 테스트
소프트웨어 제한 정책은 관리자에게 도메인의 컴퓨터에서 실행되는 소프트웨어를 확인하고 실행 기능을 제어할 수 있는 정책 위주의 메커니즘을 제공합니다. 정책을 사용하면 악의적인 스크립트를 차단하고 컴퓨터 잠금을 용이하게 하거나 원치 않는 응용 프로그램의 실행을 막을 수 있습니다. 독립 실행형 모드에서 사용하거나 그룹 정책을 통해 관리할 수도 있고, 특정 사용자 집합이나 컴퓨터 집합의 요구에 맞게 조정할 수도 있습니다. 소프트웨어 제한 정책은 시스템 무결성과 관리 효율성 향상을 촉진시키고 궁극적으로 컴퓨터 소유 비용을 낮춰 줍니다.
자세한 정보는 다음 리소스를 참조하십시오.
최종 수정일 : 2005년 8월 22일 | | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
소개
(Windows 2000 터미널 서버 세션에 대한 잠금 기능 수행 방법)를 참조하는 것이 좋습니다.
[HKCU 또는 HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
DefaultLevel, DWORD (사용 가능은 40000, 사용할 수 없음은 0)
ExecutableTypes, REG_MULTI_SZ (지정된 파일 형식의 확장명 목록)
