AppLocker… 조직내 필요한 소프트웨어만을 구동… Windows 7 – Windows Server 2008 R2와 만났을 때 (4)

  • Article

Windows7_h_rgb WS08-R2_h_rgb

1달여동안 지속적으로 Windows 7, 그리고 Windows 7과 Windows Server 2008 R2와의 연동 부분에 대해서 포스팅을 하고 있는데, 도움이 되시는지 모르겠습니다. :) 전반적인 최종 사용자용 기술 같은 경우, 다른 블로그나, 문서를 통해서 살펴보실 수 있지만, 엔터프라이즈용(기업용) 기술 및 가치는 아직까지 한글화가 빠르게 되지 않아, 블로그를 통해서 많이 알려드릴려고 노력하고 있습니다.

BranchCache, DirectAccess 1편, DirectAccess 2편에 이어, 오늘 소개해드릴 Windows 7의 기술은 바로 AppLocker입니다. Application Locker라는 이름을 가지고 있습니다. 조직내 관리자들이 많이 고민하고 있는 것중 한가지가 지식 근로자들이 업무에 불필요한 소프트웨어를 설치하여 사용하는 경우, 그리고 이러한 사항이 불법 소프트웨어 단속에 문제로 이어질 수 있는 위험 요소들을 줄이는 것입니다.

image

Windows Server 2008까지는 소프트웨어 제한 정책이라고 해서, 응용 프로그램의 해쉬값을 이용해서, 소프트웨어를 제한하였기 때문에, 소프트웨어가 업데이트된 경우엔, 정책을 관리자가 일일히 업데이트해주어야 합니다. 또한 해당 정책을 부여할 경우, 정책을 받지 않아야 할 사용자에 대한 필터링이 그룹 기반의 필터링이 안되었기 때문에, 그룹 정책에 대한 보안 필터링을 설정해야 하는 경우도 있었죠. 또한 Windows Installer나 설치 프로그램에 대한 제한이 불가능했음과 동시에, 스크립트에 대한 제한도 별도로 부여할 수 없었습니다.

위의 표에서도 아실 수 있지만, AppLocker의 핵심 추가 사항중 하나는 바로 Publisher(배포자)에 대한 제한을 가할 수 있다는 것입니다. 실행 파일이나, 각종 파일의 헤더에는 배포자에 대한 정보가 들어가 있고, 이는 여러 형태로 반영시켜놓고 있습니다. 이를 통해 제한 사항을 부여하여, 실행 파일이 업데이트되어더라도, 배포자 정보는 변경되지 않으므로, 정책이 지속적으로 반영되게 됩니다. AppLocker 기술은 Windows 7 클라이언트만 가지고도 적용이 가능하지만, 다수의 클라이언트에 이를 반영하기 위해서는 액티브 디렉터리 환경이 필요합니다. 그리고 해당 AppLocker를 확인하기 위한 서비스인 AppID 서비스가 동작해야 합니다.

image image

  • Executable Rules : 실행 파일에 대한 규칙
  • Windows Installer Rules : Windows Installer를 이용하여 프로그램이 설치되는 것에 대한 규칙
  • Script Rules : 스크립트에 대한 규칙

image

해당 규칙에서 마우스 오른쪽 버튼을 누르시면, 세부 메뉴가 나타납니다. 제가 가장 반겼던 두가지 메뉴.. 바로 Automatically Generate Rules와 Create Default Rules입니다. Create Default Rules의 경우엔, AppLocker를 통해 소프트웨어를 제한할 때, 기본적으로 필요한 규칙을 자동으로 생성해줍니다. 대표적으로 Windows 폴더 밑, Program Files 폴더 밑에 대한 전반적인 허용이 이에 해당됩니다. Automatically Generate Rules는 마법사를 통해 가장 적절한 프로그램 제한 방법을 제시해줍니다. 기존 소프트웨어 제한 정책은 개별 제한 규칙이 어떻게 동작하고, 어떻게 반영되는지를 다 알고, 관리자가 결정을 해줘야 했지만요..

image image

상단 오른쪽 그림의 빨간색 박스안은, 앞서 언급한 보안 그룹별로 이를 반영하는 부분입니다. 전반적인 조직내 컴플라이언스에 따른 규칙을 생성하신 후, 이를 내보내서, 다른 컴퓨터나 도메인에 반영할 수도 있습니다. 규칙을 위반했을 경우, 이를 강제로 실행하지 못하게 할 것인지, 아니면 로그에 남기기만 할 것인지를 전체 속성에서 반영할 수도 있고요.

image  image

자 결론적으로.. 이렇게 제한된 프로그램을 사용자가 실행할 경우에는…

image

그룹 정책에 의해서 차단되었다는 메시지가 나타납니다.

Windows 7 AppLocker 기술은 조직내 원치 않거나, 알 수 없는 응용 프로그램의 등장을 막아주고, 응용 프로그램 표준화를 반영할 수 있으며, 그룹 정책을 통해 손쉬운 생성 및 유연한 관리를 제시합니다. 이를 통한 보안 강화는 당연한 이야기죠!

지금까지 조직내 응용 프로그램에 대한 전반적인 관리에 대해 어려움을 느끼고 계셨거나, 악성 코드등을 실행하여, 낭패를 경험하신 적이 있으시다면, AppLocker가 매우 반가운 기술이지 않을까라고 생각합니다. :)