윈도우 로고

윈도우11 AppLocker 사용자 계정이 특정 앱, 파일 및 폴더를 열지 못하게 설정

by

Windows 기본 내장 앱인 AppLocker 도구는 Windows 11에서 특정 사용자 계정이 특정 앱, 파일 및 폴더를 열지 못하게 해야 할 경우 이러한 작업을 수행하는데 도움이 되는 보안 기능입니다.

AppLocker는 Windows Professional 및 Enterprise 버전의 일부이며, 다음과 같이 애플리케이션 제어 정책 배포를 할 수 있습니다.

  • 게시자 이름(디지털 서명에서 파생), 제품 이름, 파일 이름 및 파일 버전 등 앱 업데이트 간에 유지되는 파일 속성에 따라 규칙을 정의합니다. 또한 파일 경로 및 해시에 따라 규칙을 만들 수도 있습니다.
  • 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.
  • 규칙에 대한 예외를 만듭니다. 예를 들어 모든 사용자가 레지스트리 편집기를 제외한 모든 Windows 이진 파일을 실행할 수 있도록 규칙을 만들 수 있습니다.
  • 감사 전용 모드를 사용하여 정책을 배포하고 정책 전용 전에 정책의 영향을 파악합니다.
  • 준비 서버에서 규칙을 만들고 테스트한 다음 프로덕션 환경으로 내보내고 그룹 정책 개체로 가져옵니다.
  • Windows PowerShell을 사용하여 AppLocker 규칙 만들기 및 관리를 단순화합니다.

AppLocker를 사용하고 거부 규칙을 만들기 위해 로컬 컴퓨터의 경우 로컬 그룹 정책 편집기를 사용하고 도메인에 가입된 컴퓨터의 경우 그룹 정책 편집기를 활용합니다.

Windows 11 AppLocker 특정 사용자가 실행할 수 있는 앱 및 파일을 제어하는 방법

AppLocker는 현재 그룹 정책을 사용하여 PC를 관리하는 조직에 적합합니다. 물론 가정에서 자녀 컴퓨터 사용을 제어하기 위한 도구로 활용할 수도 있습니다.

이 가이드는 Windows 11에서 AppLocker 기능을 활성화하고 조직에서 사용하는 방법을 설명합니다.

01 AppLocker 설치

로컬 그룹 정책 편집기 실행.

키보드 단축키 Win + R 키를 누르고 “gpedit.msc”를 입력한 다음 Enter 키를 눌러 로컬 그룹 정책 편집기를 실행합니다.

응용 프로그램 제어 정책.

로컬 그룹 정책 편집기에서 다음 경로로 이동하여 “응용 프로그램 제어 정책”을 확장합니다.

컴퓨터 구성 > Windows 설정 > 보안 설정 > 응용 프로그램 제어 정책
AppLocker.

응용 프로그램 제어 정책을 확장하여 AppLocker를 선택합니다.

02 실행 파일 규칙 새로 만들기

AppLocker 실행 파일 규칙 새로 만들기.

실행 파일 규칙을 마우스 오른쪽 버튼으로 클릭하고 [규칙 새로 만들기(N)]를 선택합니다.

시작하기 전 단계.

시작하기 전에서 관련 안내 글을 확인하고 [다음(N)]을 클릭합니다.

사용 권한 단계. 거부 및 사용자 또는 그룹 선택.

사용 권한 화면에서 “거부(D)”를 선택하고 [선택(S)] 버튼 후 특정 앱에 대한 액세스를 거부할 사용자 계정 또는 그룹을 선택한 뒤 [다음(N)] 버튼을 클릭합니다.

조건 단계. AppLocker 주 조건 형식 선택.

조건 화면에서 만들려는 주 조건 형식을 선택한 후 [다음(N)] 버튼을 클릭합니다.

게시자, 경로, 파일 해시 세 가지 조건 형식 중 하나를 선택할 수 있습니다.

  • 게시자(U) – 규칙을 만들 대상 응용 프로그램에 소프트웨어 게시자가 서명한 경우 이 옵션을 선택합니다.
  • 경로(A) – 특정 파일 또는 폴더 경로에 대한 규칙을 만듭니다. 폴더를 선택한 경우 폴더에 들어 있는 모든 파일이 규칙의 영향을 받습니다.
  • 파일 해시(H) – 서명되지 않은 응용 프로그램에 대해 규칙을 만드는 경우 이 옵션을 선택합니다.
게시자 단계.

게시자 화면에서 [찾아보기(B)] 버튼을 클릭하고 액세스를 거부하려는 참조 파일을 선택합니다.

게시자 참조 파일 및 정의 속성 선택.

위 예시 이미지는 ❶ Google Chrome 소프트웨어를 선택했습니다.

❷ 슬라이더를 사용하여 규칙을 정의하는 속성을 선택할 수도 있습니다.

슬라이더가 하단으로 내려갈수록 규칙은 더 구체적으로 지정할 수 있으며, 예를 들어 슬라이더가 ‘게시자(U)’ 위치에 있으면 서명된 모든 파일에 규칙이 적용됩니다.

여기서는 슬라이더를 기본 설정을 유지하며, 완료되면 [다음(N)]을 클릭합니다.

예외 단계.

예외 화면에서 설정한 실행 파일 규칙에 대한 예외를 추가할 수도 있습니다.

예외 조건은 선택 사항이며 일반적으로 규칙에 포함되는 파일을 제외할 수 있습니다.

예외 조건을 추가하지 않고 이 규칙을 계속 구성하려면 [다음(N)]을 클릭합니다.

이름 단계. 규칙 이름 및 설명 입력.

마지막으로 이름 화면에서 이 규칙을 식별하기 위한 이름설명(옵션)을 입력하고 [만들기(C)] 버튼을 클릭합니다.

03 기본 규칙 생성

AppLocker 실행 파일 규칙에 대한 기본 규칙 생성.

“지금 기본 규칙을 생성하시겠습니까?” 메시지가 뜨면 [예(Y)] 버튼을 클릭합니다.

실행 파일 규칙에 대한 기본 규칙이 없습니다. 따라서 규칙을 생성할 때 Windows 폴더 및 Profile Files 등 중요한 시스템 파일의 실행이 허용되도록 기본 규칙을 생성하는 것이 좋습니다.

AppLocker 기본 규칙 및 앱 거부 규칙 생성 완료.

기본 규칙(허용) 및 사용자가 새롭게 추가한 거부 정책을 성공적으로 생성했습니다.

참고로 기본 규칙에서 시스템이 정상적으로 운용되기 위한 Windows 및 Program Files 폴더에 있는 모든 파일에 대한 실행은 기본적으로 허용되고 있습니다.

여기서 거부 정책으로 지정한 Google Chrome 파일 또한 Program Files 폴더에 포함되어 있으나, “거부” 정책은 “허용” 정책보다 우선 순위가 높으므로 사용자가 원하는 거부 정책은 성공적으로 수행될 수 있습니다.

04 AppLocker 규칙 적용 구성

AppLocker 규칙 적용 구성.

로컬 그룹 정책 편집기의 AppLocker 정책으로 돌아와 “규칙 적용 구성”을 선택합니다.

참고로 사용자가 방금 생성한 실행 파일 규칙에 대한 기본 규칙 및 신규 규칙은 아직 “적용 구성 안 됨: 규칙 적용됨” 상태입니다.

AppLocker 속성에서 실행 파일 규칙 '구성됨' 적용.

AppLocker 속성 창에서 ‘실행 파일 규칙’구성됨 체크 박스 선택 후 [확인] 버튼을 클릭합니다.

05 AppLocker 앱 차단 테스트

AppLocker 테스트 - 시스템 관리자가 이 앱을 차단했습니다. 메시지 확인.

이제 AppLocker 정책에서 지정한 규칙에 따라 특정 사용자 계정에서 Chrome 브라우저 앱을 실행하면 위와 같이 “시스템 관리자가 이 앱을 차단했습니다.” 팝업과 함께 앱 실행이 차단되는 것을 확인할 수 있습니다.

해당 정책은 게시자가 서명한 모든 애플리케이션에 대한 차단을 수행하므로, 제거 및 다시 설치, 업데이트 등의 영향을 받지 않습니다.

또한 여기서는 단순히 앱 실행 차단에 대한 정책만 살펴보았으나, 관리자 동의 없이 소프트웨어 설치를 제한하거나, 다른 사용자에 대해 거부된 특정 앱을 단일 사용자 또는 소규모 그룹은 사용할 수 있도록 설정하는 등 다양하게 활용할 수 있습니다.

이를 위해 실행 파일, 스크립트, Windows Installer 파일, DLL(동적 연결 라이브러리), 패키지된 앱 및 패키지된 앱 설치 관리자 등 다양한 옵션을 사용할 수 있습니다.

06 AppLocker 문제해결 (애플리케이션 ID 서비스 실행)

애플리케이션 ID 서비스 시작 (AppIDSvc)

만약 AppLocker 애플리케이션 제어 정책이 동작하지 않는다면 ‘애플리케이션 ID 서비스’가 동작하고 있는지 확인이 필요합니다.

키보드 단축키 Ctrl + Shift + ESC 키를 눌러 작업 관리자를 열고 [서비스] 탭에서 ‘AppIDSvc’ 서비스가 실행 중인지 확인하여, 중지된 상태라면 마우스 오른쪽 버튼을 클릭하고 [시작(S)]을 선택합니다.

명령 프롬프트 or PowerShell 애플리케이션 ID 서비스 자동 시작 설정.

애플리케이션 ID 서비스는 앱의 ID를 결정하고 확인합니다. 따라서 이 서비스를 중지하면 AppLocker 정책이 적용되지 않습니다.

또한 해당 서비스는 보호된 프로세스로 서비스 스냅인을 사용하여 서비스 시작 유형을 자동으로 실행하도록 설정할 수 없습니다.

관리자 권한으로 실행한 명령 프롬프트 또는 PowerShell에서 다음 명령어로 활성화 할 수 있습니다.

sc.exe config appidsvc start=auto

마치며

특정 로컬 또는 도메인 사용자가 특정 애플리케이션, 파일 또는 폴더를 열지 못하도록 차단해야 하는 경우가 있습니다.

Windows 11 로컬 보안 정책에 통합된 AppLocker 도구를 사용하면 정책을 만들고 게시자, 경로, 파일 해시별로 대상을 차단할 수 있습니다.

다음은 AppLocker 기능을 활용할 수 있는 시나리오 예제입니다.

  • 조직의 보안 정책을 통해 사용이 허가된 소프트웨어만 사용하도록 규정하여 사용이 허가되지 않은 소프트웨어를 사용자들이 실행하지 못하도록 해야 하고 또한 권한 있는 사용자가 사용이 허가된 소프트웨어를 사용하도록 제한해야 하는 경우
  • 조직에서 앱을 더 이상 지원하지 않아 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우
  • 사용자 동의 없이 설치된 소프트웨어가 사용 환경에서 사용될 수 있는 가능성이 높아 이 위협을 줄여야 하는 경우
  • 앱에 대한 라이선스가 해지되었거나 organization 만료되었으므로 모든 사용자가 앱이 사용되지 않도록 해야 합니다.
  • 새 앱 또는 새 버전의 앱이 배포되어 사용자들이 이전 버전을 실행하지 못하도록 해야 하는 경우
  • 특정 소프트웨어 도구는 organization 내에서 허용되지 않거나 특정 사용자만 해당 도구에 액세스할 수 있어야 합니다.
  • 단일 사용자 또는 소규모 사용자 그룹이 다른 모든 사용자에 대해 거부된 특정 앱을 사용해야 하는 경우
  • 조직의 일부 컴퓨터를 서로 다른 소프트웨어 사용 요구를 가진 사람들이 공유하며 특정 앱을 보호해야 하는 경우
  • 다른 방법 외에도 앱 사용을 통해 중요한 데이터에 대한 액세스를 제어해야 하는 경우

Leave a Comment

© 2024 GeeKorea.com
Privacy Policy Terms Contact