HOWTO: Windows Server 2003에서 소프트웨어 제한 정책 사용

기술 자료 번역 기술 자료 번역
기술 자료: 324036 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Windows Server 2003에서 소프트웨어 제한 정책을 사용하는 방법을 설명합니다. 소프트웨어 제한 정책을 사용하면 실행이 허용된 소프트웨어를 식별하고 지정하여 신뢰할 수 없는 코드로부터 사용자 컴퓨터 환경을 보호할 수 있습니다. 소프트웨어 제한 정책을 사용하면 기본적으로 소프트웨어 실행을 허용하거나 허용하지 않도록 그룹 정책 개체(GPO)에 대해 제한 안 됨 또는 허용 안 함이라는 기본 보안 수준을 정의할 수 있습니다. 이러한 기본 보안 수준에 대한 예외를 만들기 위해 특정 소프트웨어에 대한 규칙을 만들 수도 있습니다. 다음 유형의 규칙을 만들 수 있습니다.
  • 해시 규칙
  • 인증서 규칙
  • 경로 규칙
  • 인터넷 영역 규칙
정책은 GPO에 적용된 기본 보안 수준과 모든 규칙으로 구성되어 있습니다. 이러한 정책은 모든 컴퓨터나 개인 사용자에 적용할 수 있습니다. 소프트웨어 제한 정책은 소프트웨어를 식별하는 여러 가지 방법을 제공하며 소프트웨어 실행 가능 여부를 결정할 수 있는 정책 기반 인프라를 제공합니다. 소프트웨어 제한 정책이 있을 경우 사용자는 프로그램을 실행할 때 관리자가 설정한 지침을 준수해야 합니다.

소프트웨어 제한 정책을 사용하면 다음과 같은 작업을 수행할 수 있습니다.
  • 컴퓨터에서 어떤 프로그램을 실행할 수 있는지 제어합니다. 예를 들어, 전자 메일을 통해 바이러스가 유포될 것이 우려되는 경우 전자 메일 프로그램의 전자 메일 첨부 파일 폴더에서 특정 파일 형식을 실행하지 못하도록 하는 정책을 적용할 수 있습니다.
  • 다중 사용자 컴퓨터에서 특정 파일만 실행하도록 허용합니다. 예를 들어, 컴퓨터에 여러 사용자가 있는 경우 작업에 사용해야 하는 특정 파일을 제외하고는 모든 소프트웨어에 액세스하지 못하도록 하는 소프트웨어 제한 정책을 설정할 수 있습니다.
  • 신뢰할 수 있는 게시자를 컴퓨터에 추가할 수 있는 사용자를 결정합니다.
  • 소프트웨어 제한 정책을 컴퓨터의 모든 사용자 또는 특정 사용자에 적용할지 여부를 제어합니다.
  • 로컬 컴퓨터, 조직 구성 단위, 사이트 또는 도메인에서 파일을 실행하지 못하도록 합니다. 예를 들어, 알려진 바이러스가 있는 경우 소프트웨어 제한 정책을 사용하여 해당 바이러스가 포함된 파일을 열지 못하도록 할 수 있습니다. 중요: 소프트웨어 제한 정책을 바이러스 백신 소프트웨어 대용으로 사용하는 것은 좋지 않습니다.

소프트웨어 제한 정책을 시작하는 방법

로컬 컴퓨터의 경우

  1. 시작을 누르고, 프로그램, 관리 도구를 차례로 가리킨 다음 로컬 보안 정책을 누릅니다.
  2. 콘솔 트리에서 보안 설정을 확장한 다음 소프트웨어 제한 정책을 확장합니다.

도메인에 참가한 구성원 서버나 워크스테이션에 있는 도메인, 사이트 또는 조직 구성 단위의 경우

  1. Microsoft Management Console(MMC)을 엽니다. 이렇게 하려면 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 파일 메뉴에서 스냅인 추가/제거를 누른 다음 추가를 누릅니다.
  3. 그룹 정책 개체 편집기를 누른 다음 추가를 누릅니다.
  4. 그룹 정책 개체에서 찾아보기를 누릅니다.
  5. 그룹 정책 개체 찾아보기에서 해당 도메인, 사이트 또는 조직 구성 단위에 있는 그룹 정책 개체(GPO)를 선택한 다음 마침을 누릅니다.

    또는 새 GPO를 만든 다음 마침을 누릅니다.
  6. 닫기를 누른 다음 확인을 누릅니다.
  7. 콘솔 트리에서 다음 위치로 이동합니다.
    그룹 정책 개체 [Computer_name] 정책/컴퓨터 구성 또는 사용자 구성/Windows 설정/보안 설정/소프트웨어 제한 정책

관리 도구 팩이 설치된 도메인 컨트롤러나 워크스테이션에 있는 조직 구성 단위나 도메인의 경우

  1. 시작을 누르고, 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 누릅니다.
  2. 콘솔 트리에서 그룹 정책을 설정할 도메인이나 조직 구성 단위를 마우스 오른쪽 단추로 누릅니다.
  3. 속성을 누른 다음 그룹 정책 탭을 누릅니다.
  4. 그룹 정책 개체 연결에서 항목을 눌러 기존 GPO를 선택한 다음 편집을 누릅니다.

    또는 새로 만들기를 눌러 새 GPO를 만든 다음 편집을 누릅니다.
  5. 콘솔 트리에서 다음 위치로 이동합니다.
    그룹 정책 개체 [Computer_name] 정책/컴퓨터 구성 또는 사용자 구성/Windows 설정/보안 설정/소프트웨어 제한 정책

관리 도구 팩이 설치된 사이트 및 도메인 컨트롤러나 워크스테이션의 경우

  1. 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사이트 및 서비스를 누릅니다.
  2. 콘솔 트리에서 그룹 정책을 설정할 사이트를 마우스 오른쪽 단추로 누릅니다.
    • Active Directory 사이트 및 서비스 [Domain_Controller_Name. Domain_Name]
    • Sites
    • 사이트

  3. 속성을 누른 다음 그룹 정책 탭을 누릅니다.
  4. 그룹 정책 개체 연결에서 항목을 눌러 기존 그룹 정책 개체(GPO)를 선택한 다음 편집을 누릅니다.

    또는 새로 만들기를 눌러 새 GPO를 만든 다음 편집을 누릅니다.
  5. 콘솔 트리에서 다음 위치로 이동합니다.
    그룹 정책 개체 [Computer_name] 정책/컴퓨터 구성 또는 사용자 구성/Windows 설정/보안 설정/소프트웨어 제한 정책
    중요: 로그온하는 컴퓨터에 관계 없이 사용자에게 적용할 정책을 설정하려면 사용자 구성을 누르십시오. 로그온하는 사용자에 관계 없이 컴퓨터에 적용할 정책을 설정하려면 컴퓨터 구성을 누르십시오.

    또한 루프백이라고 하는 고급 그룹 정책 설정을 사용하여 특정 컴퓨터에 로그온하는 특정 사용자에 소프트웨어 제한 정책을 적용할 수도 있습니다.

소프트웨어 제한 정책이 로컬 관리자에 적용되지 않도록 하는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 세부 정보 창에서 강요를 두 번 누릅니다.
  4. 다음 사용자에게 소프트웨어 제한 정책 적용에서 로컬 관리자를 제외한 모든 사용자를 누릅니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 일반적으로 사용자는 조직에 있는 자신의 컴퓨터에서 로컬 관리자 그룹의 구성원입니다. 따라서 이렇게 설정하지 않아도 될 수 있습니다. 소프트웨어 제한 정책은 로컬 관리자 그룹의 구성원인 사용자에게는 적용되지 않습니다.
  • 로컬 컴퓨터에 대해 소프트웨어 제한 정책 설정을 정의하는 경우 이 절차를 사용하여 로컬 관리자에게 소프트웨어 제한 정책이 적용되지 않도록 하십시오. 네트워크에 대해 소프트웨어 제한 정책 설정을 정의하는 경우 그룹 정책을 사용하여 보안 그룹의 구성원을 기준으로 사용자 정책 설정을 필터링하십시오.

인증서 규칙을 만드는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 콘솔 트리나 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 누른 다음 새 인증서 규칙 만들기를 누릅니다.
  4. 찾아보기를 누른 다음 인증서를 선택합니다.
  5. 보안 수준을 선택합니다.
  6. 설명 상자에 이 규칙에 대한 설명을 입력한 다음 확인을 누릅니다.
참고:
  • MMC에서 소프트웨어 제한 정책을 시작하는 방법에 대한 자세한 내용은 Windows Server 2003 도움말 파일의 관련 항목에서 "소프트웨어 제한 정책 시작"을 참조하십시오.
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 기본적으로 인증서 규칙은 설정되어 있지 않습니다. 인증서 규칙을 설정하려면 다음과 같이 하십시오.
    1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
    2. 다음 레지스트리 키를 찾아 누릅니다.
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. 세부 정보 창에서 AuthenticodeEnabled를 두 번 누른 다음 값 데이터를 0에서 1로 변경합니다.
  • 인증서 규칙이 영향을 주는 파일 형식은 지정된 파일 형식에 나열된 파일 형식뿐입니다. 모든 규칙에 의해 공유되는 지정된 파일 형식 목록이 하나 있습니다.
  • 소프트웨어 제한 정책을 적용하려면 컴퓨터에서 로그오프한 후 다시 로그온하여 정책 설정을 업데이트해야 합니다.
  • 둘 이상의 정책을 정책 설정에 적용하면 규칙 우선 순위에 따라 충돌이 처리됩니다.

해시 규칙을 만드는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 콘솔 트리나 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 누른 다음 새 해시 규칙 만들기를 누릅니다.
  4. 찾아보기를 눌러 파일을 찾거나 파일 해시 상자에 미리 계산된 해시를 붙여 넣습니다.
  5. 보안 수준 상자에서 허용 안 함이나 제한 안 됨을 누릅니다.
  6. 설명 상자에 이 규칙에 대한 설명을 입력한 다음 확인을 누릅니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 악의적인 소프트웨어가 실행되지 않도록 바이러스나 트로이 목마에 대한 해시 규칙을 만들 수 있습니다.
  • 다른 사용자가 해시 규칙을 사용하여 바이러스를 실행할 수 없도록 하려면 소프트웨어 제한 정책을 사용하여 바이러스의 해시를 계산한 다음 해시 값을 다른 사용자에게 전자 메일로 보냅니다. 바이러스 자체를 전자 메일로 보내지는 마십시오.
  • 전자 메일을 통해 바이러스를 보낸 경우 경로 규칙을 만들어 메일 첨부 파일을 실행하지 못하도록 할 수도 있습니다.
  • 파일 이름을 변경하거나 파일을 다른 폴더로 이동해도 해시는 동일하지만
  • 파일을 변경하면 해시가 달라집니다.
  • 해시 규칙이 영향을 주는 파일 형식은 지정된 파일 형식에 나열된 파일 형식뿐입니다. 모든 규칙에 의해 공유되는 지정된 파일 형식 목록이 하나 있습니다.
  • 소프트웨어 제한 정책을 적용하려면 컴퓨터에서 로그오프한 후 다시 로그온하여 정책 설정을 업데이트해야 합니다.
  • 둘 이상의 정책을 정책 설정에 적용하면 규칙 우선 순위에 따라 충돌이 처리됩니다.

인터넷 영역 규칙을 만드는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 콘솔 트리에서 소프트웨어 제한 정책을 누릅니다.
  4. 콘솔 트리나 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 누른 다음 새 인터넷 영역 규칙 만들기를 누릅니다.
  5. 인터넷 영역에서 인터넷 영역을 누릅니다.
  6. 보안 수준 상자에서 허용 안 함이나 제한 안 됨을 누른 다음 확인을 누릅니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 영역 규칙은 Windows Installer 패키지에만 적용됩니다.
  • 영역 규칙이 영향을 주는 파일 형식은 지정된 파일 형식에 나열된 파일 형식뿐입니다. 모든 규칙에 의해 공유되는 지정된 파일 형식 목록이 하나 있습니다.
  • 소프트웨어 제한 정책을 적용하려면 컴퓨터에서 로그오프한 후 다시 로그온하여 정책 설정을 업데이트해야 합니다.
  • 둘 이상의 정책을 정책 설정에 적용하면 규칙 우선 순위에 따라 충돌이 처리됩니다.

경로 규칙을 만드는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 콘솔 트리나 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 누른 다음 새 경로 규칙 만들기를 누릅니다.
  4. 경로 상자에 경로를 입력하거나 찾아보기를 눌러 파일이나 폴더를 찾습니다.
  5. 보안 수준 상자에서 허용 안 함이나 제한 안 됨을 누릅니다.
  6. 설명 상자에 이 규칙에 대한 설명을 입력한 다음 확인을 누릅니다.중요: Windows 폴더와 같은 특정 폴더에서 보안 수준을 허용 안 함으로 설정하면 운영 체제 동작에 나쁜 영향을 줄 수 있습니다. 운영 체제의 중요 구성 요소나 그 종속 프로그램 중 하나를 허용하지 않도록 설정하지 마십시오.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 프로그램에 대해 보안 수준을 허용 안 함으로 설정하여 경로 규칙을 만들어도 해당 소프트웨어를 다른 위치로 복사하면 실행할 수 있습니다.
  • 경로 규칙에서 지원되는 와일드카드 문자에는 별표(*)와 물음표(?)가 있습니다.
  • 경로 규칙에 %programfiles% 또는 %systemroot% 같은 환경 변수를 사용할 수 있습니다.
  • 컴퓨터에 저장되어 있는 위치는 모르지만 레지스트리 키를 알고 있는 소프트웨어에 대해 경로 규칙을 만들려면 레지스트리 경로 규칙을 만들면 됩니다.
  • 전자 메일 첨부 파일을 실행하지 못하도록 하려면 사용자가 전자 메일 첨부 파일을 실행하지 못하도록 메일 프로그램의 첨부 파일 폴더에 대해 경로 규칙을 만들면 됩니다.
  • 경로 규칙이 영향을 주는 파일 형식은 지정된 파일 형식에 나열된 파일 형식뿐입니다. 모든 규칙에 의해 공유되는 지정된 파일 형식 목록이 하나 있습니다.
  • 소프트웨어 제한 정책을 적용하려면 컴퓨터에서 로그오프한 후 다시 로그온하여 정책 설정을 업데이트해야 합니다.
  • 둘 이상의 정책을 정책 설정에 적용하면 규칙 우선 순위에 따라 충돌이 처리됩니다.

레지스트리 경로 규칙을 만드는 방법

  1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  2. 콘솔 트리에서 규칙을 만들 레지스트리 키를 마우스 오른쪽 단추로 누른 다음 키 이름 복사를 누릅니다.
  3. 세부 정보 창의 값 이름을 적어둡니다.
  4. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  5. 소프트웨어 제한 정책을 엽니다.
  6. 콘솔 트리나 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 누른 다음 새 경로 규칙 만들기를 누릅니다.
  7. 경로에 레지스트리 키 이름과 값 이름을 붙여 넣습니다.
  8. 레지스트리 경로를 % 기호로 묶습니다. 예를 들면 다음과 같습니다.
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. 보안 수준 상자에서 허용 안 함이나 제한 안 됨을 누릅니다.
  10. 설명 상자에 이 규칙에 대한 설명을 입력한 다음 확인을 누릅니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 이 절차를 수행하려면 사용자는 Administrators 그룹의 구성원이어야 합니다.
  • 레지스트리 경로 서식을 다음과 같이 지정합니다.
    % Registry Hive\ Registry Key Name\ Value Name%
  • 레지스트리 하이브의 완전한 이름을 적어야 합니다. 약어는 사용할 수 없습니다. 예를 들어, HKEY_CURRENT_USER 대신 HKCU를 사용할 수 없습니다.
  • 레지스트리 경로 규칙은 닫는 % 기호 다음에 접미사를 포함할 수 있습니다. 접미사에 백슬래시(\)는 사용하지 마십시오. 예를 들어, 다음 레지스트리 경로 규칙을 사용할 수 있습니다.
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • 경로 규칙이 영향을 주는 파일 형식은 지정된 파일 형식에 나열된 파일 형식뿐입니다. 모든 규칙에 의해 공유되는 지정된 파일 형식 목록이 하나 있습니다.
  • 소프트웨어 제한 정책을 적용하려면 컴퓨터에서 로그오프한 후 다시 로그온하여 정책 설정을 업데이트해야 합니다.
  • 둘 이상의 정책을 정책 설정에 적용하면 규칙 우선 순위에 따라 충돌이 처리됩니다.

지정된 파일 형식을 추가하거나 삭제하는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 세부 정보 창에서 지정된 파일 형식을 두 번 누릅니다.
  4. 다음 단계 중 하나를 적절하게 수행합니다.
    • 파일 형식을 추가하려면 파일 확장명 상자에 파일 이름 확장명을 입력한 다음 추가를 누릅니다.
    • 파일 형식을 삭제하려면 지정된 파일 형식 상자에서 원하는 파일 형식을 누른 다음 제거를 누릅니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 지정된 파일 형식 목록은 각 구성의 모든 규칙에 의해 공유됩니다. 컴퓨터 정책 설정을 위한 지정된 파일 형식 목록은 사용자 정책 설정을 위한 지정된 파일 형식 목록과 다릅니다.

소프트웨어 제한 정책의 기본 보안 수준을 변경하는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 세부 정보 창에서 보안 수준을 두 번 누릅니다.
  4. 기본값으로 설정할 보안 수준을 마우스 오른쪽 단추로 누른 다음 기본값으로 설정을 누릅니다.

    주의: 특정 폴더의 경우 기본 보안 수준을 허용 안 함으로 설정하면 운영 체제에 나쁜 영향을 줄 수 있습니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 세부 정보 창에서 현재 기본 보안 수준은 확인 표시가 있는 검정색 원으로 표시됩니다. 현재 기본 보안 수준을 마우스 오른쪽 단추로 누를 경우 기본값으로 설정 명령이 메뉴에 나타나지 않습니다.
  • 기본 보안 수준에 대한 예외를 지정하는 규칙이 만들어집니다. 기본 보안 수준을 제한 안 됨으로 설정하면 규칙은 실행을 허용하지 않을 소프트웨어를 지정합니다. 기본 보안 수준을 허용 안 함으로 설정하면 규칙은 실행을 허용할 소프트웨어를 지정합니다.
  • 기본 수준을 변경하면 컴퓨터에서 소프트웨어 제한 정책이 적용된 모든 파일에 영향을 줍니다.
  • 설치할 때 컴퓨터에 있는 모든 파일에 대한 소프트웨어 제한 정책의 기본 보안 수준은 제한 안 됨으로 설정됩니다.

신뢰할 수 있는 게시자 옵션을 설정하는 방법

  1. 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다.
  2. 소프트웨어 제한 정책을 엽니다.
  3. 신뢰할 수 있는 게시자를 두 번 누릅니다.
  4. 어떤 인증서를 신뢰할지 결정할 사용자를 누른 다음 확인을 누릅니다.
참고:
  • 이 GPO에 대해 소프트웨어 제한 정책 설정을 아직 만들지 않은 경우 새로 만들어야 할 수 있습니다.
  • 신뢰할 수 있는 게시자, 사용자, 관리자 또는 엔터프라이즈 관리자를 추가할 수 있는 사용자를 선택할 수 있습니다. 예를 들어, 이 도구를 사용하여 ActiveX 컨트롤 게시자에 대한 신뢰 결정을 내리지 못하도록 할 수 있습니다.
  • 로컬 컴퓨터 관리자는 로컬 컴퓨터에서 신뢰할 수 있는 게시자를 지정할 권한이 있으며 엔터프라이즈 관리자는 조직 구성 단위 수준에서 신뢰할 수 있는 게시자를 지정할 권한이 있습니다.




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 324036 - 마지막 검토: 2004년 3월 2일 화요일 - 수정: 5.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
키워드:?
kbhowto kbhowtomaster kbmgmtservices KB324036

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com