응용 프로그램 제어 규칙을 추가하기 위한 베스트 프랙티스

사용자 정의 응용 프로그램 제어 규칙을 신중히 계획해야 합니다. 응용 프로그램 제어 규칙을 추가하는 경우 다음과 같은 베스트 프랙티스를 유념하십시오.
응용 프로그램 제어 규칙을 위한 베스트 프랙티스
베스트 프랙티스
설명
규칙 순서 고려
응용 프로그램 제어 규칙은 첫 번째 규칙 비교 기능을 사용한다는 점에서 대부분의 네트워크 기반 방화벽 규칙과 유사하게 작동합니다. 여러 조건을 만족하는 경우 목록의 첫 번째 규칙만 적용됩니다. 단, 규칙에 설정된 작업이
기타 규칙 계속 처리
인 경우에는 예외입니다.
모든 사용자가 USB 드라이브에서 파일을 이동, 복사 및 생성하지 못하게 하려고 합니다.
Test.doc라는 파일에 대한 쓰기 액세스를 허용하는 조건이 포함된 기존의 규칙을 갖고 있는데 이 기존 규칙 세트에 모든 USB 드라이브를 차단하는 두 번째 조건을 추가했습니다. 이 경우 사용자는 USB 드라이브에서 Test.doc 파일을 계속 생성하고 수정할 수 있습니다. 규칙 세트에서 Test.doc 조건에 대한
액세스 허용
이 USB 드라이브에 대한
액세스 차단
보다 앞에 옵니다. USB 드라이브에 대한
액세스 차단
조건은 목록에서 앞에 오는 조건이 참일 경우 처리되지 않습니다.
올바른 작업 사용
프로세스 종료 시도
조건은 클라이언트 시스템에서 호출 프로세스를 종료하는 응용 프로그램의 기능을 허용하거나 차단합니다.
이 조건은 사용자가 파일 메뉴에서 종료를 누르는 것처럼 일반적인 방법을 사용한 응용 프로그램 중지를 허용하거나 차단하지 않습니다.
프로세스 탐색기는 열리거나 로드된 DLL 프로세스와 해당 프로세스가 사용하는 리소스를 표시하는 도구입니다.
프로세스 탐색기가 특정 응용 프로그램을 종료하려고 할 때 프로세스 탐색기를 종료할 수 있습니다.
프로세스 종료 시도
조건 및
프로세스 종료
작업을 사용하여 이 규칙 유형을 생성하십시오. 프로세스 탐색기 응용 프로그램에 조건을 적용합니다. 프로세스 탐색기가 종료하지 않도록 할 응용 프로그램에 규칙을 적용하십시오.
목표당 하나의 규칙 세트 사용
특정 태스크를 허용, 차단 또는 모니터링하는 모든 작업을 포함하는 규칙 세트를 하나 생성합니다.
모든 이동식 드라이브에 대한 쓰기 시도를 차단하고 응용 프로그램이 특정 응용 프로그램을 임의로 변경하지 못하게 차단하려고 합니다.
이렇게 하려면 규칙 세트 하나가 아니라 서로 다른 두 가지 규칙 세트를 생성해야 합니다.
프로세스 종료
작업은 신중히 사용
프로세스 종료
작업은 프로세스가 구성된 조건을 만족할 때 호출 프로세스를 종료합니다.
고급 관리자만
프로세스 종료
작업을 사용해야 합니다. 일반적으로
액세스 차단
작업을 대신 사용하는 것이 좋습니다.
프로세스가 Winword.exe를 시작할 때마다 Winword.exe를 종료하려고 합니다.
규칙을 생성하고 이 규칙에
프로세스 시작 시도
조건과
프로세스 종료
작업을 생성합니다. 그리고 Winword.exe에 조건을 적용하고 규칙을 모든 프로세스에 적용했습니다.
이 규칙이 Winword.exe를 종료할 것이라 예상할 수 있지만 이 규칙은 그렇게 작동하지 않습니다. Windows 탐색기에서 Winword.exe를 시작하려고 하면 이 구성을 가진 규칙이 Winword.exe가 아닌 Explorer.exe를 종료합니다. 사용자는 직접 실행할 경우 여전히 Winword.exe를 실행할 수 있습니다. 대신 대상 프로세스 또는 Winword.exe를 차단하는
액세스 차단
작업을 사용하십시오.
프로덕션 환경에 배치하기 전에 규칙 테스트
규칙 세트에 대한
테스트(로그 기록만
) 옵션은 작업을 기록하며 클라이언트 시스템에 작업을 적용하지 않습니다. 프로덕션 모드로 전환하기 전에 일정 기간 동안 테스트 모드에서 규칙을 실행하십시오. 이 기간 동안 응용 프로그램 제어 로그를 검토하여 규칙이 계획대로 작동하는지 확인하십시오.
테스트 옵션은 규칙의 모든 가능성을 고려하지 못해 발생할 수 있는 사고를 줄여줍니다.