DLL을 차단하는 규칙 추가 및 테스트

사용자가 특정 응용 프로그램을 열지 못하게 만들 수 있습니다. 사용자가 특정 응용 프로그램을 열지 못하게 만드는 한 가지 방법은 해당 응용 프로그램이 실행에 사용하는 DLL을 차단하는 것입니다. DLL을 차단하기 위해 DLL의 로드를 차단하는 규칙을 생성할 수도 있습니다. 그러면 사용자가 해당 응용 프로그램을 열려고 해도 열리지 않습니다.
예를 들어, Msvcrt.dll 파일에는 Microsoft WordPad와 같은 다양한 Windows 응용 프로그램을 실행하는 데 사용되는 프로그램 코드가 포함되어 있습니다. 클라이언트 시스템에서 Msvcrt.dll을 차단하는 규칙을 추가하면 사용자가 Microsoft WordPad를 열 수 없습니다.
"보안에 민감하게" 작성된 일부 응용 프로그램이 DLL의 주입을 악성 코드로 분석할 수도 있습니다. 이러한 주입을 차단하거나 DLL을 제거하기 위한 대응책을 시도합니다.
  1. DLL을 차단하는 규칙을 추가하려면 응용 프로그램 제어 정책을 열고
    응용 프로그램 제어
    창에서
    추가
    를 누르십시오.
  2. 응용 프로그램 제어 규칙 세트
    대화 상자에서
    규칙
    목록 아래에 있는
    추가 > 규칙
    추가를 누르십시오.
  3. 속성
    탭에서
    규칙 이름
    입력란에
    Block user from opening Microsoft WordPad
    를 입력하십시오.
  4. 이 규칙을 다음 프로세스에 적용
    오른쪽에 있는
    추가
    를 누르십시오.
  5. 프로세스 정의 추가
    대화 상자에서
    비교할 프로세스 이름
    아래에
    C:\Program Files\Windows NT\Accessories\wordpad.exe
    를 입력하고
    확인
    을 누르십시오.
  6. 응용 프로그램 제어 규칙 세트
    대화 상자에서
    규칙
    목록 아래에 있는
    추가 > 조건 추가 > DLL 로드 시도
    를 누르십시오.
  7. 속성
    탭에서
    설명
    입력란에
    dll blocked
    를 입력하십시오.
  8. 이 규칙을 다음 DLL에 적용
    오른쪽에 있는
    추가
    를 누르십시오.
  9. DLL 정의 추가
    대화 상자의
    비교할 DLL 이름
    그룹 상자에 있는 입력란에
    MSVCRT.dll
    을 입력하고
    확인
    을 누르십시오.
  10. 응용 프로그램 제어 규칙 세트
    대화 상자에서
    작업
    탭에 있는
    액세스 차단
    ,
    로그 실행
    ,
    사용자에게 알림
    을 차례로 누르십시오.
  11. 사용자에게 알림
    아래에
    Should not be able to load WordPad
    를 입력하십시오.
  12. 확인
    을 두 번 누르고 정책을 해당 클라이언트 시스템 그룹에 할당하십시오.
    규칙을 테스트합니다.
  13. DLL을 차단하는 규칙을 테스트하려면 클라이언트 시스템에서 Microsoft WordPad를 열어 보십시오.