애플리케이션 제어
애플리케이션 제어는 사용자 컴퓨터의 애플리케이션 시작을 관리합니다. 이를 통해 애플리케이션 사용에 대한 회사 보안 정책을 구현할 수 있습니다. 애플리케이션 제어는 애플리케이션에 대한 접근을 제한하여 컴퓨터 감염 위험을 줄입니다.
애플리케이션 제어의 구성은 다음 단계로 구성됩니다.
- 애플리케이션 카테고리 만들기.
관리자는 관리하려는 애플리케이션 카테고리를 생성합니다. 애플리케이션 카테고리는 관리 그룹에 관계없이 회사 네트워크의 모든 컴퓨터를 대상으로 합니다. 카테고리를 작성하려면 KL 카테고리(예: 브라우저 ), 파일 해시, 애플리케이션 공급 업체 및 기타 기준과 같은 기준을 사용할 수 있습니다.
- 애플리케이션 제어 규칙 생성
관리자는 관리 그룹의 정책에 애플리케이션 제어 규칙을 만듭니다. 규칙에는 애플리케이션 카테고리와 이러한 카테고리에서 애플리케이션의 시작 상태(차단 또는 허용)가 포함됩니다.
- 애플리케이션 제어 모드 선택.
관리자는 애플리케이션 거부 목록이나 허용 목록 등 어느 규칙에도 포함되지 않은 애플리케이션의 작업 모드를 선택합니다.
사용자가 차단된 애플리케이션을 시작하려고 하면 Kaspersky Endpoint Security는 애플리케이션 시작을 차단하고 알림을 표시합니다(아래 그림 참조).
애플리케이션 제어 구성을 확인하기 위한 테스트 모드가 제공됩니다. 이 모드에서 Kaspersky Endpoint Security는 다음을 수행합니다.
- 애플리케이션(차단된 애플리케이션 포함) 시작을 허용합니다.
- 차단된 애플리케이션 시작에 대한 알림을 표시하고 사용자 컴퓨터의 리포트에 정보를 추가합니다.
- 차단된 애플리케이션 시작에 대한 데이터를 Kaspersky Security Center로 보냅니다.
애플리케이션 제어 알림
애플리케이션 제어 운영 모드
애플리케이션 제어 구성 요소에는 다음 두 가지 동작 모드가 있습니다:
- 거부 목록 . 이 애플리케이션 제어 모드에서는 사용자가 애플리케이션 제어 규칙에서 차단된 애플리케이션을 제외한 모든 애플리케이션을 시작할 수 있습니다.
애플리케이션 제어의 기본 작동 모드입니다.
- 허용 목록 . 이 애플리케이션 제어 모드에서는 사용자가 애플리케이션 제어 규칙에서 허용되고 차단되지 않은 애플리케이션을 제외한 모든 애플리케이션을 시작할 수 없습니다.
애플리케이션 제어의 허용 규칙이 구성 완료되면 애플리케이션 시작 제어 구성 요소가 LAN 관리자에 의해 확인되지 않는 모든 새로운 애플리케이션의 시작을 차단합니다. 단, 사용자의 업무에 필요한 운영 체제 및 신뢰할 수 있는 애플리케이션의 작동은 허용됩니다.
허용 목록 모드에서 애플리케이션 제어 규칙 구성에 관한 권장 사항을 읽어 보십시오.
애플리케이션 제어 모드를 구성할 때 Kaspersky Endpoint Security 로컬 인터페이스 및 Kaspersky Security Center를 모두 사용할 수 있습니다.
그러나 Kaspersky Endpoint Security 로컬 인터페이스와 달리 Kaspersky Security Center에서는 다음과 같은 작업을 수행하는 데 필요한 도구를 제공합니다:
- 애플리케이션 카테고리 만들기.
Kaspersky Security Center 관리 콘솔에서 만든 애플리케이션 제어 규칙은 사용자 지정 애플리케이션 카테고리를 바탕으로 하며 Kaspersky Endpoint Security 로컬 인터페이스는 포함 및 예외 조건을 바탕으로 합니다.
- 기업 LAN 컴퓨터에 설치된 애플리케이션에 대한 정보 수신.
Kaspersky Security Center를 이용해 애플리케이션 제어 구성 요소의 작동을 구성하도록 권장되는 이유입니다.
애플리케이션 제어 동작 알고리즘
Kaspersky Endpoint Security는 알고리즘을 사용하여 애플리케이션 시작에 대한 결정을 내립니다(아래 그림 참조).
애플리케이션 제어 동작 알고리즘
애플리케이션 제어 구성 요소 설정
파라미터 |
설명 |
|---|---|
차단된 애플리케이션 시작 시 동작 |
규칙 적용. Kaspersky Endpoint Security는 선택한 모드에 따라 애플리케이션의 시작을 관리합니다. 규칙 테스트. Kaspersky Endpoint Security가 현재 애플리케이션 제어 모드에서 차단된 애플리케이션 시작을 허용하지만 이 시작에 대한 정보를 리포트에 기록합니다. |
애플리케이션 시작 제어 모드 |
다음 옵션 중 하나를 선택할 수 있습니다:
허용 목록 모드를 선택하면 애플리케이션 제어 규칙 두 개가 자동 생성됩니다:
자동 생성된 규칙의 설정을 편집하거나 삭제할 수 없습니다. 규칙을 작동하거나 중지할 수만 있습니다. |
DLL 모듈 로드 제어 |
이 확인란이 선택되어 있으면 Kaspersky Endpoint Security에서 사용자가 애플리케이션을 시작하려고 시도할 때 DLL 모듈의 로딩을 제어합니다. DLL 모듈 및 이 DLL 모듈을 로드한 애플리케이션에 대한 정보는 리포트에 기록됩니다. DLL 모듈 및 드라이버 로딩에 대한 제어를 사용할 때는 애플리케이션 제어 설정에서 기본 골든 이미지 규칙 또는 "신뢰하는 인증서" KL 카테고리가 포함된 다른 규칙 중 하나를 사용하고 있는지 확인하고, Kaspersky Endpoint Security를 시작하기 전에 신뢰하는 DLL 모듈과 드라이버가 먼저 로드되도록 하십시오. 골든 이미지 규칙을 사용하지 않을 때 DLL 모듈 및 드라이버의 로드를 제어하면 운영 체제가 불안정해질 수 있습니다. Kaspersky Endpoint Security는 확인란이 선택된 이후에 로드된 DLL 모듈과 드라이버만 감시합니다. 확인란을 선택한 후 컴퓨터를 다시 시작하여 애플리케이션이 Kaspersky Endpoint Security가 시작되기 전에 로드된 DLL을 포함하여 모든 DLL 모듈 및 드라이버를 감시하는지 확인할 것을 권장합니다. |
애플리케이션 차단에 관한 메시지 탬플릿 |
차단 관련 메시지. 애플리케이션 시작을 차단하는 애플리케이션 제어 규칙이 작동될 때 표시되는 메시지의 템플릿. 관리자에게 메시지 보내기. 사용자가 애플리케이션이 실수로 차단되었다고 생각하는 경우 회사 LAN 관리자에게 보낼 수 있는 메시지 템플릿입니다. 사용자가 액세스 제공을 요청하면 Kaspersky Endpoint Security는 Kaspersky Security Center에 관리자에게 애플리케이션 시작 차단 메시지 보내기 이벤트를 보냅니다. 이벤트 설명에는 대체 변수와 함께 관리자에게 보내는 메시지가 포함됩니다. 사전 정의된 이벤트 조회 사용자 개선 요청 사항을 사용하여 Kaspersky Security Center 콘솔에서 이러한 이벤트를 볼 수 있습니다. 조직에 Kaspersky Security Center가 배포되어 있지 않거나 중앙 관리 서버에 연결되어 있지 않은 경우 애플리케이션은 지정된 이메일 주소로 관리자에게 메시지를 보냅니다. |