Microsoft Defender Application Guard 사용 방법 (단계별)

민감한 정보를 다루거나 의심스러운 웹사이트를 매일 방문하는 경우, Microsoft Defender Application Guard(MDAG) 윈도우의 이러한 기능 중 하나는 사소한 위기를 큰 문제로 만들지 않고, 오히려 심각한 사태로 이어질 수 있는 중요한 역할을 합니다. 단순한 바이러스 백신 프로그램이 아니라, 시스템과 데이터를 위협으로부터 격리하는 추가적인 보호막을 제공합니다.

다음 줄에서 분명히 알 수 있을 것입니다. Application Guard는 정확히 무엇이며, 내부적으로 어떻게 작동하고, 어떤 기기에서 사용할 수 있으며, 어떻게 구성하는지 궁금합니다. 간단한 구축 환경과 엔터프라이즈 환경 모두를 다룰 것입니다. 또한 요구 사항, 그룹 정책, 일반적인 오류 및 이 기술을 처음 사용할 때 발생하는 다양한 자주 묻는 질문에 대해서도 검토할 것입니다.

Microsoft Defender Application Guard는 무엇이며 어떻게 작동합니까?

Microsoft Defender Application Guard는 다음과 같은 기능을 제공하는 고급 보안 기능입니다. 신뢰할 수 없는 웹사이트와 문서를 가상 컨테이너에 격리하세요. Hyper-V를 기반으로 합니다. 각 공격을 하나씩 차단하는 대신, 의심스러운 자료를 저장할 작은 "일회용 컴퓨터"를 생성합니다.

해당 컨테이너는 다음 환경에서 실행됩니다. 메인 운영 체제와는 별개입니다.강화된 Windows 인스턴스를 자체적으로 구축하여 파일, 자격 증명 또는 회사 내부 리소스에 직접 접근할 수 없도록 합니다. 악성 사이트가 브라우저 또는 Office 취약점을 악용하더라도 피해는 격리된 환경 내에만 국한됩니다.

Microsoft Edge의 경우 Application Guard는 다음을 보장합니다. 신뢰할 수 있는 도메인으로 표시되지 않은 모든 도메인 해당 컨테이너 내에서 자동으로 열립니다. 오피스 프로그램의 경우, 조직에서 안전하지 않다고 판단하는 출처에서 가져온 Word, Excel, PowerPoint 문서에 대해서도 동일한 작업을 수행합니다.

핵심은 이러한 격리가 하드웨어 방식이라는 점입니다. Hyper-V는 독립적인 환경을 생성합니다. 호스트로부터 접근을 차단함으로써 공격자가 격리된 세션에서 실제 시스템으로 이동하여 회사 데이터를 탈취하거나 저장된 자격 증명을 악용할 가능성을 크게 줄입니다.

또한, 컨테이너는 익명 환경으로 처리됩니다. 이 앱은 사용자의 쿠키, 비밀번호 또는 세션을 상속하지 않습니다.이는 스푸핑이나 세션 탈취 기술에 의존하는 공격자들에게 훨씬 더 큰 어려움을 안겨줍니다.

Application Guard 사용을 권장하는 기기 유형

Application Guard는 기술적으로 다양한 시나리오에서 실행될 수 있지만, 특히 다음과 같은 용도로 설계되었습니다. 기업 환경 및 관리형 장치마이크로소프트는 MDAG가 가장 적합한 몇 가지 유형의 장비를 구분합니다.

우선 있습니다 도메인에 가입된 엔터프라이즈 데스크톱이러한 컴퓨터는 일반적으로 Configuration Manager 또는 Intune으로 관리됩니다. 일반 사용자가 유선 기업 네트워크에 연결된 기존 사무실 컴퓨터와 유사하며, 위험은 주로 일상적인 인터넷 검색에서 발생합니다.

그러면 우리는 회사용 노트북이러한 장치들도 도메인에 가입되어 중앙에서 관리되지만, 내부 또는 외부 Wi-Fi 네트워크에 연결됩니다. 이 경우 장치가 통제된 네트워크를 벗어나 호텔, 공항 또는 가정용 네트워크의 Wi-Fi에 노출되므로 위험이 증가합니다.

또 다른 그룹은 BYOD(Bring Your Own Device) 노트북 사용자입니다. 회사 소유는 아니지만 관리되는 개인 장비 Intune과 같은 솔루션을 통해 접근 권한이 분산됩니다. 이러한 권한은 일반적으로 로컬 관리자 권한을 가진 사용자에게 있으므로 공격 표면이 넓어지고 기업 리소스에 대한 접근을 격리하는 것이 더욱 중요해집니다.

마지막으로 완전히 관리되지 않는 개인 기기이러한 웹사이트는 특정 도메인에 속하지 않고 사용자가 완벽한 제어 권한을 갖는 웹사이트입니다. 이러한 경우, Application Guard는 (특히 Edge 브라우저에서) 독립 실행형 모드로 사용하여 잠재적으로 위험한 웹사이트를 방문할 때 추가적인 보호 계층을 제공할 수 있습니다.

필요한 Windows 에디션 및 라이선스

설정을 시작하기 전에 이 점을 명확히 하는 것이 중요합니다. Microsoft Defender Application Guard는 어떤 Windows 버전에서 사용할 수 있습니까? 그리고 어떤 라이선스 권한을 가지고 있습니까?

에 엣지 독립형 모드 (즉, 고급 엔터프라이즈 관리 기능 없이 Application Guard를 브라우저 샌드박스로만 사용하는 경우)는 Windows에서 지원됩니다.

• 윈도우 프로
• Windows 엔터프라이즈
• Windows Pro 교육용/SE
• Windows 교육

이 시나리오에서는 다음과 같은 라이선스를 보유하고 있는 경우 MDAG 라이선스 권한이 부여됩니다. Windows Pro/Pro Education/SE, Windows Enterprise E3 또는 E5 및 Windows Education A3 또는 A5실제로 윈도우 프로가 설치된 많은 전문가용 PC에서는 기본 사용을 위해 이미 해당 기능을 활성화할 수 있습니다.

에 엣지 엔터프라이즈 모드 및 기업 관리 (사전 의료지시서 및 더욱 복잡한 시나리오가 적용되는 경우) 지원이 축소됩니다.

• Windows 엔터프라이즈 y Windows 교육 이 모드에서는 Application Guard가 지원됩니다.
• Windows Pro 및 Windows Pro Education/SE 아니 이들은 해당 기업용 버전을 지원합니다.

라이선스와 관련하여, 이러한 고급 기업용 사용에는 다음 사항이 필요합니다. Windows Enterprise E3/E5 또는 Windows Education A3/A5조직에서 엔터프라이즈 구독 없이 프로 버전만 사용하는 경우, 엣지 독립 실행형 모드로만 사용할 수 있습니다.

시스템 요구 사항 및 호환성

Windows 버전 외에도 Application Guard가 안정적으로 작동하려면 다음 조건을 충족해야 합니다. 일련의 기술적 요구사항 버전, 하드웨어 및 가상화 지원과 관련이 있습니다.

운영 체제와 관련해서는 반드시 사용해야 합니다. Windows 10 1809 이상 (2018년 10월 업데이트) 또는 Windows 11의 동등한 버전에 적합합니다. 서버용 SKU 또는 기능이 크게 축소된 변형 제품에는 적합하지 않으며, 클라이언트 컴퓨터를 대상으로 합니다.

하드웨어 측면에서 장비는 다음 조건을 충족해야 합니다. 하드웨어 기반 가상화 지원 Hyper-V는 격리된 컨테이너를 생성하는 핵심 구성 요소이므로 (Intel VT-x/AMD-V 지원 및 SLAT와 ​​같은 2차 주소 변환) 이 계층이 필수적입니다. 이 계층이 없으면 MDAG는 보안 환경을 설정할 수 없습니다.

또한 반드시 갖춰야 할 것은 다음과 같습니다. 호환 가능한 관리 메커니즘 중앙 집중식 관리 시스템(예: Microsoft Intune 또는 Configuration Manager)을 사용하여 운영 체제에서 사용할 경우, 엔터프라이즈 소프트웨어 요구 사항에 명시된 대로 보안 기능을 강화해야 합니다. 간단한 배포의 경우 Windows 보안 인터페이스 자체만으로도 충분합니다.

마지막으로 참고하세요. Application Guard는 사용이 단계적으로 중단될 예정입니다. Microsoft Edge for Business의 경우, 독립 실행형 애플리케이션과 관련된 특정 API는 더 이상 업데이트되지 않습니다. 그럼에도 불구하고, 단기 및 중기적인 위험 완화가 필요한 환경에서는 여전히 널리 사용되고 있습니다.

사용 사례: 안전성과 생산성 비교

사이버 보안에서 흔히 발생하는 문제 중 하나는 적절한 균형을 찾는 것입니다. 사용자를 차단하는 것이 아니라 진정으로 보호하기 위한 것입니다.만약 "승인된" 웹사이트 몇 개만 허용한다면 위험은 줄어들지만 생산성은 저하됩니다. 반대로 제한을 완화하면 노출 수준이 급격히 높아집니다.

브라우저는 다음 중 하나입니다. 주요 공격 표면 이 작업의 목적은 출처가 불분명한 다양한 콘텐츠(알 수 없는 웹사이트, 다운로드, 타사 스크립트, 공격적인 광고 등)를 열어보는 것이기 때문에, 아무리 검색 엔진을 개선하더라도 누군가는 항상 새로운 취약점을 악용하려 할 것입니다.

이 모델에서 관리자는 신뢰할 수 있다고 판단하는 도메인, IP 범위 및 클라우드 리소스를 정확하게 정의합니다. 그 목록에 없는 것은 모두 자동으로 컨테이너로 이동합니다.그곳에서는 사용자가 브라우저 오류가 발생하더라도 내부 시스템 전체에 영향을 미칠까 걱정하지 않고 안심하고 웹 서핑을 할 수 있습니다.

그 결과 직원은 비교적 유연한 탐색이 가능하지만, 다음과 같은 제약이 따릅니다. 삼엄하게 경비되는 국경 신뢰할 수 없는 외부 세계와 어떤 대가를 치르더라도 보호해야 할 기업 환경 사이의 균형.

Microsoft Edge의 Application Guard에 대한 최근 기능 및 업데이트

마이크로소프트는 크로뮴 기반의 다양한 버전의 마이크로소프트 엣지에서 여러 기능을 추가해 왔습니다. Application Guard의 구체적인 개선 사항 사용자 경험을 개선하고 관리자에게 더 많은 제어 권한을 부여하는 것을 목표로 합니다.

새로운 주요 기능 중 하나는 다음과 같습니다. 컨테이너에서 파일 업로드를 차단합니다.Edge 96 버전부터 조직은 정책을 사용하여 격리된 세션 내에서 사용자가 로컬 장치에서 양식이나 웹 서비스로 문서를 업로드하는 것을 방지할 수 있게 되었습니다. ApplicationGuardUploadBlockingEnabled이는 정보 유출 위험을 줄여줍니다.

또 다른 매우 유용한 개선 사항은 다음과 같습니다. 수동 모드Edge 94 버전부터 사용 가능하며, 정책에 의해 활성화됩니다. ApplicationGuardPassiveModeEnabledApplication Guard는 사이트 목록 강제 표시를 중지하고, 해당 기능이 설치된 상태로 유지되더라도 사용자가 Edge 브라우저를 "정상적으로" 탐색할 수 있도록 합니다. 이는 트래픽을 리디렉션하지 않고도 기술을 준비할 수 있는 편리한 방법입니다.

가능성도 추가되었습니다 호스트 즐겨찾기를 컨테이너와 동기화합니다.이는 두 개의 완전히 분리된 브라우징 환경이 생기는 것을 방지하기 위해 많은 고객이 요청했던 사항입니다. Edge 91 버전부터 해당 정책이 시행되었습니다. ApplicationGuardFavoritesSyncEnabled 이를 통해 새로운 마커가 고립된 환경 내에서 균등하게 나타날 수 있습니다.

네트워킹 영역에서 Edge 91은 다음을 지원합니다. 컨테이너에서 나가는 차량에 라벨을 붙이세요. 지침 덕분에 ApplicationGuardTrafficIdentificationEnabled이를 통해 기업은 프록시를 통해 발생하는 트래픽을 식별하고 필터링할 수 있으며, 예를 들어 MDAG에서 웹 브라우징할 때 매우 제한된 수의 사이트에만 접근할 수 있도록 제한할 수 있습니다.

듀얼 프록시, 확장 기능 및 기타 고급 시나리오

일부 조직에서는 보다 복잡한 배포 환경에서 Application Guard를 사용합니다. 컨테이너 운송 상황을 면밀히 모니터링합니다. 그리고 그 격리된 환경 내에서 브라우저의 기능.

이러한 경우를 위해 Edge는 다음을 지원합니다. 이중 프록시 안정 버전 84부터는 지시문을 통해 구성할 수 있습니다. ApplicationGuardContainerProxy이 아이디어는 컨테이너에서 발생하는 트래픽이 호스트에서 사용하는 프록시와는 다른 특정 프록시를 통해 라우팅되도록 하여 독립적인 규칙을 적용하고 더욱 엄격한 검사를 수행하는 것을 용이하게 한다는 것입니다.

고객들이 반복적으로 요청했던 또 다른 사항은 다음과 같은 가능성이었습니다. 컨테이너 내에서 확장 기능을 사용하세요Edge 81 버전부터는 이러한 기능이 가능해졌으므로, 광고 차단 프로그램, 사내 확장 프로그램 또는 기타 도구는 정의된 정책을 준수하는 한 실행할 수 있습니다. 이를 위해서는 다음 사항을 선언해야 합니다. updateURL 네트워크 격리 정책의 확장으로 인해 Application Guard에서 접근 가능한 중립적인 리소스로 간주됩니다.

인정되는 시나리오는 다음과 같습니다. 호스트에 확장 프로그램 강제 설치 이러한 확장 기능은 컨테이너에 표시되므로 특정 확장 기능을 제거하거나 보안상의 이유로 바람직하지 않다고 판단되는 다른 확장 기능을 차단할 수 있습니다. 단, 네이티브 메시지 처리 구성 요소에 의존하는 확장 기능에는 이 기능이 적용되지 않습니다. 호환되지 않습니다. MDAG 내에서.

구성 또는 동작 문제를 진단하는 데 도움이 되도록 특정 진단 페이지 en edge://application-guard-internals여기에서 특정 URL이 사용자에게 실제로 적용된 정책에 따라 신뢰할 수 있는 것으로 간주되는지 여부 등을 확인할 수 있습니다.

마지막으로 업데이트와 관련하여 새로운 Microsoft Edge는 다음과 같습니다. 또한 컨테이너 내부에서 자체적으로 업데이트됩니다.호스트 브라우저와 동일한 채널 및 버전을 따릅니다. 기존 Edge 버전처럼 운영 체제의 업데이트 주기에 더 이상 의존하지 않으므로 유지 관리가 훨씬 간편해졌습니다.

Windows에서 Microsoft Defender Application Guard를 활성화하는 방법

호환되는 기기에서 실행하려면 첫 번째 단계는 다음과 같습니다. Windows 기능을 활성화합니다 상응하는 것입니다. 기본적인 수준에서 그 과정은 상당히 간단합니다.

가장 빠른 방법은 실행 대화 상자를 여는 것입니다. 승 + R, 쓰기 appwiz.cpl Enter 키를 누르면 "프로그램 및 기능" 패널로 바로 이동합니다. 거기에서 왼쪽에 있는 "Windows 기능 켜기 또는 끄기" 링크를 찾을 수 있습니다.

사용 가능한 구성 요소 목록에서 해당 항목을 찾아야 합니다. “Microsoft Defender Application Guard” 해당 옵션을 선택하세요. 수락하면 Windows에서 필요한 바이너리 파일을 다운로드하거나 활성화하고 변경 사항을 적용하려면 컴퓨터를 다시 시작하라는 메시지가 표시됩니다.

재시작 후, 올바른 버전의 Edge가 설치된 호환 기기에서는 다음 기능을 사용할 수 있습니다. 새 창 또는 개별 탭에서 열기 브라우저 옵션을 통해 또는 관리되는 환경에서는 신뢰할 수 없는 사이트 목록 구성에 따라 자동으로 설정됩니다.

"새 Application Guard 창"과 같은 옵션이 표시되지 않거나 컨테이너가 열리지 않는 경우, 다음과 같은 문제가 있을 수 있습니다. 현재 따르고 있는 지침이 오래되었을 수 있습니다.이는 사용 중인 Windows 버전이 지원되지 않거나, Hyper-V가 활성화되어 있지 않거나, 조직 정책에서 해당 기능을 비활성화했기 때문일 수 있습니다.

그룹 정책을 사용하여 Application Guard 구성하기

비즈니스 환경에서는 각 장비를 수동으로 설정하는 대신 미리 정의된 시스템을 사용합니다. 그룹 정책(GPO) 또는 Intune의 구성 프로필을 사용하여 정책을 중앙에서 정의할 수 있습니다. Application Guard는 네트워크 격리와 애플리케이션별 매개변수라는 두 가지 주요 구성 요소에 의존합니다.

네트워크 격리 설정은 다음 위치에 있습니다. Computer Configuration\Administrative Templates\Network\Network Isolation예를 들어 다음과 같은 것들이 여기에 정의되어 있습니다. 내부 네트워크 범위 및 도메인은 회사 도메인으로 간주됩니다.이는 신뢰할 수 있는 것과 버려야 할 것을 구분하는 경계선이 될 것입니다.

핵심 정책 중 하나는 다음과 같습니다. "애플리케이션을 위한 프라이빗 네트워크 간격"이 섹션에서는 쉼표로 구분된 목록으로 회사 네트워크에 속하는 IP 범위를 지정합니다. 이러한 범위에 속하는 엔드포인트는 일반 엣지 환경에서 열리며 Application Guard 환경에서는 액세스할 수 없습니다.

또 다른 중요한 정책은 다음과 같습니다. 클라우드 기반 엔터프라이즈 리소스 도메인문자로 구분된 목록을 사용합니다. | 조직의 내부용으로 처리해야 하는 SaaS 도메인 및 클라우드 서비스를 지정합니다. 이러한 서비스는 컨테이너 외부의 엣지 환경에서도 렌더링됩니다.

마지막으로, 지침은 다음과 같습니다. "개인용과 업무용으로 분류된 도메인" 이 기능을 사용하면 개인용과 업무용으로 모두 사용할 수 있는 도메인을 지정할 수 있습니다. 이러한 사이트는 일반 엣지 환경과 애플리케이션 가드 환경 모두에서 상황에 맞게 접근할 수 있습니다.

네트워크 격리 설정에서 와일드카드 사용

각 서브도메인을 하나씩 입력하는 번거로움을 피하기 위해 네트워크 격리 목록이 지원됩니다. 도메인 이름에 와일드카드 문자 사용이를 통해 무엇이 신뢰할 만한 것으로 간주되는지 더 잘 제어할 수 있습니다.

간단하게 정의된다면 contoso.com브라우저는 해당 특정 값만 신뢰하고, 그 값을 포함하는 다른 도메인은 신뢰하지 않습니다. 다시 말해, 브라우저는 해당 문자 그대로의 값만 비즈니스에 속하는 것으로 간주합니다. 정확한 루트 아니라 www.contoso.com 변형도 아닙니다.

명시된 경우 www.contoso.com그래서 특정 호스트만 신뢰할 수 있는 것으로 간주됩니다. 다른 하위 도메인은 다음과 같습니다. shop.contoso.com 그것들은 방치되어 결국 쓰레기통에 버려질 수도 있습니다.

형식으로 .contoso.com (앞의 마침표)는 다음을 나타냅니다. "contoso.com"으로 끝나는 모든 도메인은 신뢰할 수 있습니다.. 여기에는 다음이 포함됩니다. contoso.com 내일 www.contoso.com 또는 심지어 체인처럼 spearphishingcontoso.com그러므로 주의해서 사용해야 합니다.

마지막으로, 사용되는 경우 ..contoso.com (첫 글자에 콜론이 붙으면) 도메인 왼쪽에 있는 계층 구조의 모든 레벨이 신뢰됩니다. 예를 들어 shop.contoso.com o us.shop.contoso.com, 그러나 루트 "contoso.com"은 신뢰할 수 없습니다. 그 자체로 그렇습니다. 이는 기업 자원으로 간주되는 것을 통제하는 더욱 정교한 방법입니다.

주요 애플리케이션 가드 관련 지침

두 번째 주요 설정 세트는 다음과 같습니다. Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard이곳에서 나라가 통치됩니다. 컨테이너 동작에 대한 자세한 내용 그리고 사용자가 그 안에서 무엇을 할 수 있고 무엇을 할 수 없는지.

가장 중요한 정책 중 하나는 다음과 같습니다. "클립보드 설정"이 설정은 호스트와 Application Guard 간에 텍스트 또는 이미지를 복사하여 붙여넣을 수 있는지 여부를 제어합니다. 관리 모드에서는 컨테이너에서 외부로만 복사를 허용하거나, 반대 방향으로만 복사를 허용하거나, 클립보드 기능을 완전히 비활성화할 수도 있습니다.

마찬가지로, 지침은 다음과 같습니다. "인쇄 설정" 이 설정은 컨테이너에서 콘텐츠를 인쇄할 수 있는지 여부와 인쇄 형식을 결정합니다. PDF, XPS, 연결된 로컬 프린터 또는 미리 정의된 네트워크 프린터로 인쇄를 허용하거나 MDAG 내의 모든 인쇄 기능을 차단할 수 있습니다.

선택 “끈기를 인정하라” 이 설정은 Application Guard 세션 간에 사용자 데이터(다운로드한 파일, 쿠키, 즐겨찾기 등)를 유지할지 또는 환경이 종료될 때마다 삭제할지를 결정합니다. 관리 모드에서 이 옵션을 활성화하면 컨테이너가 향후 세션을 위해 해당 정보를 유지하고, 비활성화하면 시작할 때마다 거의 깨끗한 환경이 생성됩니다.

나중에 데이터 지속성 허용을 중지하기로 결정한 경우 해당 도구를 사용할 수 있습니다. wdagtool.exe 매개변수와 함께 cleanup o cleanup RESET_PERSISTENCE_LAYER 컨테이너를 초기화하고 직원이 생성한 정보를 폐기합니다.

또 다른 핵심 정책은 다음과 같습니다. "Application Guard를 관리 모드로 활성화하세요"이 섹션에서는 해당 기능이 Microsoft Edge, Microsoft Office 또는 둘 다에 적용되는지 여부를 지정합니다. 장치가 필수 조건을 충족하지 않거나 네트워크 격리가 구성된 경우 이 정책은 적용되지 않습니다(단, 특정 KB 업데이트가 설치된 경우 Edge에 대해 네트워크 격리가 더 이상 필요하지 않은 일부 최신 Windows 버전은 제외).

파일 공유, 인증서, 카메라 및 감사

위에 언급된 정책 외에도 영향을 미치는 다른 지침들이 있습니다. 컨테이너와 호스트 시스템의 관계 그리고 주변기기들도 함께요.

정치 "호스트 운영 체제로 파일 다운로드를 허용합니다." 이 설정은 사용자가 격리된 환경에서 다운로드한 파일을 호스트에 저장할 수 있는지 여부를 결정합니다. 이 기능을 활성화하면 두 환경 간에 공유 리소스가 생성되어 호스트에서 컨테이너로 특정 파일을 업로드할 수 있게 됩니다. 이는 매우 유용하지만 보안 관점에서 신중하게 검토해야 합니다.

구성 “하드웨어 가속 렌더링을 활성화하세요” vGPU를 통해 GPU 사용을 활성화하여 특히 비디오 및 고사양 콘텐츠 재생 시 그래픽 성능을 향상시킵니다. 호환되는 하드웨어가 없는 경우 Application Guard는 CPU 렌더링으로 전환됩니다. 단, 드라이버가 불안정한 장치에서 이 옵션을 활성화하면 호스트에 대한 위험이 증가할 수 있습니다.

또한 다음과 같은 지침이 있습니다. 카메라와 마이크에 대한 접근 권한을 허용합니다. 컨테이너 내부에서 사용할 수 있습니다. MDAG에서 실행되는 애플리케이션이 이러한 장치를 사용할 수 있도록 허용하여 격리된 환경에서 화상 통화나 회의를 진행할 수 있지만, 컨테이너가 손상된 경우 표준 권한 설정을 우회할 수 있는 가능성도 열립니다.

또 다른 정책은 Application Guard를 허용합니다. 특정 호스트 루트 인증 기관을 사용하십시오.이 기능은 지정된 지문을 가진 인증서를 컨테이너로 전송합니다. 이 기능을 비활성화하면 컨테이너는 해당 인증서를 상속받지 못하게 되어, 민간 인증 기관에 의존하는 특정 내부 서비스에 대한 연결이 차단될 수 있습니다.

마지막으로 옵션 "감사 이벤트 허용" 이렇게 하면 컨테이너에서 생성된 시스템 이벤트가 로그에 기록되고 장치 감사 정책이 상속되므로 보안 팀은 호스트 로그에서 Application Guard 내부에서 발생하는 일을 추적할 수 있습니다.

지원 및 맞춤 설정 프레임워크와의 통합

Application Guard에 문제가 발생하면 사용자에게 알림이 표시됩니다. 오류 대화 상자 기본적으로 이 기능에는 문제 설명과 피드백 허브를 통해 Microsoft에 보고하는 버튼만 포함됩니다. 하지만 내부 지원을 용이하게 하도록 이 환경을 사용자 지정할 수 있습니다.

경로상에서 Administrative Templates\Windows Components\Windows Security\Enterprise Customization 관리자가 사용할 수 있는 정책이 있습니다. 고객 지원 담당자 연락처 정보를 추가하세요.내부 링크 또는 간단한 지침을 제공합니다. 이렇게 하면 직원이 오류를 발견했을 때 누구에게 연락해야 하는지 또는 어떤 조치를 취해야 하는지 즉시 알 수 있습니다.

Application Guard 관련 자주 묻는 질문 및 일반적인 문제

Application Guard를 사용하면 상당수의 오류가 발생합니다. 반복되는 질문 실제 배포 환경에서, 특히 성능, 호환성 및 네트워크 동작 측면에서 그렇습니다.

가장 먼저 떠오르는 질문 중 하나는 해당 기능을 활성화할 수 있는지 여부입니다. 램 용량이 4GB에 불과한 기기컨테이너가 사실상 병렬로 실행되는 또 다른 운영 체제이기 때문에, 실제로는 성능이 상당히 저하되는 시나리오도 있지만, 제대로 작동하는 경우는 드뭅니다.

또 다른 민감한 사항은 통합입니다. 네트워크 프록시 및 PAC 스크립트PAC 파일에 접근할 때 "MDAG 브라우저에서 외부 URL을 확인할 수 없습니다: ERR_CONNECTION_REFUSED" 또는 "ERR_NAME_NOT_RESOLVED"와 같은 메시지가 나타나는 것은 일반적으로 컨테이너, 프록시 및 격리 규칙 간의 구성 문제 때문입니다.

이와 관련된 문제점들도 있습니다. IME(입력기)는 지원되지 않습니다. 일부 Windows 버전에서는 디스크 암호화 드라이버 또는 장치 제어 솔루션과의 충돌로 인해 컨테이너 로딩이 완료되지 않을 수 있습니다.

일부 관리자는 다음과 같은 오류를 경험합니다. “가상 디스크 제한 오류” 가상 디스크와 관련된 제한 사항이 있거나 하이퍼스레딩과 같은 기술을 비활성화하지 못하여 Hyper-V 및 MDAG에 간접적으로 영향을 미치는 경우가 있습니다.

또한 어떻게 해야 하는지에 대한 의문도 제기됩니다. 특정 하위 도메인만 신뢰하십시오도메인 목록 크기 제한이나 컨테이너에서 열리는 사이트로 이동할 때 호스트 탭이 자동으로 닫히는 동작을 비활성화하는 방법에 대한 문의입니다.

애플리케이션 가드, IE 모드, 크롬 및 오피스

다음과 같은 환경에서 Microsoft Edge의 IE 모드Application Guard는 지원되지만 Microsoft는 이 모드에서 해당 기능이 널리 사용될 것으로 예상하지 않습니다. IE 모드는 [특정 애플리케이션/용도]에만 사용하는 것이 좋습니다. 신뢰할 수 있는 내부 사이트 MDAG는 외부 웹사이트 및 신뢰할 수 없는 웹사이트로 간주되는 웹사이트에만 사용하십시오.

다음을 확인하는 것이 중요합니다. 모든 사이트가 IE 모드로 구성되었습니다.네트워크와 연결된 IP 주소 또한 네트워크 격리 정책에서 신뢰할 수 있는 리소스로 포함되어야 합니다. 그렇지 않으면 두 기능을 함께 사용할 때 예기치 않은 동작이 발생할 수 있습니다.

크롬과 관련해서 많은 사용자들이 그것이 필수적인지 묻고 있습니다. Application Guard 확장 프로그램을 설치하세요답은 '아니요'입니다. 해당 기능은 Microsoft Edge에 기본적으로 통합되어 있으며, 기존 Chrome 확장 프로그램은 Edge에서 사용할 때 지원되는 구성이 아닙니다.

Office 문서의 경우 Application Guard는 다음을 허용합니다. Word, Excel, PowerPoint 파일을 격리된 컨테이너에서 엽니다. 파일이 신뢰할 수 없는 것으로 판단될 경우 악성 매크로 또는 기타 공격 경로가 호스트에 도달하는 것을 차단합니다. 이 보호 기능은 다른 Defender 기능 및 파일 신뢰 정책과 함께 사용할 수 있습니다.

사용자가 Application Guard에서 열린 특정 파일을 "신뢰"하도록 설정하는 그룹 정책 옵션도 있습니다. 이렇게 하면 해당 파일이 안전한 것으로 간주되어 컨테이너에서 자동으로 제거됩니다. 하지만 이 기능은 격리의 이점을 잃지 않도록 신중하게 관리해야 합니다.

다운로드, 클립보드, 즐겨찾기 및 확장 프로그램: 사용자 경험

사용자 입장에서 가장 실질적인 질문들은 다음과 같은 것들을 중심으로 전개됩니다. 컨테이너 내부에서 할 수 있는 것과 할 수 없는 것특히 다운로드, 복사/붙여넣기, 확장 프로그램과 관련해서 그렇습니다.

Windows 10 Enterprise 1803 이상 버전(에디션에 따라 약간의 차이가 있음)에서는 가능합니다. 컨테이너에서 호스트로 문서 다운로드를 허용합니다. 이 옵션은 이전 버전이나 Pro 에디션과 같은 특정 빌드에서는 사용할 수 없었지만, PDF 또는 XPS로 인쇄하고 결과를 호스트 장치에 저장하는 것은 가능했습니다.

클립보드와 관련해서는 회사 정책상 허용될 수도 있습니다. BMP 형식의 이미지와 텍스트가 복사됩니다. 격리된 환경으로의 이동 및 격리 해제에 관한 정책입니다. 직원들이 콘텐츠 복사가 불가능하다고 불평하는 경우, 이러한 정책을 재검토해야 할 필요가 있습니다.

많은 사용자들이 그 이유를 묻습니다. 그들은 자신이 좋아하는 항목이나 확장 프로그램을 볼 수 없습니다. Edge 세션의 Application Guard에서 이러한 문제가 발생할 수 있습니다. 이는 일반적으로 북마크 동기화가 비활성화되었거나 MDAG에서 확장 프로그램 정책이 활성화되지 않았기 때문입니다. 이러한 옵션을 조정하면 컨테이너의 브라우저가 북마크 및 특정 확장 프로그램을 상속받을 수 있지만, 앞서 언급한 제한 사항이 적용됩니다.

확장 프로그램이 나타나기는 하지만 "작동하지 않는" 경우도 있습니다. 만약 해당 확장 프로그램이 네이티브 메시지 처리 구성 요소에 의존한다면, 컨테이너 내에서 해당 기능을 사용할 수 없게 되어 확장 프로그램의 동작이 제한되거나 완전히 작동하지 않을 수 있습니다.

그래픽 성능, HDR 및 하드웨어 가속

자주 언급되는 또 다른 주제는 다음과 같습니다. 동영상 재생 및 HDR과 같은 고급 기능 Application Guard 내에서 실행될 때, Hyper-V 환경에서 실행되는 컨테이너는 GPU 기능에 직접 접근할 수 없는 경우가 있습니다.

밀폐된 환경에서 HDR 재생이 제대로 작동하려면 다음 사항이 필요합니다. vGPU 하드웨어 가속이 활성화되었습니다. 가속 렌더링 정책을 통해 이를 구현합니다. 그렇지 않으면 시스템은 CPU에 의존하게 되며, HDR과 같은 일부 옵션은 플레이어 또는 웹사이트 설정에 나타나지 않을 수 있습니다.

가속 기능이 활성화된 경우에도 그래픽 하드웨어가 충분히 안전하거나 호환되지 않는다고 판단되면 Application Guard가 작동을 멈출 수 있습니다. 자동으로 소프트웨어 렌더링으로 돌아갑니다.이는 노트북의 작동 속도와 배터리 소모에 영향을 미칩니다.

일부 배포 환경에서 TCP 단편화 및 충돌 문제가 발생했습니다. 제대로 작동하지 않는 VPN 컨테이너를 통해 트래픽이 전달될 때 이러한 상황이 발생합니다. 일반적으로 네트워크 정책, MTU, 프록시 구성을 검토해야 하며, 경우에 따라 MDAG가 이미 설치된 다른 보안 구성 요소와 통합되는 방식을 조정해야 할 수도 있습니다.

지원, 진단 및 사고 보고

모든 노력을 기울였음에도 불구하고 내부적으로 해결할 수 없는 문제가 발생할 경우, 마이크로소프트는 다음과 같은 방법을 권장합니다. 특정 지원 티켓을 열어주세요 Microsoft Defender Application Guard의 경우, 진단 페이지, 관련 이벤트 로그 및 장치에 적용된 구성 세부 정보에서 사전에 정보를 수집하는 것이 중요합니다.

페이지 사용 edge://application-guard-internals, ~와 결합됨 활성화된 감사 이벤트 그리고 다음과 같은 도구들의 출시 wdagtool.exe일반적으로 이는 지원팀에게 문제의 원인을 파악하는 데 필요한 충분한 데이터를 제공합니다. 문제의 원인이 제대로 정의되지 않은 정책, 다른 보안 제품과의 충돌 또는 하드웨어 제한일 수 있습니다.

이 모든 것 외에도 사용자는 Windows 보안 기술 지원 대화 상자에서 오류 메시지와 연락처 정보를 사용자 지정할 수 있으므로 적절한 해결 방법을 더 쉽게 찾을 수 있습니다. 누구에게 도움을 요청해야 할지 몰라 막막한 상황에 처하지 마세요. 컨테이너가 시작되지 않거나 예상대로 열리지 않을 때.

전반적으로 Microsoft Defender Application Guard는 하드웨어 격리, 세부적인 정책 제어 및 진단 도구의 강력한 조합을 제공하며, 이를 적절히 활용하면 일상적인 생산성을 저해하지 않으면서 신뢰할 수 없는 사이트를 탐색하거나 출처가 불분명한 문서를 여는 것과 관련된 위험을 크게 줄일 수 있습니다.