Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
Windows: 184. Windows - AppLocker의 "DLL Rules"를 이용해 임의 경로에 설치한 DLL의 로딩을 막는 방법 [링크 복사], [링크+제목 복사],
조회: 9648
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 
(연관된 글이 1개 있습니다.)

Windows - AppLocker의 "DLL Rules"를 이용해 임의 경로에 설치한 DLL의 로딩을 막는 방법

대개의 경우 기본 설치한 시스템에서는 "Local Security Policy"의 "Security Settings" / "Application Control Policies" / "AppLocker"가 비활성화 상태입니다.

app_locker_dll_rules_1.png

그중에서도 특히 DLL의 로딩을 제어하는 "DLL Rules"는 고급 옵션으로 분리돼 "Advanced" 탭에서 별도로 활성화시켜야 하는데요.

app_locker_dll_rules_2.png

일단 활성화시키면, 다음과 같이 "AppLocker" 하위에 "DLL Rules" 노드가 보이고,

app_locker_dll_rules_3.png

"Create Default Rules" 메뉴를 통해 다음과 같이 3개의 기본 정책을 생성할 수 있습니다.

app_locker_dll_rules_4.png

또한 이런 구성으로 적용하겠다는 것을 다시 속성 창을 통해 "Enforce rules"로 설정하고,

app_locker_dll_rules_5.png

마지막으로, AppIDSvc(Application Identity) 서비스를,

Configure the Application Identity service
; https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/configure-the-application-identity-service

시작해 두어야 합니다.

sc.exe config AppIDSvc start= auto
net start AppIDSvc



기본 정책에 따르면, 다음의 경로 하위에 있는 DLL은 모든 사용자 계정에서 접근할 수 있지만,

  • %WINDIR%\*
  • %PROGRAMFILES%\*

그 외의 폴더에 위치한 DLL은 "Administrators" 그룹에 속한 계정만이 로딩을 할 수 있습니다. 또한, Administrators 그룹이라도 권한 상승한 경우에만 로딩할 수 있으므로 일반 사용자 계정으로는 %WINDIR%, %PROGRAMFIELS% 이외의 디렉터리에 있는 DLL은 로딩할 수가 없게 되는 것입니다.

개인적인 생각으로, 일반 사용자 시스템이 아닌, Web/DB/App 서버 등의 경우에는 안전을 위해 저 정도의 lock-down은 크게 무리가 없어 보입니다. ^^



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]
[연관 글]





[최초 등록일: ]
[최종 수정일: 12/15/2020]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


2021-06-21 10시14분
Case of the Application Guard Code Integrity / Windows Lockdown Policy Crash
; https://chentiangemalc.wordpress.com/2021/06/09/4163/

Get-WinEvent -LogName "Microsoft-Windows-CodeIntegrity/Operational" | Out-GridView

Looking up function documentation WldpQueryDynamicCodeTrust function (Wldp.h) – Win32 apps | Microsoft Docs we can see it states the following:
; https://docs.microsoft.com/en-us/windows/win32/devnotes/wldpquerydynamiccodetrust

WldpIsDynamicCodePolicyEnabled function
; https://docs.microsoft.com/gl-es/windows/win32/devnotes/wldpisdynamiccodepolicyenabled

Group Policy Editor or by using the Device Guard and Credential Guard hardware readiness tool
; https://www.microsoft.com/en-us/download/details.aspx?id=53337
정성태
... 61  62  [63]  64  65  66  67  68  69  70  71  72  73  74  75  ...
NoWriterDateCnt.TitleFile(s)
12072정성태12/9/201910926오류 유형: 583. iisreset 수행 시 "No such interface supported" 오류
12071정성태12/9/201913234오류 유형: 582. 리눅스 디스크 공간 부족 및 safemode 부팅 방법
12070정성태12/9/201915402오류 유형: 581. resize2fs: Bad magic number in super-block while trying to open /dev/.../root
12069정성태12/2/201911761디버깅 기술: 139. windbg - x64 덤프 분석 시 메서드의 인자 또는 로컬 변수의 값을 확인하는 방법
12068정성태11/28/201915112디버깅 기술: 138. windbg와 Win32 API로 알아보는 Windows Heap 정보 분석 [3]파일 다운로드2
12067정성태11/27/201911765디버깅 기술: 137. 실제 사례를 통해 Debug Diagnostics 도구가 생성한 닷넷 웹 응용 프로그램의 성능 장애 보고서 설명 [1]파일 다운로드1
12066정성태11/27/201911625디버깅 기술: 136. windbg - C# PInvoke 호출 시 마샬링을 담당하는 함수 분석 - OracleCommand.ExecuteReader에서 OpsSql.Prepare2 PInvoke 호출 분석
12065정성태11/25/201910494디버깅 기술: 135. windbg - C# PInvoke 호출 시 마샬링을 담당하는 함수 분석파일 다운로드1
12064정성태11/25/201912690오류 유형: 580. HTTP Error 500.0/500.33 - ANCM In-Process Handler Load Failure
12063정성태11/21/201911718디버깅 기술: 134. windbg - RtlReportCriticalFailure로부터 parameters 정보 찾는 방법
12062정성태11/21/201911796디버깅 기술: 133. windbg - CoTaskMemFree/FreeCoTaskMem에서 발생한 덤프 분석 사례 - 두 번째 이야기
12061정성태11/20/201911964Windows: 167. CoTaskMemAlloc/CoTaskMemFree과 윈도우 Heap의 관계
12060정성태11/20/201912337디버깅 기술: 132. windbg/Visual Studio - HeapFree x64의 동작 분석
12059정성태11/20/201911936디버깅 기술: 131. windbg/Visual Studio - HeapFree x86의 동작 분석
12058정성태11/19/201912730디버깅 기술: 130. windbg - CoTaskMemFree/FreeCoTaskMem에서 발생한 덤프 분석 사례
12057정성태11/18/20199866오류 유형: 579. Visual Studio - Memory 창에서 유효한 주소 영역임에도 "Unable to evaluate the expression." 오류 출력
12056정성태11/18/201913693개발 환경 구성: 464. "Microsoft Visual Studio Installer Projects" 프로젝트로 EXE 서명 및 MSI 파일 서명 방법파일 다운로드1
12055정성태11/17/20199426개발 환경 구성: 463. Visual Studio의 Ctrl + Alt + M, 1 (Memory 1) 등의 단축키가 동작하지 않는 경우
12054정성태11/15/201910760.NET Framework: 869. C# - 일부러 GC Heap을 깨뜨려 GC 수행 시 비정상 종료시키는 예제
12053정성태11/15/201912444Windows: 166. 윈도우 10 - 명령행 창(cmd.exe) 속성에 (DotumChe, GulimChe, GungsuhChe 등의) 한글 폰트가 없는 경우
12052정성태11/15/201911554오류 유형: 578. Azure - 일정(schedule)에 등록한 runbook이 1년 후 실행이 안 되는 문제(Reason - The key used is expired.)
12051정성태11/14/201914020개발 환경 구성: 462. 시작하자마자 비정상 종료하는 프로세스의 메모리 덤프 - procdump [1]
12050정성태11/14/201911696Windows: 165. AcLayers의 API 후킹과 FaultTolerantHeap
12049정성태11/13/201911793.NET Framework: 868. (닷넷 프로세스를 대상으로) 디버거 방식이 아닌 CLR Profiler를 이용해 procdump.exe 기능 구현
12048정성태11/12/201912558Windows: 164. GUID 이름의 볼륨에 해당하는 파티션을 찾는 방법
12047정성태11/12/201914407Windows: 163. 안전하게 eject시킨 USB 장치를 물리적인 재연결 없이 다시 인식시키는 방법
... 61  62  [63]  64  65  66  67  68  69  70  71  72  73  74  75  ...