본문 바로가기
etc

Symantec Endpoint Protection 응용 프로그램 제어

by (주)엠플 2011. 3. 28.

Symantec Endpoint Protection 응용 프로그램 제어

 

응용 프로그램 제어 기능을 통해 Client 에 대한 프로세스의 실행 등에 대한 제어를 통해 보안을 강화 할 수 있습니다.

아래 조건을 통한 제어가 가능합니다.

 

조건

설명

레지스트리 액세스 시도

 

클라이언트 시스템의 레지스트리 설정에 대한 액세스를 허용 또는 차단합니다.

특정 레지스트리 키, 값 및 데이터에 대한 액세스를 허용 또는 차단할 수 있습니다.

파일 및 폴더 액세스 시도

 

클라이언트 시스템의 지정된 파일이나 폴더에 대한 액세스를 허용 또는 차단합니다.

특정 드라이브 유형의 파일 및 폴더만 모니터링하도록 제한할 수있습니다.

프로세스 실행 시도

클라이언트 시스템의 프로세스 실행 기능을 허용 또는 차단합니다.

프로세스 종료 시도

 

클라이언트 시스템의 프로세스 종료 기능을 허용 또는 차단합니다.

예를 들어 특정 응용 프로그램을 중지하지 못하게 차단할 수 있습니다. 이 조건은 지정된 응용 프로그램을 종료하려고 하는 응용 프로그램이 있는지 검색합니다.

참고: 이 조건은 다른 응용 프로그램 또는 프로시저가 프로세스를종료하지 못하게 차단합니다. 파일 메뉴에서 종료를 누르는 것처럼 일반적인 응용 프로그램 종료 방법을 사용한 응용 프로그램 종료는 차단하지 않습니다.

DLL 로드 시도

클라이언트 시스템의 DLL 로드 기능을 허용 또는 차단합니다.

응용 프로그램에 로드되도록 허용하거나 로드되지 못하게 차단할 DLL 파일을 정의할 수 있습니다. 특정 파일 이름, 와일드카드 문자, 핑거프린트 목록 및 정규식을 사용할 수 있습니다. 또한 특정 드라이브 유형에서 실행된 DLL만 모니터링하도록 제한할 수도 있습니다.

 

응용 프로그램 제어 활용 예


프로세스 실행 시도

SEPM(Symantec Endpoint Protection Manager)을 통하여 프로세스 실행을 허용 또는 차단 할 수 있으며 각 로그를 기록 할 수 있습니다.

활용 예로 불법 프로그램에 대한 차단이나 업무 외 프로그램을 차단이 필요할 경우 활용 할 수 있습니다.

만약 알집 라이선스를 가지고 있지 않다면 불법 소프트웨어로 인한 문제가 발생 할 수 있습니다. 이런 경우 SEP에서

프로세스 차단 정책을 통해 알집 프로그램에 대한 실행을 차단, 허용 할 수 있으며 로그까지 기록 할 수 있습니다.

 

실제 SEPM 에서 응용 프로그램 제어 정책을 설정하였고 적용 결과는 아래의 스크린샷을 통해 확인 할 수 있습니다.

 


알집 프로그램 실행한 결과 위 화면과 같이 프로그램이 차단되며 메시지 통보가 가능합니다.

(팝업창이 나타나지 않도록 설정 가능합니다)


Client
에서도 위 화면과 같이 로그가 확인이 가능합니다.


SEPM 에서 전체 로그를 확인 할 수 있습니다. 프로세스가 실행된 시간, 사용자 등을 로그 및 상세 로그를 통해 확인 할 수 있습니다.

 

파일 및 폴더 액세스 시도

두 번째 파일 및 폴더를 액세스 시도 할 경우 허용 또는 차단 설정을 할 수 있으며 각 로그를 기록 할 수 있습니다.

예를 들어 공용폴더에 있는 파일을 임의로 삭제가 되었을 때 삭제한 대상을 알고 싶다면 SEP 의 기능을 통해 파악이 가능합니다.

읽기, 쓰기에 대하여 허용, 차단을 할 수 있으며 로그를 기록 할 수 있습니다.

 

실제 SEPM 에서 응용 프로그램 제어 정책을 설정하였고 적용 결과는 아래의 스크린샷을 통해 확인 할 수 있습니다.

 

사내 공용폴더에 파일을 복사를 시도하였고 화면과 같이 쓰기가 금지 된 것을 확인 할 수 있습니다.

 

Client SEPM에서 로그를 확인 할 수 있습니다.

 

프로세스 종료 시도

SEPM을 통하여 프로세스가 강제로 종료되는 것도 차단이 가능합니다.

예를 들어 기본적으로 백신 제품들은 자체 프로세스 종료를 막는 기능들을 가지고 있습니다.

 

하지만 프로세스 종료를 시도할 경우 차단 기능을 가지고 있지 않는 프로그램이라면 이 기능을 통해 프로세스가 종료되는 것을 막을 수 있습니다.

위 기능들과 동일하게 허용, 차단 설정 가능하며 각 로그를 기록 할 수 있습니다.

 

내부에서 사용하고 있는 Communicator(메신저) 를 강제로 종료 하지 못하도록 정책을 설정하였고 프로세스 강제 종료시 화면과 같이 액세스가 차단됩니다.

 

Client 및 중앙관리에서 상세한 로그를 확인 할 수 있습니다.

'etc' 카테고리의 다른 글

Quest Recovery Manager for Exchange Lesson 1  (0) 2011.03.31
Quest LiteSpeed 프로모션(프로모션 종료)  (0) 2011.03.28
Adobe CREATIVE SUITE 5  (0) 2011.03.28
주요 소프트웨어 다운그레이드  (0) 2011.03.28
Adobe 구매 형태 구분  (0) 2011.03.25

댓글