다음을 통해 공유

제어된 폴더 액세스 사용

  • 아티클

적용 대상:

플랫폼

  • Windows

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. 제어된 폴더 액세스는 Windows 10, Windows 11 및 Windows Server 2019에 포함됩니다. 제어된 폴더 액세스는 Windows Server 2012R2 및 2016용 최신 통합 솔루션의 일부로도 포함됩니다.

다음 방법 중 하나라도 사용하여 제어된 폴더 액세스를 사용하도록 설정할 수 있습니다.

  1. 플랫폼을 선택하고, Windows 10, Windows 11, Windows Server 선택한 다음, 공격 표면 감소 규칙>만들기 프로필을 선택합니다.

  2. 정책 이름을 지정하고 설명을 추가합니다. 다음을 선택합니다.

  3. 아래로 스크롤하고 제어된 폴더 액세스 사용 드롭다운에서 감사 모드와 같은 옵션을 선택합니다.

    먼저 감사 모드에서 제어된 폴더 액세스를 사용하도록 설정하여 organization 작동 방식을 확인하는 것이 좋습니다. 나중에 사용과 같은 다른 모드로 설정할 수 있습니다.

  4. 필요에 따라 보호해야 하는 폴더를 추가하려면 제어된 폴더 액세스 보호된 폴더를 선택한 다음 폴더를 추가합니다. 이러한 폴더의 파일은 신뢰할 수 없는 애플리케이션에서 수정하거나 삭제할 수 없습니다. 기본 시스템 폴더는 자동으로 보호됩니다. Windows 디바이스의 Windows 보안 앱에서 기본 시스템 폴더 목록을 볼 수 있습니다. 이 설정에 대한 자세한 내용은 정책 CSP - Defender: ControlledFolderAccessProtectedFolders를 참조하세요.

  5. 필요에 따라 신뢰할 수 있는 애플리케이션을 추가하려면 제어된 폴더 액세스 허용 애플리케이션 을 선택한 다음, 보호된 폴더에 액세스할 수 있는 앱을 추가합니다. Microsoft Defender 바이러스 백신은 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 이 설정만 사용하여 추가 애플리케이션을 지정합니다. 이 설정에 대한 자세한 내용은 정책 CSP - Defender: ControlledFolderAccessAllowedApplications를 참조하세요.

  6. 프로필 할당을 선택하고 모든 사용자 & 모든 디바이스에 할당하고 저장을 선택합니다.

  7. 다음을 선택하여 열려 있는 각 블레이드를 저장한 다음, 만들기를 선택합니다.

참고

와일드카드는 애플리케이션에 대해 지원되지만 폴더에는 지원되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.

MDM(모바일 장치 관리)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.

Microsoft Configuration Manager

  1. Microsoft Configuration Manager 자산 및 규정 준수>엔드포인트 보호>Windows Defender Exploit Guard로 이동합니다.

  2. >만들기 Exploit Guard 정책을 선택합니다.

  3. 이름 및 설명을 입력하고 , 제어된 폴더 액세스를 선택하고, 다음을 선택합니다.

  4. 변경 내용을 차단하거나 감사할지, 다른 앱을 허용할지 또는 다른 폴더를 추가할지를 선택하고 다음을 선택합니다.

    참고

    와일드카드는 애플리케이션에서 지원되지만 폴더에는 지원되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.

  5. 설정을 검토하고 다음 을 선택하여 정책을 만듭니다.

  6. 정책을 만든 후 닫습니다.

Microsoft Configuration Manager 및 제어된 폴더 액세스에 대한 자세한 내용은 제어된 폴더 액세스 정책 및 옵션을 참조하세요.

그룹 정책

  1. 그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 엽니다. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

  2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

  3. 트리를 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 제어 폴더 액세스로 확장합니다.

  4. 제어된 폴더 액세스 구성 설정을 두 번 클릭하고 옵션을 사용으로 설정합니다. 옵션 섹션에서 다음 옵션 중 하나를 지정해야 합니다.

    • 사용 - 악의적이고 의심스러운 앱은 보호된 폴더의 파일을 변경할 수 없습니다. Windows 이벤트 로그에 알림이 제공됩니다.
    • 사용 안 함(기본값) - 제어된 폴더 액세스 기능이 작동하지 않습니다. 모든 앱은 보호된 폴더의 파일을 변경할 수 있습니다.
    • 감사 모드 - 악의적이거나 의심스러운 앱이 보호된 폴더의 파일을 변경하려고 하면 변경이 허용됩니다. 그러나 organization 미치는 영향을 평가할 수 있는 Windows 이벤트 로그에 기록됩니다.
    • 디스크 수정만 차단 - 신뢰할 수 없는 앱이 디스크 섹터에 쓰려는 시도는 Windows 이벤트 로그에 기록됩니다. 이러한 로그는 애플리케이션 및 서비스 로그> Microsoft > Windows > Defender > 운영 > ID 1123에서 찾을 수 있습니다.
    • 디스크 수정만 감사 - 보호된 디스크 섹터에 대한 쓰기 시도만 Windows 이벤트 로그에 기록됩니다( 애플리케이션 및 서비스 로그>Microsoft>Windows>Defender>운영>ID 1124 아래). 보호된 폴더의 파일을 수정하거나 삭제하려는 시도는 기록되지 않습니다.

    스크린샷은 그룹 정책 옵션을 사용하도록 설정하고 선택한 감사 모드를 보여줍니다.

중요

제어된 폴더 액세스를 완전히 사용하도록 설정하려면 그룹 정책 옵션을 사용으로 설정하고 옵션 드롭다운 메뉴에서 차단을 선택해야 합니다.

PowerShell

  1. 시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

  2. 다음 cmdlet을 입력합니다.

    Set-MpPreference -EnableControlledFolderAccess Enabled

    대신 Enabled를 지정 AuditMode 하여 감사 모드에서 기능을 사용하도록 설정할 수 있습니다. 을 사용하여 Disabled 기능을 끕니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.