그룹 정책 사용하여 Microsoft Defender 바이러스 백신 평가
적용 대상:
- Microsoft Defender 바이러스 백신
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
플랫폼:
- Windows
Windows 10 이상 및 Windows Server 2016 이상에서는 MDAV(Microsoft Defender 바이러스 백신) 및 Microsoft Defender Exploit Guard(Microsoft Defender EG)에서 제공하는 차세대 보호 기능을 사용할 수 있습니다.
이 문서에서는 Microsoft Defender AV 및 Microsoft Defender EG에서 주요 보호 기능을 사용하도록 설정하고 테스트하는 방법을 설명하고 자세한 내용에 대한 지침과 링크를 제공합니다.
이 문서에서는 Windows 10 이상 및 Windows Server 2016 이상의 구성 옵션에 대해 설명합니다.
그룹 정책 사용하여 Microsoft Defender 바이러스 백신을 사용하여 기능 사용
이 가이드에서는 보호를 평가하는 데 사용해야 하는 기능을 구성하는 Microsoft Defender 바이러스 백신 그룹 정책 제공합니다.
최신 'Windows 그룹 정책 관리 템플릿'을 확인하세요.
자세한 내용은 중앙 저장소 만들기 및 관리 - Windows 클라이언트를 참조하세요.
팁
- Windows One은 Windows Server에서 작동합니다.
- Windows 10 또는 Windows Server 2016 실행하는 경우에도 Windows 11 이상에 대한 최신 관리 템플릿을 가져옵니다.
최신 .admx 및 .adml 템플릿을 호스트하는 'Central Store'를 만듭니다.
자세한 내용은 중앙 저장소 만들기 및 관리 - Windows 클라이언트를 참조하세요.
도메인에 가입된 경우:
새 OU 블록 정책 상속을 만듭니다.
GPMC.msc(그룹 정책 관리 콘솔)를 엽니다.
그룹 정책 개체로 이동하여 새 그룹 정책 만듭니다.
만든 새 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신으로 이동합니다.
또는
작업 그룹에 조인된 경우
그룹 정책 편집기 MMC(GPEdit.msc)를 엽니다.
컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신으로 이동합니다.
MDAV 및 PUA(사용자 동의 없이 설치된 애플리케이션)
뿌리:
| 설명 | 설정 |
|---|---|
| 바이러스 백신 Microsoft Defender 끄기 | 사용 안 함 |
| 잠재적으로 원치 않는 애플리케이션에 대한 검색 구성 | 사용 - 차단 |
실시간 보호(상시 보호, 실시간 검사)
\ 실시간 보호:
| 설명 | 설정 |
|---|---|
| 실시간 보호 끄기 | 사용 안 함 |
| 들어오고 나가는 파일 및 프로그램 활동에 대한 모니터링 구성 | 양방향 사용(전체 액세스) |
| 동작 모니터링 켜기 | 사용 |
| 컴퓨터에서 파일 및 프로그램 활동 모니터링 | 사용 |
클라우드 보호 기능
Standard 보안 인텔리전스 업데이트는 준비하고 제공하는 데 몇 시간이 걸릴 수 있습니다. 클라우드 제공 보호 서비스는 몇 초 만에 이 보호를 제공할 수 있습니다.
자세한 내용은 클라우드 제공 보호를 통해 Microsoft Defender 바이러스 백신에서 차세대 기술 사용을 참조하세요.
\ 지도:
| 설명 | 설정 |
|---|---|
| Microsoft MAPS 조인 | Enabled, Advanced MAPS |
| '즉각적 차단' 기능 구성 | 사용 |
| 추가 분석이 필요한 경우 파일 샘플 보내기 | 사용, 모든 샘플 보내기 |
\ MpEngine:
| 설명 | 설정 |
|---|---|
| 클라우드 보호 수준 선택 | 사용, 높은 차단 수준 |
| 확장 클라우드 검사 구성 | 사용, 50 |
스캔
| 설명 | 설정 |
|---|---|
| 추론 켜기 | 사용 |
| 전자 메일 검사 켜기 | 사용 |
| 다운로드한 모든 파일 및 첨부 파일 검사 | 사용 |
| 스크립트 검사 켜기 | 사용 |
| 보관 파일 검사 | 사용 |
| 압축된 실행 파일 검사 | 사용 |
| 네트워크 파일 검사 구성(네트워크 파일 검사) | 사용 |
| 이동식 드라이브 검사 | 사용 |
| 재문 분석 지점 검사 켜기 | 사용 |
보안 인텔리전스 업데이트
| 설명 | 설정 |
|---|---|
| 보안 인텔리전스 업데이트에 검사 간격 지정 | 사용, 4 |
| 보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의 | '보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의' 아래에서 사용 InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC 메모: 여기서 InternalDefinitionUpdateServer는 Microsoft Defender 바이러스 백신 업데이트가 허용되는 WSUS입니다. MicrosoftUpdateServer == Microsoft 업데이트(이전의 Windows 업데이트). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
로컬 관리자 AV 설정 사용 안 함
제외와 같은 로컬 관리자 AV 설정을 사용하지 않도록 설정하고 엔드포인트용 Microsoft Defender 보안 설정 관리에서 정책을 적용합니다.
뿌리:
| 설명 | 설정 |
|---|---|
| 목록에 대한 로컬 관리자 병합 동작 구성 | 사용 안 함 |
| 제외가 로컬 관리자에게 표시되는지 여부를 제어합니다. | 사용 |
위협 심각도 기본 작업
\ 위협
| 설명 | 설정 | 경고 수준 | 작업 |
|---|---|---|---|
| 검색 시 기본 작업을 수행하지 않아야 하는 위협 경고 수준 지정 | 사용 | ||
| 5(중증) | 2(격리) | ||
| 4(높음) | 2(격리) | ||
| 2(중간) | 2(격리) | ||
| 1(낮음) | 2(격리) |
\ 격리
| 설명 | 설정 |
|---|---|
| 격리 폴더에서 항목 제거 구성 | 사용, 60 |
\ 클라이언트 인터페이스
| 설명 | 설정 |
|---|---|
| 헤드리스 UI 모드 사용 | 사용 안 함 |
네트워크 보호
\ Microsoft Defender Exploit Guard\Network Protection:
| 설명 | 설정 |
|---|---|
| 사용자 및 앱이 위험한 웹 사이트에 액세스하지 못하도록 방지 | 사용, 차단 |
| 이 설정은 네트워크 보호를 Windows Server 블록 또는 감사 모드로 구성할 수 있는지 여부를 제어합니다. | 사용 |
현재 Windows Server용 네트워크 보호를 사용하도록 설정하려면 PowerShell을 사용하세요.
| OS | PowerShell cmdlet |
|---|---|
| R2 이상 Windows Server 2012 | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| R2 통합 MDE 클라이언트 Windows Server 2016 및 Windows Server 2012 | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
공격 표면 감소 규칙
컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>Microsoft Defender Exploit Guard>공격 표면 감소로 이동합니다.
다음을 선택합니다.
| 설명 | 설정 |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 참고: (이메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단) |
1(블록) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 참고: (Adobe Reader가 자식 프로세스를 만들지 못하도록 차단) |
1(블록) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc 참고: (잠재적으로 난독 처리된 스크립트의 실행 차단) |
1(블록) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 참고: (악용된 취약한 서명된 드라이버의 남용 차단) |
1(블록) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b 참고: (Office 매크로에서 Win32 API 호출 차단) |
1(블록) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 참고: (실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단) |
1(블록) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 참고: (Office 통신 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단) |
1(블록) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a 참고: (모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단) |
1(블록) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 참고: ([미리 보기] 복사되거나 가장된 시스템 도구의 사용 차단) |
1(블록) |
| d3e037e1-3eb8-44c8-a917-57927947596d 참고: (JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단) |
1(블록) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 참고: (Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단) |
1(블록) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 참고: (서버에 대한 웹 셸 만들기 차단) |
1(블록) |
| 3b576869-a4ec-4529-8536-b80a7769e899 참고: (Office 응용 프로그램이 실행 파일 콘텐츠를 만들지 못하도록 차단) |
1(블록) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 참고: (USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단) |
1(블록) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 참고: (Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단) |
1(블록) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b 참고: (WMI 이벤트 구독을 통한 지속성 차단) |
1(블록) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 참고: (랜섬웨어에 대한 고급 보호 사용) |
1(블록) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c 참고: (PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단) |
1(블록) 메모: Configuration Manager(이전의 SCCM) 또는 WMI를 사용하는 기타 관리 도구가 있는 경우 이를 1('block') 대신 2('audit')로 설정해야 할 수 있습니다. |
| 33ddedf1-c6e0-47cb-833e-de6133960387 참고: ([미리 보기] 안전 모드에서 다시 부팅 컴퓨터 차단) |
1(블록) |
팁
일부 규칙은 organization 허용 가능한 동작을 차단할 수 있습니다. 이러한 경우 원치 않는 블록을 방지하기 위해 규칙을 '사용'에서 '감사'로 변경합니다.
제어된 폴더 액세스
컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>Microsoft Defender Exploit Guard>공격 표면 감소로 이동합니다.
| 설명 | 설정 |
|---|---|
| 제어된 폴더 액세스 구성 | 사용, 차단 |
테스트 머신이 있는 OU에 정책을 할당합니다.
변조 방지 사용
Microsoft XDR 포털(security.microsoft.com)에서 설정>엔드포인트>고급 기능>변조 방지>켜기로 이동합니다.
자세한 내용은 변조 방지 구성 또는 관리를 어떻게 할까요? 참조하세요.
Cloud Protection 네트워크 연결 확인
펜 테스트 중에 Cloud Protection 네트워크 연결이 작동하는지 검사 것이 중요합니다.
CMD(관리자 권한으로 실행)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
자세한 내용은 cmdline 도구를 사용하여 클라우드 제공 보호의 유효성 검사를 참조하세요.
플랫폼 업데이트 버전 확인
최신 '플랫폼 업데이트' 버전 프로덕션 채널(GA)은 다음과 같습니다.
설치된 '플랫폼 업데이트' 버전을 검사 다음 PowerShell 명령(관리자 권한으로 실행)을 사용합니다.
get-mpComputerStatus | ft AMProductVersion
보안 인텔리전스 업데이트 버전 확인
최신 '보안 인텔리전스 업데이트' 버전은 다음에서 사용할 수 있습니다.
Microsoft Defender 바이러스 백신 및 기타 Microsoft 맬웨어 방지에 대한 최신 보안 인텔리전스 업데이트 - Microsoft 보안 인텔리전스
설치된 '보안 인텔리전스 업데이트' 버전을 검사 다음 PowerShell 명령(관리자 권한으로 실행)을 사용합니다.
get-mpComputerStatus | ft AntivirusSignatureVersion
엔진 업데이트 버전 확인
최신 검사 '엔진 업데이트' 버전은 다음에서 사용할 수 있습니다.
Microsoft Defender 바이러스 백신 및 기타 Microsoft 맬웨어 방지에 대한 최신 보안 인텔리전스 업데이트 - Microsoft 보안 인텔리전스
설치된 '엔진 업데이트' 버전을 검사 다음 PowerShell 명령(관리자 권한으로 실행)을 사용합니다.
get-mpComputerStatus | ft AMEngineVersion
설정이 적용되지 않는 경우 충돌이 발생할 수 있습니다. 충돌을 resolve Microsoft Defender 바이러스 백신 설정 문제 해결을 참조하세요.
FN(False Negatives) 제출의 경우
AV에서 Microsoft Defender 검색에 대한 질문이 있거나 누락된 검색을 발견한 경우 파일을 제출할 수 있습니다.
Microsoft XDR, 엔드포인트용 Microsoft Defender P2/P1 또는 비즈니스용 Microsoft Defender 있는 경우 엔드포인트용 Microsoft Defender 파일 제출을 참조하세요.
바이러스 백신을 Microsoft Defender 경우 다음을 참조하세요.https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV는 표준 Windows 알림을 통해 검색을 나타냅니다. Microsoft Defender AV 앱에서 검색을 검토할 수도 있습니다.
Windows 이벤트 로그는 검색 및 엔진 이벤트도 기록합니다. 이벤트 ID 및 해당 작업의 목록은 Microsoft Defender 바이러스 백신 이벤트 문서를 참조하세요.
설정이 제대로 적용되지 않은 경우 사용자 환경에서 사용할 수 있는 충돌하는 정책이 있는지 확인합니다. 자세한 내용은 Microsoft Defender 바이러스 백신 설정 문제 해결을 참조하세요.
Microsoft 지원 사례를 열어야 하는 경우: 엔드포인트용 Microsoft Defender 지원에 문의하세요.