엔드포인트용 Microsoft Defender 보안 설정 관리를 사용하여 Microsoft Defender 바이러스 백신 관리
적용 대상:
플랫폼
- Windows
- Windows Server
- macOS
- Linux
엔드포인트용 Microsoft Defender 보안 설정 관리를 사용하여 디바이스에서 Microsoft Defender 바이러스 백신 보안 정책을 관리합니다.
필수 조건:
여기에서 필수 구성 요소를 검토 합니다.
참고
Microsoft Defender 포털의 엔드포인트 보안 정책 페이지는 보안 관리자 역할이 할당된 사용자만 사용할 수 있습니다. 보안 읽기 권한자와 같은 다른 사용자 역할은 포털에 액세스할 수 없습니다. 사용자에게 Microsoft Defender 포털에서 정책을 보는 데 필요한 권한이 있는 경우 데이터는 Intune 권한에 따라 표시됩니다. 사용자가 Intune 역할 기반 액세스 제어를 위한 scope 있는 경우 Microsoft Defender 포털에 표시되는 정책 목록에 적용됩니다. 보안 관리자에게 Intune 기본 제공 역할인 "Endpoint Security Manager"를 부여하여 Intune Microsoft Defender 포털 간의 사용 권한 수준을 효과적으로 조정하는 것이 좋습니다.
보안 관리자는 Microsoft Defender 포털에서 다른 Microsoft Defender 바이러스 백신 보안 정책 설정을 구성할 수 있습니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
엔드포인트구성 관리> 엔드포인트 보안 정책 아래에 엔드포인트>보안 정책이 있습니다.
다음 목록에서는 각 엔드포인트 보안 정책 유형에 대한 간략한 설명을 제공합니다.
바이러스 백신 - 바이러스 백신 정책은 보안 관리자가 관리 디바이스에 대한 개별 바이러스 백신 설정 그룹을 관리하는 데 집중할 수 있도록 지원합니다.
디스크 암호화 - 엔드포인트 보안 디스크 암호화 프로필은 FileVault 또는 BitLocker와 같은 기본 제공 암호화 방법과 관련된 설정에만 초점을 맞춥니다. 이 포커스를 사용하면 보안 관리자가 관련 없는 여러 설정을 탐색하지 않고도 디스크 암호화 설정을 쉽게 관리할 수 있습니다.
방화벽 - Intune 엔드포인트 보안 방화벽 정책을 사용하여 macOS 및 Windows 10/11을 실행하는 디바이스에 대한 기본 제공 방화벽을 구성합니다.
엔드포인트 검색 및 응답 - Intune 엔드포인트용 Microsoft Defender 통합하는 경우 엔드포인트 보안 정책을 사용하여 EDR(엔드포인트 검색 및 응답)을 사용하여 EDR 설정을 관리하고 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender.
공격 표면 감소 - Windows 10/11 디바이스에서 Microsoft Defender 바이러스 백신을 사용하는 경우 공격 표면 감소에 Intune 엔드포인트 보안 정책을 사용하여 디바이스에 대한 해당 설정을 관리합니다.
엔드포인트 보안 정책 만들기
보안 관리자 역할 이상을 사용하여 Microsoft Defender 포털에 로그인합니다.
엔드포인트>구성 관리>엔드포인트 보안 정책을 선택한 다음, 새 정책 만들기를 선택합니다.
드롭다운 목록에서 플랫폼을 선택합니다.
템플릿을 선택한 다음 정책 만들기를 선택합니다.
기본 사항 페이지에서 프로필의 이름과 설명을 입력한 후 다음을 선택합니다.
설정 페이지에서 각 설정 그룹을 확장하고 이 프로필로 관리하려는 설정을 구성합니다.
설정 구성을 완료하면 다음을 선택합니다.
할당 페이지에서 이 프로필을 받는 그룹을 선택합니다.
다음을 선택합니다.
검토 + 만들기 페이지에서 완료되면 저장을 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.
참고
scope 태그를 편집하려면 Microsoft Intune 관리 센터로 이동해야 합니다.
엔드포인트 보안 정책을 편집하려면
새 정책을 선택한 다음 편집을 선택합니다.
설정을 선택하여 정책의 구성 설정 목록을 확장합니다. 이 보기에서 설정을 수정할 수는 없지만 구성 방법을 검토할 수 있습니다.
정책을 수정하려면 변경하려는 각 범주에 대해 편집을 선택합니다.
- 기본 사항
- Settings
- Assignments
변경한 후 저장 을 선택하여 편집 내용을 저장합니다. 더 많은 범주에 대한 편집을 도입하려면 먼저 한 범주에 대한 편집을 저장해야 합니다.
엔드포인트 보안 정책 확인
정책을 성공적으로 만들 수 있는지 확인하려면 엔드포인트 보안 정책 목록에서 정책 이름을 선택합니다.
참고
정책이 디바이스에 도달하는 데 최대 90분이 걸릴 수 있습니다. 프로세스 속도를 높이기 위해 엔드포인트용 Defender에서 관리되는 디바이스의 경우 작업 메뉴에서 정책 동기화 를 선택하여 약 10분 안에 적용할 수 있습니다.
정책 페이지에는 정책의 상태 요약하는 세부 정보가 표시됩니다. 정책의 상태, 적용된 디바이스 및 할당된 그룹을 볼 수 있습니다.
조사 중에 디바이스 페이지에서 보안 정책 탭을 보고 특정 디바이스에 적용되는 정책 목록을 볼 수도 있습니다. 자세한 내용은 디바이스 조사를 참조하세요.
Windows 및 Windows Server 대한 바이러스 백신 정책
실시간 보호(Always-On 보호, 실시간 검사):
| 설명 | Settings |
|---|---|
| 실시간 모니터링 허용 | 허용됨 |
| 실시간 스캔 방향 | 모든 파일 모니터링(양방향) |
| 동작 모니터링 허용 | 허용됨 |
| Access Protection에서 허용 | 허용됨 |
| PUA 보호 | PUA 보호 켜기 |
자세한 내용은 다음 항목을 참조하세요.
- Microsoft Defender 바이러스 백신의 핵심인 고급 기술
- Microsoft Defender 바이러스 백신 상시 보호 사용 및 구성
- Microsoft Defender 바이러스 백신의 동작 모니터링
- 잠재적으로 원하지 않는 응용 프로그램 검색 및 차단
- 클라우드 보호 기능:
| 설명 | 설정 |
|---|---|
| 클라우드 보호 허용 | 허용됨 |
| 클라우드 블록 수준 | 높음 |
| 클라우드 확장 시간 제한 | 구성됨, 50 |
| 샘플 동의 제출 | 모든 샘플 자동 보내기 |
Standard 보안 인텔리전스 업데이트는 준비하고 제공하는 데 몇 시간이 걸릴 수 있습니다. 클라우드 제공 보호 서비스는 몇 초 만에 이 보호를 제공합니다. 자세한 내용은 클라우드 제공 보호를 통해 Microsoft Defender 바이러스 백신에서 차세대 기술 사용을 참조하세요.
검사:
| 설명 | 설정 |
|---|---|
| Email 검사 허용 | 허용됨 |
| 다운로드한 모든 파일 및 첨부 파일의 검사 허용 | 허용됨 |
| 스크립트 검사 허용 | 허용됨 |
| 아카이브 검사 허용 | 허용됨 |
| 네트워크 파일 검사 허용 | 허용됨 |
| 전체 스캔 이동식 드라이브 검사 허용 | 허용됨 |
| 매핑된 네트워크 드라이브에서 전체 검사 허용 | 허용되지 않음 |
| 최대 깊이 아카이브 | 구성되지 않음 |
| 최대 크기 아카이브 | 구성되지 않음 |
자세한 내용은 Microsoft Defender 바이러스 백신 검사 옵션 구성을 참조하세요.
보안 인텔리전스 업데이트:
| 설명 | 설정 |
|---|---|
| 서명 업데이트 간격 | 구성됨, 4 |
| 서명 업데이트 대체 순서 | InternalDefinitionUpdateServer |
| MicrosoftUpdateServer | MMPC |
| 서명 업데이트 파일 공유 원본 | 구성되지 않음 |
| 데이터 통신 연결 업데이트 | 허용되지 않음(기본값) |
| 보안 인텔리전스 업데이트 채널 | 구성되지 않음 |
참고
위치: 'InternalDefinitionUpdateServer'는 Microsoft Defender 바이러스 백신 업데이트가 허용되는 WSUS입니다. 'MicrosoftUpdateServer'는 Microsoft 업데이트(이전의 Windows 업데이트)입니다. 'MMPC'는 이전에 Microsoft 맬웨어 보호 센터 WDSI(보안 인텔리전스 센터)https://www.microsoft.com/en-us/wdsi/definitions를 Microsoft Defender.
자세한 내용은 다음 항목을 참조하세요.
엔진 업데이트:
| 설명 | 설정 |
|---|---|
| 엔진 업데이트 채널 | 구성되지 않음 |
자세한 내용은 Microsoft Defender 업데이트에 대한 점진적 출시 프로세스 관리를 참조하세요.
플랫폼 업데이트:
| 설명 | 설정 |
|---|---|
| 플랫폼 업데이트 채널 | 구성되지 않음 |
자세한 내용은 Microsoft Defender 업데이트에 대한 점진적 출시 프로세스 관리를 참조하세요.
예약된 검사 및 주문형 검사:
예약된 검사 및 주문형 검사에 대한 일반 설정
| 설명 | 설정 |
|---|---|
| 검사를 실행하기 전에 서명 확인 | 사용 안 함(기본값) |
| 일정 작업 시간 임의화 | 구성되지 않음 |
| 스케줄러 임의화 시간 | 예약된 작업은 임의로 지정되지 않습니다. |
| 평균 CPU 로드 팩터 | 구성되지 않음(기본값, 50) |
| 낮은 CPU 우선 순위 사용 | 사용 안 함(기본값) |
| Catchup 전체 검사 사용 안 함 | 사용(기본값) |
| Catchup 빠른 검사 사용 안 함 | 사용(기본값) |
매일 빠른 검사
| 설명 | 설정 |
|---|---|
| 빠른 검사 시간 예약 | 720 |
참고
이 예제에서는 Windows 클라이언트에서 매일 오후 12:00에 빠른 검사가 실행됩니다. (720). 이 예제에서는 요즘 많은 디바이스가 시간 외(예: 노트북) 꺼져 있기 때문에 점심 시간을 사용합니다.
매주 빠른 검사 또는 전체 검사
| 설명 | 설정 |
|---|---|
| Scan 매개 변수 | 빠른 검사(기본값) |
| 검사 일 예약 | Windows 클라이언트: 수요일 Windows Server: 토요일 |
| 검사 시간 예약 | Windows 클라이언트: 1020 Windows 서버: 60 |
참고
이 예제에서는 수요일 오후 5:00에 Windows 클라이언트에 대한 빠른 검사가 실행됩니다. (1020). Windows Server의 경우 토요일 오전 1:00에 표시됩니다. (60)
자세한 내용은 다음 항목을 참조하세요.
위협 심각도 기본 작업:
| 설명 | 설정 |
|---|---|
| 심각도가 높은 위협에 대한 수정 작업 | 격리 |
| 심각한 위협에 대한 수정 작업 | 격리 |
| 심각도가 낮은 위협에 대한 수정 작업 | 격리 |
| 보통 심각도 위협에 대한 수정 작업 | 격리 |
| 설명 | 설정 |
|---|---|
| 정리된 맬웨어를 보존하는 일 | 구성됨, 60 |
| 사용자 UI 액세스 허용 | 허용. 사용자가 UI에 액세스할 수 있도록 합니다. |
자세한 내용은 Microsoft Defender 바이러스 백신 검색에 대한 수정 구성을 참조하세요.
바이러스 백신 제외:
로컬 관리자 병합 동작:
제외와 같은 로컬 관리자 AV 설정을 사용하지 않도록 설정하고 다음 표에 설명된 대로 엔드포인트용 Microsoft Defender 보안 설정 관리에서 정책을 설정합니다.
| 설명 | 설정 |
|---|---|
| 로컬 관리 병합 사용 안 함 | 로컬 관리 병합 사용 안 함 |
| 설명 | 설정 |
|---|---|
| 제외된 확장 | FP(가양성) 해결 및/또는 MsMpEng.exe 높은 cpu 사용률 문제 해결에 필요한 경우 추가 |
| 제외된 경로 | FP(가양성) 해결 및/또는 MsMpEng.exe 높은 cpu 사용률 문제 해결에 필요한 경우 추가 |
| 제외된 프로세스 | FP(가양성) 해결 및/또는 MsMpEng.exe 높은 cpu 사용률 문제 해결에 필요한 경우 추가 |
자세한 내용은 다음 항목을 참조하세요.
- 사용자가 Microsoft Defender 바이러스 백신 정책 설정을 로컬로 수정할 수 없도록 방지 또는 허용
- Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외 구성
Microsoft Defender Core 서비스:
| 설명 | 설정 |
|---|---|
| 핵심 서비스 ECS 통합 사용 안 함 | Defender 핵심 서비스는 ECS(실험 및 구성 서비스)를 사용하여 중요한 조직별 수정 사항을 신속하게 제공합니다. |
| 핵심 서비스 원격 분석 사용 안 함 | Defender 핵심 서비스는 OneDsCollector 프레임워크를 사용하여 원격 분석을 신속하게 수집합니다. |
자세한 내용은 Microsoft Defender Core 서비스 개요를 참조하세요.
네트워크 보호:
| 설명 | 설정 |
|---|---|
| 네트워크 보호 사용 | 사용(블록 모드) |
| 네트워크 보호 허용 하위 수준 | 네트워크 보호가 하위로 설정됩니다. |
| Win Server에서 데이터그램 처리 허용 | Windows Server 데이터그램 처리를 사용할 수 있습니다. |
| TCP 구문 분석을 통해 DNS 사용 안 함 | TCP 구문 분석을 통해 DNS를 사용할 수 있습니다. |
| HTTP 구문 분석 사용 안 함 | HTTP 구문 분석이 사용됩니다. |
| SSH 구문 분석 사용 안 함 | SSH 구문 분석이 사용됩니다. |
| TLS 구문 분석 사용 안 함 | TLS 구문 분석이 사용됩니다. |
| DNS 싱크홀 사용 | DNS 싱크홀을 사용할 수 있습니다. |
자세한 내용은 네트워크 보호를 사용하여 악의적이거나 의심스러운 사이트에 대한 연결 방지를 참조하세요.
- 설정 구성을 완료하면 다음을 선택합니다.
- 할당 탭에서 디바이스 그룹 또는 사용자 그룹 또는 모든 디바이스 또는 모든 사용자를 선택합니다.
- 다음을 선택합니다.
- 검토 + 만들기 탭에서 정책 설정을 검토한 다음 저장을 선택합니다.
공격 표면 감소 규칙
엔드포인트 보안 정책을 사용하여 ASR(공격 표면 감소) 규칙을 사용하도록 설정하려면 다음 단계를 수행합니다.
Microsoft Defender XDR 로그인합니다.
엔드포인트 > 구성 관리 > 엔드포인트 보안 정책 Windows 정책 >> 새 정책 만들기로 이동합니다.
플랫폼 선택 드롭다운 목록에서 Windows 10, Windows 11 및 Windows Server 선택합니다.
템플릿 선택 드롭다운 목록에서 공격 표면 감소 규칙을 선택합니다.
정책 만들기를 선택합니다.
기본 사항 페이지에서 프로필의 이름과 설명을 입력합니다. 그런 다음, 다음을 선택합니다.
구성 설정 페이지에서 설정 그룹을 확장하고 이 프로필로 관리하려는 설정을 구성합니다.
다음 권장 설정에 따라 정책을 설정합니다.
설명 설정 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 차단 Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 차단 잠재적으로 난독 처리된 스크립트의 실행 차단 차단 악용된 취약한 서명된 드라이버의 남용 차단(디바이스) 차단 Office 매크로에서 Win32 API 호출 차단 차단 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 차단 Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 차단 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 차단 [미리 보기] 복사되거나 가장된 시스템 도구의 사용 차단 차단 JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 차단 Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단 차단 서버에 대한 웹 셸 만들기 차단 차단 Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 차단 USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 차단 Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 차단 WMI 이벤트 구독을 통한 지속성 차단 차단 랜섬웨어에 대한 고급 보호 사용 차단 PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 차단(Configuration Manager(이전의 SCCM) 또는 WMI를 사용하는 기타 관리 도구가 있는 경우 차단 대신 감사로 설정해야 할 수 있습니다. [미리 보기] 안전 모드에서 컴퓨터 다시 부팅 차단 차단 제어된 폴더 액세스 사용 사용
팁
모든 규칙은 organization 허용 가능한 동작을 차단할 수 있습니다. 이러한 경우 "공격 표면 축소 전용 제외"라는 규칙별 제외를 추가합니다. 또한 원치 않는 블록을 방지하려면 규칙을 사용 에서 감사 로 변경합니다.
자세한 내용은 공격 표면 감소 규칙 배포 개요를 참조하세요.
- 다음을 선택합니다.
- 할당 탭에서 디바이스 그룹 또는 사용자 그룹 또는 모든 디바이스 또는 모든 사용자를 선택합니다.
- 다음을 선택합니다.
- 검토 + 만들기 탭에서 정책 설정을 검토한 다음 저장을 선택합니다.
변조 방지 사용
Microsoft Defender XDR 로그인합니다.
엔드포인트 > 구성 관리 > 엔드포인트 보안 정책 Windows 정책 >> 새 정책 만들기로 이동합니다.
플랫폼 선택 드롭다운 목록에서 Windows 10, Windows 11 및 Windows Server 선택합니다.
템플릿 선택 드롭다운 목록에서 보안 환경을 선택합니다.
정책 만들기를 선택합니다. 새 정책 만들기 페이지가 나타납니다.
기본 페이지에서 이름 및 설명 필드에 프로필의 이름과 설명을 각각 입력합니다.
다음을 선택합니다.
구성 설정 페이지에서 설정 그룹을 확장합니다.
이러한 그룹에서 이 프로필을 사용하여 관리하려는 설정을 선택합니다.
다음 표에 설명된 대로 선택한 설정 그룹에 대한 정책을 구성하여 설정합니다.
설명 설정 TamperProtection(디바이스) 설정
자세한 내용은 변조 방지를 사용하여 보안 설정 보호를 참조하세요.
Cloud Protection 네트워크 연결 확인
침투 테스트 중에 Cloud Protection 네트워크 연결이 작동하는지 검사 것이 중요합니다.
CMD(관리자 권한으로 실행)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
자세한 내용은 cmdline 도구를 사용하여 클라우드 제공 보호의 유효성 검사를 참조하세요.
플랫폼 업데이트 버전 확인
최신 "플랫폼 업데이트" 버전 프로덕션 채널(GA)은 Microsoft 업데이트 카탈로그에서 사용할 수 있습니다.
설치한 "플랫폼 업데이트" 버전을 검사 관리자의 권한을 사용하여 PowerShell에서 다음 명령을 실행합니다.
Get-MPComputerStatus | Format-Table AMProductVersion
보안 인텔리전스 업데이트 버전 확인
최신 "보안 인텔리전스 업데이트" 버전은 Microsoft Defender 바이러스 백신 및 기타 Microsoft 맬웨어 방지 - Microsoft 보안 인텔리전스 대한 최신 보안 인텔리전스 업데이트에서 사용할 수 있습니다.
설치한 "보안 인텔리전스 업데이트" 버전을 검사 관리자의 권한을 사용하여 PowerShell에서 다음 명령을 실행합니다.
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
엔진 업데이트 버전 확인
최신 검사 "엔진 업데이트" 버전은 Microsoft Defender 바이러스 백신 및 기타 Microsoft 맬웨어 방지 - Microsoft 보안 인텔리전스 대한 최신 보안 인텔리전스 업데이트에서 사용할 수 있습니다.
설치한 "엔진 업데이트" 버전을 검사 관리자의 권한을 사용하여 PowerShell에서 다음 명령을 실행합니다.
Get-MPComputerStatus | Format-Table AMEngineVersion
설정이 적용되지 않는 경우 충돌이 발생할 수 있습니다. 충돌을 resolve 방법에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 설정 문제 해결을 참조하세요.
FN(False Negatives) 제출의 경우
FN(False Negatives) 제출 방법에 대한 자세한 내용은 다음을 참조하세요.
- Microsoft XDR, 엔드포인트용 Microsoft Defender P2/P1 또는 비즈니스용 Microsoft Defender 있는 경우 엔드포인트용 Microsoft Defender 파일을 제출합니다.
- 바이러스 백신을 Microsoft Defender 경우 분석을 위해 파일을 제출합니다.