공격 표면 감소 규칙 사용

  • 17분

공격 표면은 공격자가 조직의 디바이스 또는 네트워크의 취약성을 악용할 수 있는 모든 장소를 포함합니다. 공격 표면을 줄이면 조직의 디바이스와 네트워크를 보호할 수 있으며 공격자의 공격 방법이 감소됩니다.

공격 표면 감소 규칙은 종종 공격자가 악용하는 특정 소프트웨어 동작을 대상으로 합니다. 해당 동작은 다음과 같습니다.

  • 파일 다운로드 또는 실행을 시도하는 실행 파일 및 스크립트 시작

  • 난독 처리되거나 의심스러운 스크립트 실행

  • 일상적인 작업을 수행하는 중 앱이 일반적으로 수행하지 않는 동작 수행

해당 소프트웨어 동작은 종종 정상적인 애플리케이션에서 나타나기도 합니다. 그러나 해당 동작은 대부분 맬웨어의 악용인 경우가 많기 때문에 위험한 것으로 간주됩니다. 공격 표면 감소 규칙은 위험한 동작을 제한하고 조직을 안전하게 유지하는 데 도움이 됩니다.

각 공격 표면 감소 규칙에는 다음 네 가지 설정 중 하나가 포함됩니다.

  • 구성되지 않음: 공격 표면 감소 규칙 비활성화

  • 차단: 공격 표면 감소 규칙 활성화

  • 감사: 사용할 경우 공격 표면 감소 규칙이 조직에 미치는 영향 평가

  • 경고: 공격 표면 감소 규칙을 사용하되 최종 사용자가 차단을 우회하도록 허용합니다.

공격 노출 영역 축소 규칙

공격 표면 감소 규칙은 현재 다음의 모든 규칙을 지원합니다.

  • 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단
  • 모든 Office 애플리케이션의 자식 프로세스 생성 차단
  • Office 애플리케이션의 실행 가능 콘텐츠 생성 차단
  • Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
  • JavaScript 또는 VBScript가 다운로드된 실행 가능 콘텐츠를 시작하지 못하도록 차단
  • 잠재적으로 난독 처리된 스크립트의 실행 차단
  • Office 매크로에서 Win32 API 호출 차단
  • 랜섬웨어로부터 고급 보호 기능 사용
  • Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단
  • PSExec 및 WMI 명령에서 시작된 프로세스 생성 차단
  • USB에서 실행된 신뢰할 수 없고 서명되지 않은 프로세스 차단
  • 전파, 처리 기간 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 경우 실행 파일의 실행 차단
  • Office 커뮤니케이션 애플리케이션에서 자식 프로세스 생성 차단
  • Adobe Reader의 자식 프로세스 생성 차단
  • WMI 이벤트 구독을 통한 지속성 차단

공격 표면 감소 규칙에서 파일 및 폴더 제외

대부분의 공격 표면 감소 규칙에서 파일 및 폴더를 제외할 수 있습니다. 즉 공격 표면 감소 규칙에 따라 파일 또는 폴더에 악의적인 동작이 포함된 것으로 판단하는 경우에도 파일 실행을 차단하지 않습니다. 이 경우, 안전하지 않은 파일이 실행되고 디바이스를 감염시킬 수 있습니다.

특정 엔드포인트용 Defender 파일 및 인증서 지표를 허용하여 인증서 및 파일 해시를 기반으로 한 트리거에서 공격 표면 감소 규칙을 제외할 수 있습니다.

폴더 경로 또는 전체 리소스 이름을 사용하여 개별 파일 또는 폴더를 지정할 수 있지만 제외 항목을 적용할 규칙은 지정할 수 없습니다. 제외는 제외된 애플리케이션 또는 서비스를 시작할 때만 적용됩니다. 예를 들어 이미 실행 중인 업데이트 서비스를 제외하는 경우, 업데이트 서비스는 서비스를 중지했다가 다시 시작할 때까지 이벤트를 계속 트리거합니다.

평가 감사 모드

감사 모드를 사용하여 공격 표면 감소 규칙이 조직에 미치는 영향을 평가합니다. 먼저 모든 규칙을 감사 모드에서 실행하여 LOB(기간 업무) 애플리케이션에 미치는 영향을 이해할 수 있습니다. 다양한 기간 업무 애플리케이션은 제한된 보안 문제로 작성되어, 맬웨어와 유사한 방식으로 작업을 수행할 수 있습니다. 감사 데이터를 모니터링하고 제외 대상 애플리케이션을 추가하면, 생산성에 영향을 주지 않고 공격 표면 감소 규칙을 배포할 수 있습니다.

규칙이 트리거되는 경우 알림

규칙이 트리거될 때마다 디바이스에 알림이 표시됩니다. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다. 알림은 Microsoft Defender 포털에도 표시됩니다.

공격 표면 감소 구성

다음 Windows 버전 중 하나를 실행하는 디바이스에 관련 규칙을 설정할 수 있습니다.

  • Windows 10 Pro, 버전 1709 이상
  • Windows 10 Enterprise, 버전 1709 이상
  • Windows Server, 버전 1803(반기 채널) 이상
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

다음 방법 중 하나를 사용하여 공격 표면 감소 규칙을 활성화 할 수 있습니다.

  • Microsoft Intune
  • MDM(모바일 디바이스 관리)
  • Microsoft Endpoint Configuration Manager
  • 그룹 정책
  • PowerShell

Intune 또는 Microsoft Endpoint Configuration Manager와 같은 엔터프라이즈 수준 관리를 권장합니다. 엔터프라이즈 수준 관리는 시작 시 충돌하는 그룹 정책 또는 PowerShell 설정을 덮어씁니다.

Intune

디바이스 구성 프로필:

  1. 디바이스 구성 > 프로필을 선택합니다. 기존 엔드포인트 보호 프로필을 선택하거나 신규 엔드포인트 보호 프로필을 생성합니다. 새 프로필을 만들려면 프로필 생성을 선택하고 해당 프로필에 대한 정보를 입력합니다. 프로필 유형에서 엔드포인트 보호를 선택합니다. 기존 프로필을 선택한 경우 속성을 선택한 후 설정을 선택합니다.

  2. 엔드포인트 보호 창에서 Windows Defender Exploit Guard를 선택하고 공격 표면 감소를 선택합니다. 각 규칙에 대해 원하는 설정을 선택합니다.

  3. 공격 표면 감소 예외에서 개별 파일 및 폴더를 입력합니다. 가져오기를 선택하여 공격 표면 감소 규칙에서 제외할 파일 및 폴더를 포함하는 CSV 파일을 가져올 수도 있습니다. CSV 파일의 각 줄은 다음과 같이 지정해야 합니다.

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. 세 개의 구성 창에서 확인을 선택합니다. 그 후 새로운 엔드포인트 보호 파일을 만드는 경우 생성를 선택하고 기존 항목을 편집하는 경우에는 저장을 선택합니다.

엔드포인트 보안 정책:

  1. 엔드포인트 보안 > 공격 표면 감소를 선택합니다. 기존 앱을 선택하거나 새로 만듭니다. 새 정책을 만들려면 정책 만들기를 선택하고 이 프로필에 대한 정보를 입력합니다. 프로필 유형에서 공격 표면 감소 규칙을 선택합니다. 기존 프로필을 선택한 경우 속성을 선택한 후 설정을 선택합니다.

  2. 구성 설정 창에서 공격 표면 감소 규칙을 선택한 다음, 각 규칙에 대해 원하는 설정을 선택합니다.

  3. 보호해야 하는 추가 폴더 목록, 보호된 폴더에 액세스할 수 있는 앱 목록, 공격 표면 감소 규칙에서 파일 및 경로 제외에서 개별 파일 및 폴더를 입력합니다. 가져오기를 선택하여 공격 표면 감소 규칙에서 제외할 파일 및 폴더를 포함하는 CSV 파일을 가져올 수도 있습니다. CSV 파일의 각 줄은 다음과 같이 지정해야 합니다.

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. 세 개의 구성 창에서 다음을 선택한 다음, 새 정책을 만드는 경우 만들기를 선택하고 기존 정책을 수정하는 경우 저장을 선택합니다.

모바일 디바이스 관리

모바일 디바이스 관리에서 공격 표면 감소 규칙을 관리하는 방법은 다음과 같습니다.

  • ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules CSP(구성 서비스 공급자)를 사용해서 각 규칙에 대한 모드를 개별적으로 활성화하고 설정할 수 있습니다.

  • GUID 값을 사용하려면 공격 표면 감소 규칙의 모바일 디바이스 관리 참조를 따릅니다.

  • OMA-URI 경로: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • 값: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • 활성화, 비활성화, 감사 모드 활성화 값은 다음과 같습니다.

    • 비활성화 = 0

    • 차단(공격 표면 감소 규칙 활성화) = 1

    • 감사 = 2

  • ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions CSP(구성 서비스 공급자)를 사용해서 예외를 추가합니다.

예제:

  • OMA-URI 경로: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • 값: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Microsoft Endpoint Configuration Manager의 공격 표면 감소 규칙을 관리하는 방법은 다음과 같습니다.

  1. Microsoft Endpoint Configuration Manager에서 자산 및 규정 준수 > Endpoint Protection > Windows Defender Exploit Guard로 이동합니다.

  2. 홈 > Exploit Guard 정책 생성을 선택합니다.

  3. 이름과 설명을 입력하고, 공격 표면 감소를 선택하고, 다음을 선택합니다.

  4. 동작을 차단하거나 감사하는 규칙을 선택하고 다음을 선택합니다.

  5. 설정을 검토하고 다음을 선택하여 정책을 생성합니다.

  6. 정책이 생성된 후 닫기를 선택합니다.

그룹 정책

그룹 정책에서 공격 표면 감소 규칙을 관리하는 방법은 다음과 같습니다.

경고

Intune, Configuration Manager 또는 다른 엔터프라이즈 수준 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어가 시작 시 충돌하는 그룹 정책 설정을 덮어씁니다.

  1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 후 편집을 선택합니다.

  2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하고 관리 템플릿을 선택합니다.

  3. Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Windows Defender Exploit Guard > 공격 표면 감소로 트리를 확장합니다.

  4. 공격 표면 감소 규칙 구성을 선택하고 사용을 선택합니다. 그런 다음 옵션 섹션에서 각 규칙의 개별 상태를 설정할 수 있습니다.

  5. 보기...를 선택한 후 값 이름 열에 규칙 ID를 입력하고 다음과 같이 값 열에 선택한 상태를 입력합니다.

    비활성화 = 0 차단(공격 표면 감소 규칙 사용) = 1 감사 = 2

  6. 공격 표면 감소 규칙에서 파일 및 폴더를 제외하려면 공격 표면 감소 규칙에서 파일 및 경로 제외 설정을 선택하고 옵션을 사용으로 설정합니다. 보기를 선택하고 값 이름 열에 각 파일 또는 폴더를 입력합니다. 각 항목의 값 열에 0을 입력합니다.

PowerShell

PowerShell을 사용하여 공격 표면 감소 규칙을 관리하는 방법은 다음과 같습니다.

경고

Intune, Configuration Manager 또는 다른 엔터프라이즈 수준의 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어가 시작 시 충돌하는 모든 PowerShell 설정을 덮어씁니다. 사용자가 PowerShell을 사용하여 값을 정의할 수 있도록 허용하기 위해 관리 플랫폼에서 규칙에 대해 “사용자 정의” 옵션을 사용합니다.

  1. 시작 메뉴에 PowerShell을 입력하고 마우스 오른쪽 단추로 Windows PowerShell을 클릭한 후 관리자 권한으로 실행을 선택합니다.

  2. 다음 cmdlet을 입력합니다.

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. 감사 모드에서 공격 표면 감소 규칙을 사용하려면 다음 cmdlet을 사용합니다.

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. 공격 표면 감소 규칙을 해제하려면 다음 cmdlet을 사용합니다.

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. 각 규칙에 대해 개별적으로 상태를 지정해야 하지만 규칙과 상태를 쉼표로 구분된 목록에서 결합할 수 있습니다.

  6. 다음 예제에서는 처음 두 규칙을 활성화하고, 세 번째 규칙을 비활성화하며, 네 번째 규칙이 감사 모드에서 활성화되도록 설정합니다.

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Add-MpPreference PowerShell 동사를 사용하여 기존 목록에 새 규칙을 추가할 수도 있습니다.

  8. Set-MpPreference는 항상 기존 규칙 집합을 덮어씁니다. 기존 집합에 추가하려면 Add-MpPreference를 대신 사용해야 합니다. Get MpPreference를 사용하여 규칙 및 현재 상태 목록을 가져올 수 있습니다.

  9. 공격 표면 감소 규칙에서 파일 및 폴더를 제외하려면 다음 cmdlet을 사용합니다.

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Add-MpPreferences -AttackSurfaceReductionOnlyExclusions를 지속적으로 사용하여 목록에 더 많은 파일과 폴더를 추가합니다.

중요

Add-MpPreference를 사용하여 목록에 앱을 추가합니다. Set-MpPreference cmdlet을 사용하여 기존 목록을 덮어씁니다.

공격 표면 감소 이벤트 목록

모든 공격 표면 감소 이벤트는 Windows 이벤트 뷰어의 애플리케이션 및 서비스 로그 > Microsoft > Windows 아래에 있습니다.