제어된 폴더 액세스를 사용하여 중요한 폴더 보호
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender XDR
- Microsoft Defender 바이러스 백신
적용 대상
- Windows
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
제어된 폴더 액세스란?
제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록으로부터 앱을 확인하여 데이터를 보호합니다. 제어된 폴더 액세스는 Windows 보안 앱, Microsoft 엔드포인트 Configuration Manager 또는 Intune(관리 디바이스용)을 사용하여 구성할 수 있습니다. 제어된 폴더 액세스는 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 및 Windows 11 지원됩니다.
참고
인증서 및 파일 표시기를 사용하여 "허용" 표시기를 만드는 경우에도 PowerShell과 같은 스크립팅 엔진은 제어된 폴더 액세스에서 신뢰할 수 없습니다. 스크립트 엔진이 보호된 폴더를 수정할 수 있도록 허용하는 유일한 방법은 허용된 앱으로 추가하는 것입니다. 특정 앱이 제어된 폴더를 변경하도록 허용을 참조하세요.
제어된 폴더 액세스는 일반적인 경고 조사 시나리오의 일부로 제어된 폴더 액세스 이벤트 및 블록에 대한 자세한 보고를 제공하는 엔드포인트용 Microsoft Defender 가장 잘 작동합니다.
팁
제어된 폴더 액세스 블록은 경고 큐에서 경고를 생성하지 않습니다. 그러나 고급 헌팅을 사용하거나 사용자 지정 검색 규칙을 사용하여 디바이스 타임라인 보기에서 제어된 폴더 액세스 블록에 대한 정보를 볼 수 있습니다.
제어된 폴더 액세스는 어떻게 작동하나요?
제어된 폴더 액세스는 신뢰할 수 있는 앱이 보호된 폴더에 액세스할 수 있도록 허용하여 작동합니다. 보호된 폴더는 제어된 폴더 액세스가 구성될 때 지정됩니다. 일반적으로 문서, 사진, 다운로드 등에 사용되는 폴더와 같이 일반적으로 사용되는 폴더가 제어되는 폴더 목록에 포함됩니다.
제어된 폴더 액세스는 신뢰할 수 있는 앱 목록에서 작동합니다. 신뢰할 수 있는 소프트웨어 목록에 포함된 앱은 예상대로 작동합니다. 목록에 포함되지 않은 앱은 보호된 폴더 내의 파일을 변경할 수 없습니다.
앱은 해당 보급률 및 평판에 따라 목록에 추가됩니다. organization 전체에서 매우 널리 퍼져 있고 악의적인 것으로 간주되는 동작을 표시한 적이 없는 앱은 신뢰할 수 있는 것으로 간주됩니다. 이러한 앱은 목록에 자동으로 추가됩니다.
Configuration Manager 또는 Intune 사용하여 신뢰할 수 있는 목록에 앱을 수동으로 추가할 수도 있습니다. Microsoft Defender 포털에서 추가 작업을 수행할 수 있습니다.
제어된 폴더 액세스가 중요한 이유
제어된 폴더 액세스는 랜섬웨어로부터 문서와 정보를 보호하는 데 특히 유용합니다. 랜섬웨어 공격에서 파일은 암호화되어 인질로 잡을 수 있습니다. 제어된 폴더 액세스가 있으면 앱이 보호된 폴더의 파일을 변경하려고 시도한 컴퓨터에 알림이 표시됩니다. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다. 규칙을 개별적으로 사용하도록 설정하여 기능에서 모니터링하는 기술을 사용자 지정할 수도 있습니다.
보호된 폴더에는 일반적인 시스템 폴더(부팅 섹터 포함)가 포함되며 더 많은 폴더를 추가할 수 있습니다. 앱에서 보호된 폴더에 대한 액세스 권한을 부여하도록 허용할 수도 있습니다.
감사 모드를 사용하여 제어된 폴더 액세스가 사용하도록 설정된 경우 organization 미치는 영향을 평가할 수 있습니다.
Windows 시스템 폴더는 기본적으로 보호됩니다.
Windows 시스템 폴더는 기본적으로 다른 여러 폴더와 함께 보호됩니다.
보호된 폴더에는 일반적인 시스템 폴더(부팅 섹터 포함)가 포함되며 추가 폴더를 추가할 수 있습니다. 앱에서 보호된 폴더에 대한 액세스 권한을 부여하도록 허용할 수도 있습니다. 기본적으로 보호되는 Windows 시스템 폴더는 다음과 같습니다.
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
기본 폴더는 다음 이미지와 같이 이 PC 아래의 사용자 프로필에 표시됩니다.
참고
추가 폴더를 보호됨으로 구성할 수 있지만 기본적으로 보호되는 Windows 시스템 폴더는 제거할 수 없습니다.
제어된 폴더 액세스에 대한 요구 사항
제어된 폴더 액세스를 사용하려면 Microsoft Defender 바이러스 백신 실시간 보호를 사용하도록 설정해야 합니다.
Microsoft Defender 포털에서 제어된 폴더 액세스 이벤트 검토
엔드포인트용 Defender는 Microsoft Defender 포털에서 경고 조사 시나리오의 일부로 이벤트 및 블록에 대한 자세한 보고를 제공합니다. Microsoft Defender XDR 엔드포인트용 Microsoft Defender 참조하세요.
고급 헌팅을 사용하여 엔드포인트용 Microsoft Defender 데이터를 쿼리할 수 있습니다. 감사 모드를 사용하는 경우 고급 헌팅을 사용하여 제어된 폴더 액세스 설정이 사용하도록 설정된 경우 환경에 미치는 영향을 확인할 수 있습니다.
쿼리 예제:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Windows 이벤트 뷰어 제어된 폴더 액세스 이벤트 검토
Windows 이벤트 로그를 검토하여 제어된 폴더 액세스가 앱을 차단(또는 감사)할 때 생성되는 이벤트를 확인할 수 있습니다.
평가 패키지를 다운로드하고 파일 cfa-events.xml 디바이스에서 쉽게 액세스할 수 있는 위치로 추출합니다.
시작 메뉴에 이벤트 뷰어를 입력하여 Windows 이벤트 뷰어 엽니다.
왼쪽 패널의 작업에서 사용자 지정 보기 가져오기...를 선택합니다.
cfa-events.xml 추출한 위치로 이동하여 선택합니다. 또는 XML을 직접 복사합니다.
확인을 선택합니다.
다음 표에서는 제어된 폴더 액세스와 관련된 이벤트를 보여 줍니다.
이벤트 ID | 설명 |
---|---|
5007 |
설정이 변경된 경우의 이벤트 |
1124 |
감사된 제어된 폴더 액세스 이벤트 |
1123 |
차단된 제어된 폴더 액세스 이벤트 |
1127 |
차단된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트 |
1128 |
감사된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트 |
보호된 폴더 목록 보기 또는 변경
Windows 보안 앱을 사용하여 제어된 폴더 액세스로 보호되는 폴더 목록을 볼 수 있습니다.
Windows 10 또는 Windows 11 디바이스에서 Windows 보안 앱을 엽니다.
바이러스 및 위협 방지를 선택합니다.
랜섬웨어 보호에서 랜섬웨어 보호 관리를 선택합니다.
제어된 폴더 액세스가 꺼져 있으면 설정해야 합니다. 보호된 폴더를 선택합니다.
다음 단계 중 하나를 실행합니다.
- 폴더를 추가하려면 + 보호된 폴더 추가를 선택합니다.
- 폴더를 제거하려면 폴더를 선택한 다음 제거를 선택합니다.
중요
로컬 공유 경로(루프백)를 보호된 폴더로 추가하지 마세요. 대신 로컬 경로를 사용합니다. 예를 들어 를 로
\\mycomputer\demo
공유C:\demo
한 경우 보호된 폴더 목록에 를 추가\\mycomputer\demo
하지 마세요. 대신 를 추가합니다C:\demo
.
Windows 시스템 폴더는 기본적으로 보호되며 목록에서 제거할 수 없습니다. 목록에 새 폴더를 추가할 때 하위 폴더도 보호에 포함됩니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.