Defender 배포 도구를 사용하여 Windows 디바이스에 Microsoft Defender 엔드포인트 보안 배포(미리 보기)

Defender 배포 도구는 Defender 엔드포인트 보안 솔루션에서 지원하는 모든 Windows 버전에 대한 온보딩을 간소화하도록 설계된 간단한 자체 업데이트 애플리케이션입니다. 이 도구는 필수 구성 요소를 처리하고, 이전 솔루션에서 마이그레이션을 자동화하며, 복잡한 온보딩 스크립트, 별도의 다운로드 및 수동 설치의 필요성을 제거합니다.

관리자는 도구의 사용자 인터페이스를 사용하여 도구를 두 번 클릭하고 대화형 설치 및 온보딩 시퀀스를 따를 수 있습니다. 대규모 배포의 경우 이 도구는 오케스트레이션 플랫폼 또는 사용자 지정 배포 도구(예: 그룹 정책)와 통합할 수 있도록 고급 명령줄 매개 변수가 있는 자동화 옵션을 제공하며, Intune 및 클라우드용 Defender와 같은 다른 Microsoft 솔루션 통합을 통해 제공되는 환경을 그대로 유지합니다.

도구에서 지원하는 기능은 다음과 같습니다.

• 필수 구성 요소 처리: 도구는 필수 업데이트를 확인하고 차단 문제를 수정하여 디바이스가 Defender 온보딩에 사용할 준비가 되도록 합니다.

• 로깅: 모든 작업은 자세한 로그에 로컬로 기록됩니다.

• 중복 설치 방지: Defender가 이미 있는 경우 도구는 중복 설치를 건너뜁니다.

• UI 피드백: 이 도구는 종료 코드 대신 오류 설명이 포함된 UI 피드백을 제공합니다.

• 수동 모드 지원: 서버 운영 체제 및 Windows 7에서 Defender 바이러스 백신 수동 모드로 설정할 수 있습니다. 이는 비 Microsoft 맬웨어 방지 솔루션에서 마이그레이션할 때 유용할 수 있습니다.

• 자동화: 이 도구는 다양한 명령줄 옵션을 지원합니다.

• 디바이스 처리: VDI(Virtual Desktop Infrastructure) 디바이스 지원은 동일한 호스트 이름 아래에 삭제되고 다시 만들어진 디바이스가 Defender 포털에서 단일 디바이스로 표시될 수 있도록 합니다.

• 도움말: 기본 제공 도움말 함수는 사용 가능한 모든 명령줄 옵션을 표시합니다.

• 구성 파일: 대량 배포를 보다 효율적이고 오류가 덜 발생하기 쉬운 재사용 가능한 구성 파일을 생성할 수 있습니다.

• 연결 없이 작업: 연결을 일시적으로 사용할 수 없는 경우 오프라인 온보딩 및 오프보딩이 가능합니다.

대화형 두 번 클릭 환경을 사용하는 경우 도구는 동일한 디렉터리에 있는 WindowsDefenderATP.onboarding 파일을 자동으로 활용합니다. 대부분의 필수 구성 요소 업데이트 및 최신 Defender 구성 요소의 설치를 처리하고 디바이스를 Defender 서비스에 연결합니다. 필요한 경우 도구는 다시 로그인한 후 설치를 완료하도록 디바이스를 다시 부팅하도록 요청합니다.

고급 및 대규모 배포의 경우 이 도구는 명령줄 매개 변수 또는 구성 파일을 통해 추가 및 오케스트레이션된 단계를 수행하는 기능을 제공합니다.

도구를 다운로드한 후 전체 명령 참조를 보려면 를 실행DefenderDT.exe -?합니다.

지원되는 운영 체제

Defender 배포 도구는 Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, 2016, 2019, 2022, 2025, Windows 10(버전 1809 이상) 및 모든 버전의 Windows 11 지원합니다.

필수 구성 요소

지원되는 모든 Windows 및 Windows Server 디바이스와 관련된 필수 구성 요소와 Windows 7 SP1 및 Windows Server 2008 R2 SP1 디바이스와 관련된 필수 구성 요소가 있습니다.

일반 필수 구성 요소

• 대부분의 작업에는 관리 권한이 필요합니다.

• 미리 보기 기능은 테넌트에서 사용하도록 설정해야 합니다.

• 도메인 definitionupdates.microsoft.com 대한 액세스. 도구가 다운로드되어 이 도메인에서 업데이트됩니다. 다운로드하는 파일은 콘텐츠 배포 플랫폼에서 호스트되므로 다른 Defender 클라우드 서비스와 달리 정적 또는 예측 가능한 IP 범위는 연결되지 않습니다.

• 도구는 진행하기 전에 특정 테넌트에 대한 연결을 위해 검사 반면, 통합된 *.endpoint.security.microsoft.com/*에 대한 액세스와 같은 기타 연결 요구 사항은 제품과 함께 사용할 수 있는 (추가) 기능에 적용됩니다. 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.

Windows 7 SP1 및 Windows Server 2008 R2 SP1에 대한 추가 필수 구성 요소

• 디바이스는 x64 버전의 Windows 7 SP1 또는 Windows Server 2008 R2 SP1을 실행해야 합니다. 다시 부팅을 방지하고 필요한 설치 시간을 크게 줄이려면 최신 업데이트를 설치하는 것이 좋습니다.

• Defender 배포 도구가 Windows 7 SP1 또는 Windows Server 2008 R2 SP1에서 실행되려면 최소한 SHA2 코드 서명에 대한 업데이트 KB4474419 설치해야 합니다.

  • SSU(서비스 스택 업데이트)(KB4490628). Windows 업데이트 사용하는 경우 필요한 SSU가 자동으로 제공됩니다.

  • SHA-2 업데이트(KB4474419)는 2019년 9월 10일 릴리스되었습니다. Windows 업데이트 사용하는 경우 필요한 SHA-2 업데이트가 자동으로 제공됩니다.

• Server 2008 R2 SP1 디바이스에서 .NET 3.5 이상 버전의 .NET 프레임워크도 설치해야 합니다.

R2 SP1은 최소한 SHA2 코드 서명에 대한 업데이트를 설치해야 합니다.

SSU(서비스 스택 업데이트)(KB4490628). Windows 업데이트 사용하는 경우 필요한 SSU가 자동으로 제공됩니다.

SHA-2 업데이트(KB4474419)는 2019년 9월 10일 릴리스되었습니다. Windows 업데이트 사용하는 경우 필요한 SHA-2 업데이트가 자동으로 제공됩니다.

도구 다운로드

1. Microsoft Defender 포털(security.microsoft.com)에서 시스템>설정>엔드포인트온보딩으로> 이동합니다.

2. 1단계 드롭다운 메뉴에서 Windows(미리 보기)를 선택합니다.

3. 패키지 또는 파일을 다운로드하고 적용하여 배포에서 패키지 다운로드 단추를 선택합니다. 그러면 Defender 실행 파일 및 온보딩 파일 패키지가 다운로드됩니다.

   

   참고

   오프보딩의 경우 디바이스 관리 섹션에서 오프보딩을 선택하고 1단계 드롭다운 메뉴에서 Windows 10 및 11을 선택한 다음 패키지 다운로드 단추를 선택합니다. 온보딩 및 오프보딩 모두에 대해 동일하기 때문에 오프보딩 파일 패키지만 다운로드합니다. Defender 배포 도구 실행 파일은 다운로드하지 않습니다.

디바이스에 Defender 엔드포인트 보안 배포

Defender 배포 도구는 대화형 또는 비대화형으로 사용할 수 있습니다.

대화형 사용

이 도구는 하나 또는 제한된 수의 디바이스에 배포하는 데 적합한 두 가지 대화형 환경을 지원합니다. 즉, 기본 동작을 변경하지 않고 "두 번 클릭" 빠른 단일 머신 온보딩 환경과 더 많은 유연성을 제공하는 수동 명령줄 환경이 있습니다.

빠른 "두 번 클릭" 기본 설치를 사용하려면 다음을 수행합니다.

1. 실행 파일을 두 번 클릭하여 시작합니다.

2. 표시되는 대화 상자에서 계속을 선택합니다.

   

   도구는 도구가 실행 중인 디렉터리에서 WindowsDefenderATP.onboarding 파일을 찾고 기본 설치 및 온보딩 작업을 수행합니다.

비대화형 사용

명령줄 인터페이스를 통해 모든 설치 및 온보딩 작업을 수동으로 수행할 수도 있습니다. 또한 명령줄 인터페이스는 필수 구성 요소 검사 실행과 같은 다양한 다른 작업을 지원합니다.

전체 명령 참조를 보려면 를 실행합니다 DefenderDT.exe -?.

고급 및 대규모 배포

Defender 배포 도구는 organization 소프트웨어 배포에 사용하는 그룹 정책, Microsoft Configuration Manager 또는 기타 도구와 같은 관리 도구에서 실행하는 오케스트레이션된 시퀀스의 일부로 비대화형으로 사용할 수 있습니다.

이를 위해 도구는 다양한 시나리오를 지원하기 위해 온보딩 작업을 사용자 지정할 수 있는 선택적 명령줄 매개 변수를 제공합니다.

사용자 환경에서 반복적인 배포 시나리오의 경우 명령줄 대신 구성 파일을 사용하여 매개 변수를 전달할 수 있습니다. 구성 파일을 생성하려면 매개 변수를 사용하여 도구를 실행합니다 -makeconfig . 파일을 만든 후 텍스트 편집기에서 열어 배포 시나리오에 맞게 옵션을 구성합니다. 사용 예제를 참조하세요.

사용 예제

다음 예제에서는 도구를 사용하는 방법을 보여 줍니다.

• 설정을 변경하지 않고 조작하지 않고 Defender 배포 도구를 실행합니다.

  DefenderDT.exe -Quiet
  

• 도구와 동일한 디렉터리에 있는 WindowsDefenderATP.onboarding 파일을 사용하여 기본 온보딩 시퀀스를 실행하고, 프록시를 통해 연결하고, 다시 부팅이 필요한 경우 묻지 않고 시작합니다. 콘솔 창을 표시하지 마세요.

  DefenderDT.exe -Proxy:192.168.0.255:8080 -AllowReboot -Quiet
  

• 네트워크 위치에 저장된 .onboarding 파일을 사용하여 온보딩 시퀀스를 수행합니다. 콘솔 창을 표시하지 마세요.

  DefenderDT.exe -File:\\server\share\Defender.onboarding -Quiet
  

• 오프보딩 작업을 수행합니다. 승인을 요청하지 마세요. 콘솔 창을 표시하지 마세요.

  DefenderDT.exe -Offboard -File:c:"\Defender deployment tooltest\WindowsDefenderATPOffboardingScript_valid_until_2025-04-02.offboarding" -YES -Quiet
  

• 필수 구성 요소 검사 수행하고 대화 상자를 표시하지 않고 자세한 출력을 표시합니다.

  DefenderDT.exe -PreCheck -Verbose -Quiet
  

• 스테이징에 사용할 업데이트 및 설치 파일을 현재 디렉터리에 다운로드합니다.

  DefenderDT.exe -Stage
  

• 구성 파일을 만들고 편집한 다음 이를 사용하여 여러 매개 변수를 도구에 전달하여 스테이징된 설치 파일을 사용하여 설치를 수행합니다.

  • 1단계: 구성 파일 생성

    DefenderDT.exe -makeconfig
    

  • 2단계: 메모장과 같은 텍스트 편집기를 사용하여 디렉터리에 만들어진 MdeConfig.txt 파일을 열고 사용하려는 매개 변수를 지정합니다. 견본:

    # Only absolute paths can be used for the parameters accepting paths
    
    # Configures the tool to perform offboarding.
    
    # Add the parameter "YES" to proceed with offboarding without user approval. 
    # Offboard: False 
    
    # Used with "Offboard" and "Uninstall" parameters. 
    # Yes: False 
    
    # Downloads the installation files for all Windows versions supported by the tool to a specific location for staging purposes. 
    # Stage: 
    
    # Specifies the path to the folder containing the installation files. To stage installation files, use the "Stage" parameter. 
    # Source: 
    
    # Specifies the full path to the .onboarding or .offboarding file if it is not placed in the current folder. 
    # File: 
    
    # Proxy to use during and after installation. Empty string by default. 
    Proxy: 
    
    # Prevents any dialogs from displaying. False by default. 
    Quiet: False 
    
    # Allows device reboots if needed. False by default 
    AllowReboot: False 
    
    # Prevents the tool from resuming activities after a reboot. False by default. 
    NoResumeAfterReboot: False 
    
    # Windows Server only. Sets Defender antivirus to run in passive mode. 
    Passive: False 
    
    # Installs updates but does not perform onboarding, even if an onboarding file is present. False by default. 
    UpdateOnly: False 
    
    # Displays detailed information. False by default. 
    Verbose: False 
    
    # Checks for prerequisites and logs results but does not proceed with installation or onboarding. False by default. 
    Precheck: False 
    
    # Offboards the device and uninstalls any components that were added during onboarding. 
    # Will use the .offboarding file in the current folder if no path was specified. 
    # Add the parameter "YES" to proceed without user approval. 
    Uninstall: False 
    
    # Optionally removes the specified workspace connection used by Microsoft Monitoring Agent (MMA). Empty string by default. 
    RemoveMMA: 
    
    # Allows offboarding to proceed even if there is no connectivity. False by default. 
    Offline: False 
    

  • 3단계: 구성 파일을 사용하여 도구를 실행합니다.

    DefenderDT.exe -File:\\server\DDT\Defenderconfig.txt
    

    MdeConfig.txt 파일이 도구와 동일한 디렉터리에 저장된 경우 경로를 지정할 필요가 없습니다.

배포에 그룹 정책 사용

다음 단계에서는 그룹 정책 사용하여 도구를 실행하는 예약된 작업을 만드는 방법을 보여줍니다.

1. 디바이스에서 액세스할 수 있는 공유 위치에 파일 DefenderDT.exe 및 WindowsDefenderATP.onboarding 을 배치합니다. 이전에 MDEConfig.txt 구성 파일을 만든 경우 동일한 위치에 배치합니다.

2. 새 그룹 정책 개체(GPO)를 만들려면 GPMC(그룹 정책 관리 콘솔)를 열고 구성하려는 그룹 정책 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택합니다. 표시되는 대화 상자에 새 GPO의 이름을 입력하고 확인을 선택합니다.

3. 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체(GPO)를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

4. 그룹 정책 관리 편집기에서 컴퓨터 구성>기본 설정>제어판 설정으로 이동합니다.

5. 예약된 작업을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 즉시 작업(Windows 7 이상)을 선택합니다.

6. 열리는 작업 창에서 일반 탭으로 이동합니다.

7. 보안 옵션에서 사용자 또는 그룹 변경을 선택하고 SYSTEM을 입력한 다음 이름 확인을 선택하고 확인을 선택합니다. NT AUTHORITY\SYSTEM 은 작업이 실행될 사용자 계정으로 나타납니다.

8. 사용자가 로그온되었는지 여부에 관계없이 실행을 선택하고 가장 높은 권한으로 실행 검사 상자를 검사.

9. 이름 필드에 예약된 작업에 대한 적절한 이름을 입력합니다.

10. 작업 탭으로 이동하여 새로 만들기를 선택합니다. 작업 필드에서 프로그램 시작을 선택했는지 확인합니다. 공유DefenderDDT.exe 애플리케이션의 파일 서버의 FQDN(정규화된 도메인 이름)을 사용하여 전체 UNC 경로를 입력합니다.

11. 인수 추가(선택 사항) 필드에 사용하려는 매개 변수를 입력합니다. 예를 들어 도구의 작업 디렉터리에 없는 온보딩 파일을 사용하려면 온보딩 파일에 대한 전체 UNC 경로가 있는 -file: 매개 변수를 지정합니다(예 -file: \\server\share\WindowsDefenderATP.onboarding: ).

12. 확인을 선택하고 열려 있는 GPMC 창을 닫습니다.

13. GPO를 OU(조직 구성 단위)에 연결하려면 마우스 오른쪽 단추를 클릭하고 기존 GPO 연결을 선택합니다. 표시되는 대화 상자에서 연결할 그룹 정책 개체를 선택하고 확인을 선택합니다.

고려 사항 및 제한 사항

일반적인 고려 사항 및 제한 사항 및 Windows 7 SP1 및 Windows Server 2008 R2 SP1 디바이스와 관련된 추가 고려 사항 및 제한 사항은 아래에 설명되어 있습니다.

일반적인 고려 사항 및 제한 사항

• 대화형 환경을 사용하고 시퀀스를 완료하려면 다시 부팅해야 하는 경우 다시 부팅한 후 다시 로그인해야 다시 시작합니다. 그렇지 않으면 디바이스가 완전히 온보딩되지 않습니다.

• -proxy 매개 변수를 사용하는 경우 Defender 배포 도구 작업에만 적용됩니다. 명령줄 도움말 참조의 매개 변수 설명에도 불구하고 설치 후 사용할 Defender 엔드포인트 보안에 대한 레지스트리의 프록시 구성을 설정하지 않습니다. 도구와 Defender는 시스템 전체(Windows) 수준에서 구성된 프록시를 모두 사용합니다. 시스템 전체에서가 아니라 컴퓨터(정적 프록시)의 Defender 엔드포인트 보안 서비스에 사용할 프록시를 구체적으로 구성하려면 프록시를 사용하여 엔드포인트용 Defender 서비스에 연결하도록 디바이스 구성을 참조하세요.

• Windows Server 2016 이상에서는 Defender 바이러스 백신 기능이 제거되었거나 제거되면 기능 'Windows-Defender' 사용 단계에서 오류가 발생할 수 있습니다. 이는 사용자 인터페이스의 로컬 로그, 종료 코드 710이 있는 시퀀스 완료 및 EnableFeatureFailed 오류 설명에서 관찰할 수 있습니다. 로컬 로그에서 참조된 어셈블리를 찾을 수 0x3701 설명과 함께 오류 14081을 찾을 수도 있습니다. 이 오류는 일반적으로 온보딩 도구에서 해결되기 때문에 Defender 바이러스 백신 기능 또는 원본 파일의 문제를 나타내지 않습니다. 이 문제가 발생하는 경우 Windows Server에 대한 지원 사례를 엽니다.

Windows 7 SP1 및 Windows Server 2008 R2 SP1의 알려진 문제 및 제한 사항

• mpcmdrun.exe또는mssense.exempclient.dll, mpcommu.dll, mpsvc.dll, msmplics.dll및 sense1ds.dll 대한 경고를 받을 수 있습니다. 시간이 지남에 따라 resolve 합니다.

• Windows 7 SP1 및 데스크톱 환경 팩이 설치된 Windows Server 2008 R2 SP1에서 Windows가 이 컴퓨터에서 바이러스 백신 소프트웨어를 찾지 못했다는 알림이 표시될 수 있습니다. 이것은 문제를 나타내는 것이 아닙니다.

• 클라이언트 분석기 도구의 미리 보기("베타") 버전을 사용하여 로그를 수집하고 Windows 7 SP1 및 Windows Server 2008 R2 SP1에서 연결 문제 해결을 수행할 수 있습니다. PowerShell 5.1 이상을 설치해야 합니다.

• 바이러스 백신에 대한 로컬 사용자 인터페이스가 없습니다. PowerShell을 사용하여 로컬로 바이러스 백신 설정을 관리하려면 버전 5.1 이상이 필요합니다.

• 그룹 정책 통한 구성은 도메인 컨트롤러에서 업데이트된 그룹 정책 템플릿이 있는 중앙 저장소를 사용하여 지원됩니다. 로컬 그룹 정책 구성의 경우 로컬 그룹 정책 편집기를 사용하여 설정을 적용하려면 템플릿(WindowsDefender.admx/WindowsDefender.adml)을 최신 버전(Windows 11)으로 수동으로 업데이트해야 합니다.

• Defender 엔드포인트 보안 솔루션이 에 설치됩니다. C:\Program Files\Microsoft Defender for Endpoint

• Windows 7 디바이스는 KB5005292 적용하여 최신 Sense 버전으로 업데이트할 때까지 포털에서 서버 로 표시될 수 있습니다.

• -passive 매개 변수를 Defender 배포 도구에 전달하여 Windows 7에서 Defender 바이러스 백신 수동 모드로 전환할 수 있습니다. 그러나 현재는 Windows 서버와 같은 ForceDefenderPassiveMode 레지스트리 키를 사용하여 나중에 활성 모드로 전환할 수 없습니다. 활성 모드로 전환하려면 오프보딩 및 제거한 다음 수동 모드 매개 변수 없이 Defender 배포 도구를 다시 실행해야 합니다.

문제 해결

Defender 배포 도구 로그를 참조하여 설치 및 온보딩 중에 문제가 있는지 파악할 수 있습니다. 배포 도구 로그는 다음 위치에 있습니다.

C:\ProgramData\Microsoft\DefenderDeploymentTool\DefenderDeploymentTool-<COMPUTERNAME>.log

이벤트는 다음 Windows 이벤트 로그에도 기록됩니다.

• 온보딩: Windows 로그 > 애플리케이션 > 원본: WDATPOnboarding

• 오프보딩: Windows 로그 > 애플리케이션 > 원본: WDATPOffboarding

설치에 성공했는지 테스트하려면 다음 검사를 수행합니다.

1. 서비스가 실행 중인지 확인

   Sc.exe query sense
Sc.exe query windefend

   두 서비스에 대해 다음과 유사한 항목이 표시됩니다.

   

2. 설정 및 기타 정보를 포함하여 Defender 바이러스 백신 대한 자세한 로그 수집의 경우 다음 명령을 실행할 수 있습니다.

   C:\Program Files\Microsoft Defender for Endpoint\MpCmdRun.exe” -GetFiles -SupportLogLocation <FOLDEROFCHOICE>

   클라이언트 분석기 도구의 최신 미리 보기 버전을 사용하여 로그를 수집하고 Windows 7 SP1 및 Windows Server 2008 R2 SP1에서 연결 문제 해결을 수행할 수도 있습니다. PowerShell 5.1 이상을 설치해야 합니다.

관련 콘텐츠

• Windows 7 SP1 및 Windows Server 2008 R2 SP1 디바이스용 Defender 엔드포인트 보안 솔루션 배포