제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. 제어된 폴더 액세스는 Windows 10, Windows 11 및 Windows Server 2019에 포함됩니다. 제어된 폴더 액세스는 Windows Server 2012R2 및 2016용 최신 통합 솔루션의 일부로도 포함됩니다.
다음 방법 중 하나라도 사용하여 제어된 폴더 액세스를 사용하도록 설정할 수 있습니다.
필수 구성 요소
지원되는 운영 체제
Windows:
의 Microsoft Intune 관리 센터에서 https://intune.microsoft.com엔드포인트 보안>공격 노출 영역 감소관리>로 이동합니다. 또는 엔드포인트 보안으로 직접 이동하려면 | 공격 표면 감소 페이지에서 를 사용합니다 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr.
엔드포인트 보안의 정책 탭 에서 | 공격 표면 감소 페이지에서 정책 만들기를 선택합니다.
열리는 프로필 플라이아웃 만들기 에서 다음 설정을 구성합니다.
- 플랫폼: Windows를 선택합니다.
- 프로필: 공격 표면 감소 규칙을 선택합니다.
만들기를 선택합니다.
정책 만들기 마법사가 열립니다. 기본 사항 탭에서 다음 설정을 구성합니다.
- 이름: 정책을 설명하는 고유한 이름을 입력합니다.
- 설명: 선택적 설명을 입력합니다.
다음을 선택합니다.
구성 설정 탭에서 제어된 폴더 액세스 사용 섹션까지 아래로 스크롤하여 다음 설정을 구성했습니다.
구성되지 않음 상자에서 감사 모드를 선택합니다.
먼저 감사 모드에서 제어된 폴더 액세스를 사용하도록 설정하여 organization 작동 방식을 확인하는 것이 좋습니다. 나중에 사용과 같은 다른 모드로 설정할 수 있습니다.
제어된 폴더 액세스 보호된 폴더: 필요에 따라 보호되는 폴더를 추가합니다. 이러한 폴더의 파일은 신뢰할 수 없는 애플리케이션에서 수정하거나 삭제할 수 없습니다. 기본 시스템 폴더는 자동으로 보호됩니다. Windows 디바이스의 Windows 보안 앱에서 기본 시스템 폴더 목록을 볼 수 있습니다. 이 설정에 대한 자세한 내용은 정책 CSP - Defender: ControlledFolderAccessProtectedFolders를 참조하세요.
제어된 폴더 액세스 허용 애플리케이션: 필요에 따라 보호된 폴더에 액세스하도록 신뢰할 수 있는 애플리케이션을 추가합니다. Microsoft Defender 바이러스 백신은 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 이 설정만 사용하여 더 많은 애플리케이션을 지정합니다. 이 설정에 대한 자세한 내용은 정책 CSP - Defender: ControlledFolderAccessAllowedApplications를 참조하세요.
구성 설정 탭을 마쳤으면 다음을 선택합니다.
범위 태그 탭에서 기본값이라는 scope 태그는 기본적으로 선택되지만 제거한 후 다른 기존 scope 태그를 선택할 수 있습니다. 완료되면 다음을 선택합니다.
할당 탭에서 상자를 클릭하고 모든 사용자를 선택하고 상자를 다시 클릭한 다음 모든 디바이스를 선택합니다. 대상 형식 값이 둘 다에 대해 포함인지 확인한 다음, 다음을 선택합니다.
검토 + 만들기 탭에서 설정을 확인한 다음 저장을 선택합니다.
참고
와일드카드는 애플리케이션에 대해 지원되지만 폴더에는 지원되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.
MDM(모바일 장치 관리)
./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.
Microsoft Configuration Manager
Microsoft Configuration Manager 자산 및 규정 준수>엔드포인트 보호>Windows Defender Exploit Guard로 이동합니다.
홈>만들기 Exploit Guard 정책을 선택합니다.
이름 및 설명을 입력하고 , 제어된 폴더 액세스를 선택하고, 다음을 선택합니다.
변경 내용을 차단하거나 감사할지, 다른 앱을 허용할지 또는 다른 폴더를 추가할지를 선택하고 다음을 선택합니다.
참고
와일드카드는 애플리케이션에서 지원되지만 폴더에는 지원되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.
설정을 검토하고 다음 을 선택하여 정책을 만듭니다.
정책을 만든 후 닫습니다.
Microsoft Configuration Manager 및 제어된 폴더 액세스에 대한 자세한 내용은 제어된 폴더 액세스 정책 및 옵션을 참조하세요.
그룹 정책
그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 엽니다. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.
트리를 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 제어 폴더 액세스로 확장합니다.
제어된 폴더 액세스 구성 설정을 두 번 클릭하고 옵션을 사용으로 설정합니다. 옵션 섹션에서 다음 옵션 중 하나를 지정해야 합니다.
- 사용 - 악의적이고 의심스러운 앱은 보호된 폴더의 파일을 변경할 수 없습니다. Windows 이벤트 로그에 알림이 제공됩니다.
- 사용 안 함(기본값) - 제어된 폴더 액세스 기능이 작동하지 않습니다. 모든 앱은 보호된 폴더의 파일을 변경할 수 있습니다.
- 감사 모드 - 악의적이거나 의심스러운 앱이 보호된 폴더의 파일을 변경하려고 하면 변경이 허용됩니다. 그러나 organization 미치는 영향을 평가할 수 있는 Windows 이벤트 로그에 기록됩니다.
- 디스크 수정만 차단 - 신뢰할 수 없는 앱이 디스크 섹터에 쓰려는 시도는 Windows 이벤트 로그에 기록됩니다. 이러한 로그는 애플리케이션 및 서비스 로그> Microsoft > Windows > Defender > 운영 > ID 1123에서 찾을 수 있습니다.
- 디스크 수정만 감사 - 보호된 디스크 섹터에 대한 쓰기 시도만 Windows 이벤트 로그에 기록됩니다( 애플리케이션 및 서비스 로그>Microsoft>Windows>Defender>운영>ID 1124 아래). 보호된 폴더의 파일을 수정하거나 삭제하려는 시도는 기록되지 않습니다.
중요
제어된 폴더 액세스를 완전히 사용하도록 설정하려면 그룹 정책 옵션을 사용으로 설정하고 옵션 드롭다운 메뉴에서 차단을 선택해야 합니다.
PowerShell
시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.
다음 명령을 실행합니다.
Set-MpPreference -EnableControlledFolderAccess Enabled대신
Enabled를 지정AuditMode하여 감사 모드에서 기능을 사용하도록 설정할 수 있습니다. 을 사용하여Disabled기능을 끕니다.
자세한 구문 및 매개 변수 정보는 EnableControlledFolderAccess를 참조하세요.
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.