Windows 10(이상) 및 Windows Server 2016(이상)에서는 Microsoft Defender 바이러스 백신에서 제공하는 차세대 보호 기능을 악용 방지와 함께 사용할 수 있습니다.
이 문서에서는 익스플로잇 보호를 사용하여 Microsoft Defender 바이러스 백신의 주요 보호 기능을 사용하도록 설정하고 테스트하는 방법을 설명하고 자세한 정보에 대한 지침과 링크를 제공합니다.
평가 PowerShell 스크립트를 사용하여 이러한 기능을 구성하는 것이 좋지만 이 문서의 나머지 부분에 설명된 cmdlet을 사용하여 각 기능을 개별적으로 사용하도록 설정할 수 있습니다.
엔드포인트 보호 제품 및 서비스에 대한 자세한 내용은 다음 리소스를 참조하세요.
- 차세대 보호 개요
- Windows의 Microsoft Defender 바이러스 백신
- Windows Server의 Microsoft Defender 바이러스 백신
- 악용으로부터 장치 보호
이 문서에서는 Windows 10 이상 및 Windows Server 2016 이상의 구성 옵션에 대해 설명합니다. 바이러스 백신을 Microsoft Defender 검색에 대한 질문이 있거나 누락된 검색을 발견한 경우 샘플 제출 도움말 사이트에서 파일을 제출할 수 있습니다.
PowerShell을 사용하여 기능 사용
이 가이드에서는 보호를 평가하는 데 사용해야 하는 기능을 구성하는 Microsoft Defender 바이러스 백신 cmdlet을 제공합니다.
이러한 cmdlet을 사용하려면 관리자 권한으로 PowerShell을 열고 명령을 실행한 다음 Enter 키를 누릅니 다.
시작하기 전에 또는 평가 중에 Get-MpPreference PowerShell cmdlet을 사용하거나 PowerShell 갤러리 DefenderEval 모듈을 설치한 다음 명령을 사용하여 Get-DefenderEvaluationReport 모든 설정의 상태 검사 수 있습니다.
Microsoft Defender 바이러스 백신은 표준 Windows 알림을 통해 검색을 나타냅니다. Microsoft Defender 바이러스 백신 앱에서 검색을 검토할 수도 있습니다.
Windows 이벤트 로그는 검색 및 엔진 이벤트도 기록합니다. 이벤트 ID 및 해당 작업의 목록은 Microsoft Defender 바이러스 백신 이벤트 문서를 참조하세요.
클라우드 보호 기능
Standard 정의 업데이트는 준비하고 제공하는 데 몇 시간이 걸릴 수 있습니다. 클라우드 제공 보호 서비스는 몇 초 만에 이 보호를 제공할 수 있습니다.
자세한 내용은 클라우드 보호 및 Microsoft Defender 바이러스 백신을 참조하세요.
| 설명 | PowerShell 명령 |
|---|---|
| Microsoft Defender Cloud를 사용하여 즉시 보호 및 보호 강화 | Set-MpPreference -MAPSReporting Advanced |
| 그룹 보호를 강화하기 위해 샘플을 자동으로 제출합니다. | Set-MpPreference -SubmitSamplesConsent Always |
| 항상 클라우드를 사용하여 몇 초 내에 새 맬웨어 차단 | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| 다운로드한 모든 파일 및 첨부 파일 검사 | Set-MpPreference -DisableIOAVProtection 0 |
| 클라우드 블록 수준을 높음으로 설정 | Set-MpPreference -CloudBlockLevel High |
| 높은 클라우드 블록 제한 시간을 1분으로 설정 | Set-MpPreference -CloudExtendedTimeout 50 |
상시 보호(실시간 검사)
Microsoft Defender 바이러스 백신은 Windows에서 표시되는 즉시 파일을 검사하고, 실행 중인 모든 프로세스에서 알려지거나 의심되는 악성 동작을 모니터링합니다. 바이러스 백신 엔진이 악의적인 수정을 검색하는 경우 프로세스 또는 파일이 실행되지 않도록 즉시 차단합니다.
이러한 옵션에 대한 자세한 내용은 동작, 추론 및 실시간 보호 구성을 참조하세요.
| 설명 | PowerShell 명령 |
|---|---|
| 알려진 맬웨어 수정에 대한 파일 및 프로세스를 지속적으로 모니터링 | Set-MpPreference -DisableRealtimeMonitoring 0 |
| 위협으로 간주되지 않는 파일과 프로그램을 실행하는 경우에도 알려진 맬웨어 동작을 지속적으로 모니터링합니다. | Set-MpPreference -DisableBehaviorMonitoring 0 |
| 스크립트를 보거나 실행하는 즉시 검사 | Set-MpPreference -DisableScriptScanning 0 |
| 이동식 드라이브가 삽입되거나 탑재되는 즉시 스캔 | Set-MpPreference -DisableRemovableDriveScanning 0 |
사용자 동의 없이 설치된 애플리케이션 보호
잠재적으로 원치 않는 애플리케이션은 전통적으로 악성으로 분류되지 않은 파일 및 앱입니다. 이러한 애플리케이션에는 일반적인 소프트웨어, 광고 삽입 및 브라우저의 특정 유형의 도구 모음에 대한 비 Microsoft 설치 관리자가 포함됩니다.
| 설명 | PowerShell 명령 |
|---|---|
| 그레이웨어, adware 및 기타 원치 않는 앱이 설치되지 않도록 방지 | Set-MpPreference -PUAProtection Enabled |
Email 및 보관 검사
Microsoft Defender 바이러스 백신을 설정하여 Windows에서 볼 때 특정 유형의 전자 메일 파일 및 보관 파일(예: .zip 파일)을 자동으로 검색할 수 있습니다. 자세한 내용은 Microsoft Defender 관리되는 전자 메일 검사를 참조하세요.
| 설명 | PowerShell 명령 |
|---|---|
| 전자 메일 파일 및 보관 파일 검사 |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
제품 및 보호 업데이트 관리
일반적으로 하루에 한 번 Windows 업데이트에서 Microsoft Defender 바이러스 백신 업데이트를 받습니다. 그러나 다음 옵션을 설정하고 System Center Configuration Manager, 그룹 정책 또는 Intune에서 업데이트를 관리하도록 하여 해당 업데이트의 빈도를 늘릴 수 있습니다.
| 설명 | PowerShell 명령 |
|---|---|
| 매일 서명 업데이트 | Set-MpPreference -SignatureUpdateInterval |
| 예약된 검사를 실행하기 전에 서명을 업데이트하도록 확인 | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
고급 위협 및 악용 완화 및 방지 제어된 폴더 액세스
익스플로잇 보호는 알려진 악성 동작 및 취약한 기술에 대한 공격으로부터 디바이스를 보호하는 데 도움이 되는 기능을 제공합니다.
| 설명 | PowerShell 명령 |
|---|---|
| 악성 및 의심스러운 앱(예: 랜섬웨어)이 제어된 폴더 액세스를 사용하여 보호된 폴더를 변경하지 못하도록 방지 | Set-MpPreference -EnableControlledFolderAccess Enabled |
| 네트워크 보호를 사용하여 알려진 잘못된 IP 주소 및 기타 네트워크 연결에 대한 연결 차단 | Set-MpPreference -EnableNetworkProtection Enabled |
| Exploit Protection을 사용하여 표준 완화 집합 적용 | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| 공격 표면 감소로 알려진 악성 공격 벡터 차단 | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
일부 규칙은 organization 허용 가능한 동작을 차단할 수 있습니다. 이러한 경우 규칙을 에서 로 EnabledAudit 변경하여 원치 않는 블록을 방지합니다.
변조 방지 사용
Microsoft Defender 포털에서 설정>엔드포인트>고급 기능>변조 방지>켜기로 이동합니다.
자세한 내용은 변조 방지 구성 또는 관리를 어떻게 할까요? 참조하세요.
Cloud Protection 네트워크 연결 확인
펜 테스트 중에 Cloud Protection 네트워크 연결이 작동하는지 검사 것이 중요합니다. 명령 프롬프트를 관리자로 사용하여 다음 명령을 실행합니다.
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
자세한 내용은 cmdline 도구를 사용하여 클라우드 제공 보호의 유효성 검사를 참조하세요.
오프라인 검사를 Microsoft Defender 한 가지 선택
Microsoft Defender 오프라인 검사는 Windows 10 이상과 함께 제공되는 특수 도구이며, 컴퓨터를 일반 운영 체제 외부의 전용 환경으로 부팅할 수 있습니다. 루트킷과 같은 강력한 맬웨어에 특히 유용합니다.
자세한 내용은 오프라인으로 Microsoft Defender 참조하세요.
| 설명 | PowerShell 명령 |
|---|---|
| 알림을 통해 디바이스를 특수한 맬웨어 제거 환경으로 부팅할 수 있는지 확인 | Set-MpPreference -UILockdown 0 |