2단계: 프록시를 사용하여 엔드포인트용 Defender 서비스에 연결하도록 디바이스 구성
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
중요
IPv6 전용 트래픽에 대해 구성된 디바이스는 지원되지 않습니다.
엔드포인트용 Defender 센서를 사용하려면 Microsoft Windows HTTP(WinHTTP)가 센서 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신해야 합니다. 포함된 엔드포인트용 Defender 센서는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다.
팁
앞으로 프록시를 인터넷의 게이트웨이로 사용하는 조직의 경우 네트워크 보호를 사용하여 전방 프록시 뒤에서 발생하는 연결 이벤트를 조사할 수 있습니다.
WinHTTP 구성 설정은 Windows 인터넷(WinINet) 검색 프록시 설정과 독립적입니다( WinINet 및 WinHTTP 참조). 다음 검색 방법을 사용하여 프록시 서버를 검색할 수 있습니다.
자동 검색 방법:
투명한 프록시
WPAD(웹 프록시 자동 검색) 프로토콜
참고
네트워크 토폴로지에서 투명한 프록시 또는 WPAD를 사용하는 경우 특별한 구성 설정이 필요하지 않습니다.
수동 정적 프록시 구성:
레지스트리 기반 구성
netsh 명령을 사용하여 구성된 WinHTTP: 안정적인 토폴로지의 데스크톱에만 적합합니다(예: 동일한 프록시 뒤에 있는 회사 네트워크의 데스크톱).
참고
Defender 바이러스 백신 및 EDR 프록시를 독립적으로 설정할 수 있습니다. 다음 섹션에서는 이러한 차이점을 알고 있어야 합니다.
레지스트리 기반 정적 프록시를 사용하여 프록시 서버를 수동으로 구성합니다.
컴퓨터가 인터넷에 연결할 수 없는 경우 진단 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신하도록 EDR(엔드포인트 검색 및 응답용 Defender) 센서에 대한 레지스트리 기반 정적 프록시를 구성합니다.
참고
Windows 10 또는 Windows 11 또는 Windows Server 2019 또는 Windows Server 2022에서 이 옵션을 사용하는 경우 다음(이상) 빌드 및 누적 업데이트 롤업을 수행하는 것이 좋습니다.
- Windows 11
- Windows 10, 버전 1809 또는 Windows Server 2019 또는 Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, 버전 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, 버전 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, 버전 20H2 -https://support.microsoft.com/kb/4601382
이러한 업데이트는 CnC(명령 및 제어) 채널의 연결성과 안정성을 향상시킵니다.
정적 프록시는 GP(그룹 정책)를 통해 구성할 수 있습니다. 그룹 정책 값의 두 설정은 모두 EDR을 사용하기 위해 프록시 서버에 구성되어야 합니다. 그룹 정책은 관리 템플릿에서 사용할 수 있습니다.
관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 서비스에 대한 인증된 프록시 사용 구성
사용하도록 설정하고 인증된 프록시 사용 안 함을 선택합니다.
관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 구성:
프록시를 구성합니다.
| 그룹 정책 | 레지스트리 키 | 레지스트리 항목 | 값 |
|---|---|---|---|
| 연결된 사용자 환경 및 원격 분석 서비스에 대해 인증된 프록시 사용량 구성 | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1(REG_DWORD) |
| 연결된 사용자 환경 및 원격 분석 구성 | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port 예: 10.0.0.6:8080 (REG_SZ) |
참고
완전히 오프라인 상태인 디바이스에서 'TelemetryProxyServer' 설정을 사용하는 경우 운영 체제가 온라인 인증서 해지 목록 또는 Windows 업데이트 연결할 수 없음을 의미하며, 값1이 인 추가 레지스트리 설정을 PreferStaticProxyForHttpRequest 추가해야 합니다.
"PreferStaticProxyForHttpRequest"의 부모 레지스트리 경로 위치는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"입니다.
다음 명령을 사용하여 레지스트리 값을 올바른 위치에 삽입할 수 있습니다.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
위의 레지스트리 값은 MsSense.exe 버전 10.8210.* 이상 또는 버전 10.8049.* 이상부터만 적용됩니다.
Microsoft Defender 바이러스 백신에 대한 정적 프록시 구성
Microsoft Defender 바이러스 백신 클라우드 제공 보호는 새로운 위협과 새로운 위협에 대해 거의 즉각적이고 자동화된 보호를 제공합니다. Defender 바이러스 백신이 활성 맬웨어 방지 솔루션인 경우 사용자 지정 지표 에 연결이 필요합니다. 블록 모드의 EDR의 경우 타사 솔루션을 사용할 때 기본 맬웨어 방지 솔루션이 있습니다.
관리 템플릿에서 사용할 수 있는 그룹 정책 사용하여 정적 프록시를 구성합니다.
관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 서버를 정의합니다.
사용하도록 설정하고 프록시 서버를 정의합니다. URL에는 http:// 또는 https:// 있어야 합니다. https:// 지원되는 버전은 Microsoft Defender 바이러스 백신 업데이트 관리를 참조하세요.
레지스트리 키
HKLM\Software\Policies\Microsoft\Windows Defender아래에서 정책은 레지스트리 값을ProxyServerREG_SZ 설정합니다.레지스트리 값
ProxyServer은 다음 문자열 형식을 사용합니다.<server name or ip>:<port>
참고
완전히 오프라인 상태인 디바이스에서 정적 프록시 설정을 사용하는 경우 운영 체제가 온라인 인증서 해지 목록 또는 Windows 업데이트 연결할 수 없음을 의미하며, dword 값이 0인 추가 레지스트리 설정 SSLOptions를 추가해야 합니다. "SSLOptions"의 부모 레지스트리 경로 위치는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"입니다.
복원력 목적과 클라우드 제공 보호의 실시간 특성을 위해 Microsoft Defender 바이러스 백신은 마지막으로 알려진 작업 프록시를 캐시합니다. 프록시 솔루션이 SSL 검사를 수행하지 않는지 확인합니다. 이렇게 하면 보안 클라우드 연결이 끊어질 수 있습니다.
Microsoft Defender 바이러스 백신은 정적 프록시를 사용하여 업데이트를 다운로드하기 위해 Windows 업데이트 또는 Microsoft 업데이트에 연결하지 않습니다. 대신 Windows 업데이트 사용하도록 구성된 경우 시스템 차원의 프록시를 사용하거나 구성된 대체 순서에 따라 구성된 내부 업데이트 원본을 사용합니다.
필요한 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 자동 구성 정의(.pac)를 사용할 수 있습니다. 여러 프록시를 사용하여 고급 구성을 설정해야 하는 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 > 백신 주소 정의를 사용하여 프록시 서버를 우회하고 Microsoft Defender 바이러스 백신이 해당 대상에 프록시 서버를 사용하지 못하도록 방지합니다.
cmdlet과 함께 PowerShell을 Set-MpPreference 사용하여 다음 옵션을 구성할 수 있습니다.
- ProxyBypass
- ProxyPacUrl
- ProxyServer
참고
프록시를 올바르게 사용하려면 다음 세 가지 프록시 설정을 구성합니다.
- 엔드포인트용 Microsoft Defender(MDE)
- AV(바이러스 백신)
- EDR(엔드포인트 검색 및 응답)
netsh 명령을 사용하여 수동으로 프록시 서버 구성
netsh를 사용하여 시스템 전체의 정적 프록시를 구성합니다.
참고
- 이는 Windows 서비스를 포함하여 기본 프록시로 WinHTTP를 사용하는 모든 응용 프로그램에 영향을 미칩니다.
승격된 명령줄을 열기:
- 시작 (으)로 이동하고 cmd를 입력하십시오.
- 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.
다음 명령을 입력하고 Enter를 누릅니다.
netsh winhttp set proxy <proxy>:<port>예:
netsh winhttp set proxy 10.0.0.6:8080
winhttp 프록시를 재설정하려면 다음 명령을 입력하고 Enter를 누릅니다.
netsh winhttp reset proxy
자세한 내용은 Netsh 명령 구문, 컨텍스트 및 포맷을 참조하십시오.
다음 단계
3단계: 엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결 확인
관련 문서
- 연결이 끊긴 환경, 프록시 및 엔드포인트용 Microsoft Defender
- 그룹 정책 설정을 사용하여 Microsoft Defender 바이러스 백신 구성 및 관리
- 그룹 정책을 통한 Windows 장치 온보딩
- 엔드포인트용 Microsoft Defender 온보딩 문제 해결
- 엔드포인트용 Microsoft Defender 인터넷에 액세스할 수 없는 디바이스 온보딩
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기