Exploit Guard 정책 만들기 및 배포
적용 대상: Configuration Manager(현재 분기)
Windows Defender Exploit Guard의 네 가지 구성 요소를 모두 관리하는 Configuration Manager 정책을 구성하고 배포할 수 있습니다. 이러한 구성 요소는 다음과 같습니다.
- 공격 표면 감소
- 제어된 폴더 액세스
- 악용 방지
- 네트워크 보호
Exploit Guard 정책 배포에 대한 규정 준수 데이터는 Configuration Manager 콘솔 내에서 사용할 수 있습니다.
참고
Configuration Manager 기본적으로 이 선택적 기능을 사용하도록 설정하지 않습니다. 이 기능을 사용하려면 먼저 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 업데이트에서 선택적 기능 사용을 참조하세요.
필수 구성 요소
관리 디바이스는 Windows 10 1709 이상을 실행해야 합니다. 최소 Windows Server 빌드는 Server 2019까지만 버전 1809 이상입니다. 구성된 구성 요소 및 규칙에 따라 다음 요구 사항도 충족해야 합니다.
| Exploit Guard 구성 요소 | 추가 필수 구성 요소 |
|---|---|
| 공격 표면 감소 | 디바이스에는 항상 엔드포인트용 Microsoft Defender 보호가 활성화되어 있어야 합니다. |
| 제어된 폴더 액세스 | 디바이스에는 항상 엔드포인트용 Microsoft Defender 보호가 활성화되어 있어야 합니다. |
| 악용 방지 | 없음 |
| 네트워크 보호 | 디바이스에는 항상 엔드포인트용 Microsoft Defender 보호가 활성화되어 있어야 합니다. |
Exploit Guard 정책 만들기
Configuration Manager 콘솔에서 자산 및 규정 준수>Endpoint Protection으로 이동한 다음 Exploit Guard Windows Defender 클릭합니다.
홈 탭의 만들기 그룹에서 악용 정책 만들기를 클릭합니다.
구성 항목 만들기 마법사의 일반 페이지에서 구성 항목에 대한 이름 및 선택적 설명을 지정합니다.
다음으로, 이 정책을 사용하여 관리하려는 Exploit Guard 구성 요소를 선택합니다. 선택한 각 구성 요소에 대해 추가 세부 정보를 구성할 수 있습니다.
- 공격 표면 감소: 차단하거나 감사하려는 Office 위협, 스크립팅 위협 및 전자 메일 위협을 구성합니다. 이 규칙에서 특정 파일 또는 폴더를 제외할 수도 있습니다.
- 제어된 폴더 액세스: 차단 또는 감사를 구성한 다음, 이 정책을 무시할 수 있는 앱을 추가합니다. 기본적으로 보호되지 않는 추가 폴더를 지정할 수도 있습니다.
- 익스플로잇 보호: 시스템 프로세스 및 앱의 악용을 완화하기 위한 설정이 포함된 XML 파일을 지정합니다. Windows 10 이상 디바이스의 Windows Defender Security Center 앱에서 이러한 설정을 내보낼 수 있습니다.
- 네트워크 보호: 네트워크 보호를 설정하여 의심스러운 도메인에 대한 액세스를 차단하거나 감사합니다.
마법사를 완료하여 나중에 디바이스에 배포할 수 있는 정책을 만듭니다.
경고
악용 방지를 위한 XML 파일은 컴퓨터 간에 전송할 때 안전하게 유지되어야 합니다. 파일을 가져온 후 삭제하거나 안전한 위치에 보관해야 합니다.
Exploit Guard 정책 배포
Exploit Guard 정책을 만든 후 Exploit Guard 정책 배포 마법사를 사용하여 배포합니다. 이렇게 하려면 자산 및 규정 준수>Endpoint Protection에 대한 Configuration Manager 콘솔을 연 다음 Exploit Guard 정책 배포를 클릭합니다.
중요
공격 표면 감소 또는 제어된 폴더 액세스와 같은 Exploit Guard 정책을 배포하면 배포를 제거하면 Exploit Guard 설정이 클라이언트에서 제거되지 않습니다. Delete not supported 는 클라이언트의 Exploit Guard 배포를 제거하는 경우 클라이언트의 ExploitGuardHandler.log 기록됩니다. 다음 PowerShell 스크립트는 SYSTEM 컨텍스트에서 실행하여 이러한 설정을 제거할 수 있습니다.
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Exploit Guard 정책 설정 Windows Defender
공격 표면 감소 정책 및 옵션
공격 표면 감소는 Office, 스크립트 및 메일 기반 맬웨어에서 사용하는 벡터를 중지하는 지능형 규칙으로 애플리케이션의 공격 표면을 줄일 수 있습니다. 공격 표면 감소 및 이를 위해 사용되는 이벤트 ID에 대해 자세히 알아봅니다.
공격 표면 감소 규칙에서 제외할 파일 및 폴더 - 설정을 클릭하고 제외할 파일 또는 폴더를 지정합니다.
Email 위협:
- 전자 메일 클라이언트 및 웹 메일에서 실행 가능한 콘텐츠를 차단합니다.
- 구성되지 않음
- 차단
- 감사
- 전자 메일 클라이언트 및 웹 메일에서 실행 가능한 콘텐츠를 차단합니다.
Office 위협:
- Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단합니다.
- 구성되지 않음
- 차단
- 감사
- Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단합니다.
- 구성되지 않음
- 차단
- 감사
- Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단합니다.
- 구성되지 않음
- 차단
- 감사
- Office 매크로의 Win32 API 호출을 차단합니다.
- 구성되지 않음
- 차단
- 감사
- Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단합니다.
위협 스크립팅:
- JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단합니다.
- 구성되지 않음
- 차단
- 감사
- 잠재적으로 난독 처리된 스크립트의 실행을 차단합니다.
- Not Configured
- 차단
- 감사
- JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단합니다.
랜섬웨어 위협: (Configuration Manager 버전 1802부터)
- 랜섬웨어에 대해 고급 보호를 사용합니다.
- 구성되지 않음
- 차단
- 감사
- 랜섬웨어에 대해 고급 보호를 사용합니다.
운영 체제 위협: (Configuration Manager 버전 1802부터)
- Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용을 차단합니다.
- 구성되지 않음
- 차단
- 감사
- 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일이 실행되지 않도록 차단합니다.
- 구성되지 않음
- 차단
- 감사
- Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용을 차단합니다.
외부 디바이스 위협: (Configuration Manager 버전 1802부터)
- USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스를 차단합니다.
- 구성되지 않음
- 차단
- 감사
- USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스를 차단합니다.
제어된 폴더 액세스 정책 및 옵션
파일 암호화 랜섬웨어 맬웨어를 포함하여 악의적이고 의심스러운 앱의 변경 내용으로부터 키 시스템 폴더의 파일을 보호할 수 있습니다. 자세한 내용은 제어된 폴더 액세스 및 사용하는 이벤트 ID를 참조하세요.
- 제어된 폴더 액세스 구성:
- 차단
- 디스크 섹터만 차단(Configuration Manager 버전 1802부터)
- 제어된 폴더 액세스를 부팅 섹터에 대해서만 사용하도록 설정하고 특정 폴더 또는 기본 보호된 폴더의 보호를 사용하도록 설정하지 않습니다.
- 감사
- 디스크 섹터만 감사(Configuration Manager 버전 1802부터)
- 제어된 폴더 액세스를 부팅 섹터에 대해서만 사용하도록 설정하고 특정 폴더 또는 기본 보호된 폴더의 보호를 사용하도록 설정하지 않습니다.
- 사용 안 함
- 제어된 폴더 액세스를 통해 앱 허용 - 설정을 클릭하고 앱을 지정합니다.
- 추가 보호된 폴더 - 설정을 클릭하고 보호된 추가 폴더를 지정합니다.
익스플로잇 보호 정책
organization 사용하는 운영 체제 프로세스 및 앱에 악용 완화 기술을 적용합니다. 이러한 설정은 Windows 10 이상 디바이스의 Windows Defender Security Center 앱에서 내보낼 수 있습니다. 자세한 내용은 Exploit Protection을 참조하세요.
Exploit Protection XML: - 찾아보기를 클릭하고 가져올 XML 파일을 지정합니다.
경고
악용 방지를 위한 XML 파일은 컴퓨터 간에 전송할 때 안전하게 유지되어야 합니다. 파일을 가져온 후 삭제하거나 안전한 위치에 보관해야 합니다.
네트워크 보호 정책
인터넷 기반 공격으로부터 디바이스의 공격 노출 영역을 최소화하는 데 도움이 됩니다. 이 서비스는 피싱 사기, 악용 및 악성 콘텐츠를 호스트할 수 있는 의심스러운 도메인에 대한 액세스를 제한합니다. 자세한 내용은 네트워크 보호를 참조하세요.
- 네트워크 보호 구성:
- 차단
- 감사
- 사용 안 함
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기