Configuration Manager에서 맬웨어 방지 정책을 만들고 Endpoint Protection 방법
적용 사항: Configuration Manager(현재 분기)
Configuration Manager 클라이언트 컴퓨터 모음에 맬웨어 방지 정책을 배포하여 맬웨어 및 기타 위협으로부터 맬웨어를 Endpoint Protection 방법을 지정할 수 있습니다. 이러한 정책에는 검사 일정, 검사할 파일 및 폴더 유형, 맬웨어가 감지될 때 수행할 조치에 대한 정보가 포함됩니다. 클라이언트 Endpoint Protection 맬웨어 방지 정책이 클라이언트 컴퓨터에 적용됩니다. 제공된 정책 템플릿 중 하나를 사용하거나 환경의 특정 요구를 충족하는 사용자 지정 정책을 만들 수도 있습니다.
Configuration Manager는 미리 정의한 서식 파일 선택을 제공합니다. 이러한 설정은 다양한 시나리오에 최적화되어 있으며 Configuration Manager로 가져올 수 있습니다. 이러한 템플릿은 < ConfigMgr Install Folder > \AdminConsole\XMLStorage\EPTemplates 폴더에서 사용할 수 있습니다.
중요
새 맬웨어 방지 정책을 만들어 컬렉션에 배포하면 이 맬웨어 방지 정책은 기본 맬웨어 방지 정책을 다시 맬웨어 방지 정책에 적용합니다.
이 항목의 절차에 따라 맬웨어 방지 정책을 만들거나 가져와 계층 구조의 Configuration Manager 클라이언트 컴퓨터에 할당합니다.
참고
이러한 절차를 수행하기 전에 ConfiguringEndpoint Protection 에 설명된 Endpoint Protection.
기본 맬웨어 방지 정책 수정
Configuration Manager 콘솔에서 자산 및 규정 준수 를 클릭합니다.
자산 및 준수 작업 영역에서 를 확장하고 Endpoint Protection 를 확장한 다음 맬웨어 방지 정책을 클릭합니다.
맬웨어 방지 정책 기본 클라이언트 맬웨어 방지 정책을 선택한 다음 홈 탭의 속성 그룹에서 속성을 클릭합니다.
기본 맬웨어 방지 정책 대화 상자에서 이 맬웨어 방지 정책에 필요한 설정을 구성하고 확인 을 클릭합니다.
새 맬웨어 방지 정책 만들기
Configuration Manager 콘솔에서 자산 및 규정 준수 를 클릭합니다.
자산 및 준수 작업 영역에서 를 확장하고 Endpoint Protection 를 확장한 다음 맬웨어 방지 정책을 클릭합니다.
홈 탭의 만들기 그룹에서 맬웨어 방지 정책 만들기 를 클릭합니다.
맬웨어 방지 정책 만들기 대화 상자의 일반 섹션에서 정책의 이름과 설명을 입력합니다.
맬웨어 방지 정책 만들기 대화 상자에서 이 맬웨어 방지 정책에 필요한 설정을 구성한 다음 확인 을 클릭합니다. 구성할 수 있는 설정 목록은 맬웨어방지 정책 목록 설정.
새 맬웨어 방지 정책이 맬웨어 방지 정책 목록에 표시되는지 확인
맬웨어 방지 정책 가져오기
Configuration Manager 콘솔에서 자산 및 규정 준수 를 클릭합니다.
자산 및 준수 작업 영역에서 를 확장하고 Endpoint Protection 를 확장한 다음 맬웨어 방지 정책을 클릭합니다.
홈 탭의 만들기 그룹에서 가져오기를 클릭합니다.
열기 대화 상자에서 가져올 정책 파일을 찾아 열기 를 클릭합니다.
맬웨어 방지 정책 만들기 대화 상자에서 사용할 설정을 검토하고 확인을 클릭합니다.
새 맬웨어 방지 정책이 맬웨어 방지 정책 목록에 표시되는지 확인
클라이언트 컴퓨터에 맬웨어 방지 정책 배포
Configuration Manager 콘솔에서 자산 및 규정 준수 를 클릭합니다.
자산 및 준수 작업 영역에서 를 확장하고 Endpoint Protection 를 확장한 다음 맬웨어 방지 정책을 클릭합니다.
맬웨어 방지 정책 목록에서 배포할 맬웨어 방지 정책을 선택합니다. 그런 다음 홈 탭의 배포 그룹에서 배포를 클릭합니다.
참고
배포 옵션은 기본 클라이언트 맬웨어 정책과 함께 사용할 수 없습니다.
컬렉션 선택 대화 상자에서 맬웨어 방지 정책을 배포할 장치 컬렉션을 선택하고 확인 을 클릭합니다.
맬웨어 방지 정책 목록 설정
대부분의 맬웨어 방지 설정은 설명이 없습니다. 구성하기 전에 추가 정보가 필요할 수 있는 설정에 대한 자세한 내용은 다음 섹션을 참조하세요.
예약된 검사 설정
검사 유형 - 클라이언트 컴퓨터에서 실행할 두 가지 검사 유형 중 하나를 지정할 수 있습니다.
빠른 검사 - 이 유형의 검사는 일반적으로 맬웨어가 발견되는 메모리 내 프로세스 및 폴더를 확인합니다. 전체 검사보다 더 적은 리소스가 필요합니다.
전체 검사 - 이 유형의 검사는 빠른 검사에서 검사한 항목에 모든 로컬 파일 및 폴더의 전체 검사를 추가합니다. 이 검사는 빠른 검사보다 시간이 오래 걸리며 클라이언트 컴퓨터에서 더 많은 CPU 처리 및 메모리 리소스를 사용합니다.
대부분의 경우 빠른 검색을 사용하여 클라이언트 컴퓨터에서 시스템 리소스 사용을 최소화합니다. 맬웨어를 제거하려면 전체 검사가 Endpoint Protection Configuration Manager 콘솔에 표시되는 경고가 생성됩니다. 기본값은 빠른 검사입니다.
검사 설정
전자 메일 및 전자 메일 첨부 파일 검사 - 전자 메일 검색을 켜기 위해 예로 설정
USB 드라이브와 같은 이동식 저장 장치 스캔 - 전체 검사 중에 이동식 드라이브를 검사하기 위해 예로 설정
네트워크 파일 검색 - 네트워크 파일을 검색하려면 예로 설정
전체 검색을 실행하는 경우 매핑된 네트워크 드라이브 검색 - 클라이언트 컴퓨터에서 매핑된 네트워크 드라이브를 검사하기 위해 예로 설정 이 설정을 사용하도록 설정하면 클라이언트 컴퓨터에서 검사 시간이 크게 증가할 수 있습니다.
이 설정을 구성하려면 네트워크 파일 검사 설정을 예로 설정해야 합니다.
기본적으로 이 설정은 아니요로 설정되어 있습니다. 즉, 전체 검사가 매핑된 네트워크 드라이브에 액세스하지 않습니다.
보관된 파일 검색 - 보관된 파일(예)을 예로 설정하여 보관된 파일(예.zip 파일 .rar 검색합니다.
사용자가 검사 중에 CPU 사용량을 구성할 수 있도록 허용 - 사용자가 검색 중에 CPU 사용률의 최대 백분율을 지정할 수 있도록 예로 설정 검사는 사용자가 정의한 최대 부하를 항상 사용하는 것은 아니며 초과할 수는 없습니다.
예약된 검사에 대한 사용자 제어 - 사용자 제어 수준을 지정합니다. 사용자가 검사 시간만 설정하거나 장치에서 바이러스 백신 검사에 대한 모든 제어를 설정할 수 있도록 허용합니다.
기본 작업 설정
클라이언트 컴퓨터에서 맬웨어가 감지될 때 취할 작업을 선택합니다. 검색된 맬웨어의 경고 위협 수준에 따라 다음 작업을 적용할 수 있습니다.
권장 - 맬웨어 정의 파일에서 권장되는 작업을 사용합니다.
Quarantine - 맬웨어를 분리하지만 제거하지 않습니다.
제거 - 컴퓨터에서 맬웨어를 제거합니다.
Allow - 맬웨어를 제거하거나 차단하지 않습니다.
실시간 보호 설정
| 설정 이름 | 설명 |
|---|---|
| 실시간 보호 사용 | 예로 설정하여 클라이언트 컴퓨터에 대한 실시간 보호 설정을 구성합니다. 이 설정을 사용하도록 설정하는 것이 좋습니다. |
| 컴퓨터에서 파일 및 프로그램 활동 모니터링 | 클라이언트 컴퓨터에서 파일 및 Endpoint Protection 실행이 시작되는 경우를 모니터링하고 사용자가 수행한 작업이나 작업에 대해 경고하려면 예로 설정하십시오. |
| 시스템 파일 검사 | 이 설정을 사용하면 맬웨어가 있는지, 들어오거나, 들어오거나, 들어오는 시스템 파일을 모니터링할지 여부를 구성할 수 있습니다. 성능상의 이유로 서버에 들어오거나 들어오는 파일 활동이 높거나 들어오는 파일 활동이 많은 경우 들어오는 파일 및 들어오는 파일 검사의 기본값을 변경해야 할 수 있습니다. |
| 동작 모니터링 사용 | 컴퓨터 활동 및 파일 데이터를 사용하여 알 수 없는 위협을 감지하려면 이 설정을 사용하도록 설정하십시오. 이 설정을 사용하도록 설정하면 컴퓨터에서 맬웨어를 검색하는 데 필요한 시간이 늘어날 수 있습니다. |
| 네트워크 기반 악용으로부터 보호 사용 | 네트워크 트래픽을 검사하고 의심스러운 활동을 차단하여 알려진 네트워크 악용으로부터 컴퓨터를 보호하려면 이 설정을 사용하도록 설정하십시오. |
| 스크립트 검사 사용 | 서비스 팩이 없는 Configuration Manager의 경우 컴퓨터에서 실행된 스크립트에서 의심스러운 활동이 있는 경우 이 설정을 사용하도록 설정하십시오. |
| 설치 전 다운로드 시 또는 설치 전에 사용자 원치 않는 응용 프로그램 차단 | PUA(Potential Unwanted Applications)는 신뢰도 및 연구 기반 식별에 기반한 위협 분류입니다. 가장 일반적으로 원치 않는 응용 프로그램 번들러 또는 번들로 묶인 응용 프로그램입니다. Microsoft Edge 원치 않는 응용 프로그램을 차단하는 설정도 제공합니다. 원치 않는 응용 프로그램에 대한 완전한 보호를 위해 이러한 옵션을 살펴보아야 합니다. 이 보호 정책 설정은 사용할 수 있으며 기본적으로 사용으로 설정됩니다. 이 설정을 사용하도록 설정하면 다운로드 및 설치 시 PUA가 차단됩니다. 그러나 비즈니스 또는 조직의 특정 요구 사항을 충족하기 위해 특정 파일 또는 폴더를 제외할 수 있습니다. Configuration Manager 버전 2107부터 이 설정 감사를 선택할 수 있습니다. 감사 모드에서 PUA 보호를 사용하여 잠재적으로 원치 않는 응용 프로그램을 차단하지 않고 검색합니다. 감사 모드의 PUA 보호는 회사에서 PUA 보호를 사용하도록 설정하는 것이 환경에 미칠 영향을 측정하는 데 유용합니다. 감사 모드에서 보호를 사용하도록 설정하면 차단 모드에서 보호를 사용하도록 설정하기 전에 끝점에 미치는 영향을 확인할 수 있습니다. |
제외 설정
Configuration Manager 2012 및 현재 분기에서 제외하는 데 권장되는 폴더, 파일 및 프로세스에 대한 자세한 내용은 Configuration Manager 2012및 현재 분기 사이트 서버, 사이트 시스템 및 클라이언트에 대한 권장 바이러스 백신 제외를 참조하세요.
제외된 파일 및 폴더:
설정을 클릭하여 파일 및 폴더 제외 구성 대화 상자를 열고 검색에서 제외할 파일 및 폴더의 Endpoint Protection 지정합니다.
매핑된 네트워크 드라이브에 있는 파일 및 폴더를 제외하려면 네트워크 드라이브에 있는 각 폴더의 이름을 개별적으로 지정합니다. 예를 들어 네트워크 드라이브가 F:\MyFolder로 매핑된 경우 Folder1, Folder2 및 Folder 3이라는 하위 폴더가 포함된 경우 다음 제외를 지정합니다.
F:\MyFolder\Folder1
F:\MyFolder\Folder2
F:\MyFolder\Folder3
버전 1602부터는 맬웨어 방지 정책의 제외 설정 섹션에 있는 기존 파일 및 폴더 제외 설정이 장치 제외를 허용하도록 개선되었습니다. 예를 들어 이제 \device\mvfs(Multiversion 파일 시스템의 경우)를 제외로 지정할 수 있습니다. 정책은 장치 경로의 유효성을 검사하지 않습니다. Endpoint Protection 정책은 장치 문자열을 해석할 수 있어야 하는 클라이언트의 맬웨어 방지 엔진에 제공됩니다.
제외된 파일 형식:
설정을 클릭하여 파일 형식 제외 구성 대화 상자를 열고 파일 검사에서 제외할 Endpoint Protection 지정합니다. 제외 목록에서 항목을 정의할 때 와일드카드를 사용할 수 있습니다. 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에 와일드카드 사용을 참조하세요.
제외된 프로세스:
설정을 클릭하여 프로세스 제외 구성 대화 상자를 열고 검사에서 제외할 Endpoint Protection 지정합니다. 제외 목록에서 항목을 정의할 때 와일드카드를 사용할 수 있습니다. 그러나 몇 가지 제한 사항이 있습니다. 자세한 내용은 프로세스 제외 목록에서 와일드카드 사용을 참조하세요.
고급 설정
재분석 지점 검사 사용 - NTFS 재분석 지점을 Endpoint Protection 예로 설정
재분석 지점에 대한 자세한 내용은 재분석 지점을 Windows 개발자 센터.
예약된 검사 시작 시간(30분 이내) 임의로 임의화 - 모든 컴퓨터가 맬웨어 방지 검사 결과를 Configuration Manager 데이터베이스에 동시에 보내는 경우 발생할 수 있는 네트워크 넘침을 방지하려면 예로 설정하세요. 이 Windows Defender 바이러스 백신 0에서 4시간 사이의 간격으로 또는 FEP 및 SCEP에 대해 30분을 더하거나 30분을 더한 간격으로 검사 시작 시간을 임의로 임의로 변경합니다. 이는 VM 또는 VDI 배포에서 유용할 수 있습니다. 이 설정은 단일 호스트에서 여러 가상 컴퓨터를 실행할 때도 유용합니다. 맬웨어 방지 검색을 위한 동시 디스크 액세스 양을 줄이면 이 옵션을 선택합니다.
Configuration Manager 버전 1602부터 맬웨어 방지 엔진은 추가 분석을 위해 Microsoft에 전송할 파일 샘플을 요청할 수 있습니다. 기본적으로 이러한 샘플을 보내기 전에 항상 메시지가 표시됩니다. 이제 관리자는 다음 설정을 관리하여 이 동작을 구성할 수 있습니다.
Microsoft에서 검색된 특정 항목이 악성인지 여부를 확인하는 데 도움이 되는 자동 샘플 파일 제출을 사용하도록 설정 - 자동 샘플 파일 제출을 사용하도록 설정하려면 예로 설정하십시오. 기본적으로 이 설정은 아니요로 설정되어 있습니다. 이는 자동 샘플 파일 전송을 사용할 수 없음을 의미하며 샘플을 보내기 전에 사용자에게 메시지가 표시됩니다.
사용자가 자동 샘플 파일 제출 설정을 수정할 수 있도록 허용 - 장치에서 로컬 관리자 권한이 있는 사용자가 클라이언트 인터페이스에서 자동 샘플 파일 제출 설정을 변경할 수 있는지 여부를 확인합니다. 기본적으로 이 설정은 Configuration Manager 콘솔에서만 변경할 수 있으며 장치의 로컬 관리자가 이 구성을 변경할 수 없음을 의미하는 "아니요"입니다.
예를 들어 다음은 관리자가 이 설정을 사용하도록 설정한 후 사용자가 변경하지 못하도록 회색으로 표시한 것입니다.
위협을 설정
위협 이름 및 다시 정의 작업 - 설정을 클릭하여 검사 중에 감지된 각 위협 ID에 대해 수행되는 수정 작업을 사용자 지정합니다.
참고
위협 이름을 구성한 직후에는 위협 이름 목록을 사용할 수 Endpoint Protection. 보안 지점에서 Endpoint Protection 동기화할 때까지 기다렸다가 다시 시도하십시오.
클라우드 보호 서비스
클라우드 보호 서비스는 관리 시스템에서 검색된 맬웨어 및 수행된 작업에 대한 정보 수집을 지원합니다. 이 정보는 Microsoft로 전송됩니다.
클라우드 보호 서비스 멤버십
- 클라우드 보호 서비스에 가입 안 하세요. 정보가 전송되지 않습니다.
- 기본 - 검색된 맬웨어 목록 수집 및 보내기
- 고급 - 개인 정보를 포함할 수 있는 보다 포괄적인 정보뿐만 아니라 기본 정보입니다. 예를 들어 파일 경로 및 부분 메모리 덤프를 예로 들 수 있습니다.
사용자가 클라우드 보호 서비스 설정을 수정할 수 있도록 허용 - 클라우드 보호 서비스 설정에 대한 사용자 제어를 전환합니다.
의심스러운 파일 차단 수준 - 클라우드 보호 서비스가 의심스러운 파일을 Endpoint Protection 수준을 지정합니다.
- 보통 - 기본 Windows Defender 차단 수준입니다.
- 높음 - 성능을 최적화하면서 알 수 없는 파일을 적극적으로 차단합니다(유해하지 않은 파일을 차단할 가능성이 더 높습니다).
- 높은 보호 기능 - 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 장치 성능에 영향을 줄 수 있습니다).
- 알 수 없는 프로그램 차단 - 알 수 없는 모든 프로그램 차단
최대 1초 동안 확장된 클라우드 검사를 허용 - 클라우드 보호 서비스가 파일을 차단할 수 있는 시간(초)을 지정합니다. 서비스에서 파일이 악성으로 확인되지 않는지 확인합니다.
참고
이 설정에 대해 선택하는 시간(초)은 기본 10초 제한 시간 외에 추가됩니다. 예를 들어 0초를 입력하면 클라우드 보호 서비스가 10초 동안 파일을 차단합니다.
클라우드 보호 서비스 보고 세부 정보
| 빈도 | 수집되거나 전송된 데이터 | 데이터 사용 |
|---|---|---|
| 바이러스 Windows Defender 보호 또는 정의 파일을 업데이트하는 경우 | - 바이러스 및 스파이웨어 정의 버전- 바이러스 및 스파이웨어 보호 버전 | Microsoft는 이 정보를 사용하여 컴퓨터에 최신 바이러스 및 스파이웨어 업데이트가 제공되도록 합니다. 없는 경우 Windows Defender 보호가 최신으로 유지될 수 있도록 자동으로 업데이트됩니다. |
| 컴퓨터에서 Windows Defender 소프트웨어가 유해하거나 원치 않는 소프트웨어를 발견하는 경우 | - 잠재적으로 유해하거나 원치 않는 소프트웨어의 이름- 소프트웨어를 찾은 방법 - 소프트웨어 Windows Defender 수행한 모든 작업 - 소프트웨어의 영향을 받는 파일 - 제조업체의 컴퓨터에 대한 정보(Sysconfig, SysModel, SysMarker) | Windows Defender 이 정보를 사용하여 사용자 원치 않는 소프트웨어의 유형과 심각도 및 취할 최상의 조치를 결정할 수 있습니다. 또한 Microsoft는 이 정보를 사용하여 바이러스 및 스파이웨어 보호의 정확도를 향상시킵니다. |
| 한 달에 한 번 | - 바이러스 및 스파이웨어 정의 업데이트 상태- 실시간 바이러스 및 스파이웨어 모니터링 상태(설정 또는 해제) | Windows Defender 이 정보를 사용하여 컴퓨터에 최신 바이러스 및 스파이웨어 보호 버전 및 정의가 있는지 확인할 수 있습니다. 또한 Microsoft는 실시간 바이러스 및 스파이웨어 모니터링이 켜져 있는지 확인하려는 경우도 있습니다. 이는 잠재적으로 유해하거나 원치 않는 소프트웨어로부터 컴퓨터를 보호하는 데 중요한 부분입니다. |
| 설치 중 또는 사용자가 컴퓨터의 바이러스 및 스파이웨어 스캔을 수동으로 수행할 때마다 | 컴퓨터 메모리의 실행 중인 프로세스 목록 | 잠재적으로 유해한 소프트웨어에 의해 손상될 수 있는 프로세스를 식별합니다. |
Microsoft는 파일 자체의 내용이 아니라 영향을 받는 파일의 이름만 수집합니다. 이 정보는 특정 위협에 특히 취약한 시스템을 확인하는 데 도움이 됩니다.
정의 업데이트 설정
클라이언트 업데이트의 원본 및 Endpoint Protection 설정 - 원본 설정 을 클릭하여 정의 및 검색 엔진 업데이트 원본을 지정합니다. 이러한 원본이 사용되는 순서를 지정할 수 있습니다. Configuration Manager가 원본 중 하나로 지정된 경우 소프트웨어 업데이트가 클라이언트 업데이트를 다운로드하지 못하는 경우 다른 원본이 사용됩니다.
다음 방법 중 어느 방법을 사용하여 클라이언트 컴퓨터에서 정의를 업데이트하는 경우 클라이언트 컴퓨터에서 인터넷에 액세스할 수 있어야 합니다.
Microsoft 업데이트에서 배포된 업데이트
업데이트가 배포된 Microsoft 맬웨어 보호 센터
중요
클라이언트는 기본 제공 시스템 계정을 사용하여 정의 업데이트를 다운로드합니다. 이러한 클라이언트가 인터넷에 연결할 수 있도록 이 계정의 프록시 서버를 구성해야 합니다.
클라이언트 컴퓨터에 정의 업데이트를 전달하도록 소프트웨어 업데이트 자동 배포 규칙을 구성한 경우 이러한 업데이트는 정의 업데이트 설정에 관계없이 전달됩니다.