Microsoft Intune에서 테넌트 연결 디바이스에 대해 Microsoft Defender 바이러스 백신 정책 설정

Intune에서 Microsoft Defender 바이러스 백신 정책(ConfigMgr) 프로필로 관리할 수 있는 Microsoft Defender 바이러스 백신 설정을 확인합니다. 프로필은 Intune 엔드포인트 보안 바이러스 백신 정책을 구성한 경우 사용할 수 있으며 테넌트 연결 시나리오를 구성했다면 정책은 Configuration Manager를 통해 관리하는 디바이스로 배포됩니다.

클라우드 보호

  • 클라우드 제공 보호 켜기
    CSP: AllowCloudProtection

    기본적으로 Windows 10 데스크톱 디바이스의 Defender는 발견된 문제에 대한 정보를 Microsoft에 보냅니다. Microsoft에서는 해당 정보를 분석하여 사용자 및 기타 고객에게 영향을 미치는 문제를 자세히 알아본 다음 향상된 솔루션을 제공합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용 안 됨 Microsoft 활성 보호 서비스를 끕니다.
    • 허용됨 Microsoft 활성 보호 서비스를 켭니다.
  • 클라우드 제공 보호 수준
    CSP: CloudBlockLevel

    Defender 바이러스 백신이 얼마나 적극적으로 의심스러운 파일을 차단 및 검사하는지 구성합니다.

    • 구성되지 않음(기본값) - 기본 Defender 차단 수준입니다.
    • 높음 - 클라이언트 성능을 최적화하는 동안 적극적으로 알 수 없는 파일을 차단합니다(가양성의 가능성이 증가함).
    • 높음 + - 적극적으로 알 수 없는 파일을 차단하고 추가 보호 수단을 적용합니다(클라이언트 성능에 영향을 줄 수 있음).
    • 허용 오차 제로 - 알 수 없는 실행 파일을 모두 차단합니다.
  • Defender 클라우드 연장된 제한 시간(초)
    CSP: CloudExtendedTimeout

    Defender 바이러스 백신은 클라우드에 있는 파일을 검사하여 안전한지 확인할 수 있도록 10초 동안 의심스러운 파일을 자동으로 차단합니다. 이 설정을 사용하여 이 제한 시간에 최대 50초를 추가할 수 있습니다.

Microsoft Defender 바이러스 백신 제외

이 그룹의 각 설정에 대해 설정을 확장하고 추가 를 선택한 다음 제외 값을 지정할 수 있습니다.

  • 제외할 Defender 프로세스
    CSP: ExcludedProcesses

    검사하는 동안 무시할 프로세스에서 여는 파일 목록을 지정합니다. 프로세스 자체는 검사에서 제외되지 않습니다.

  • 검색 및 실시간 보호에서 제외할 파일 확장명
    CSP: ExcludedExtensions

    검사하는 동안 무시할 파일 형식 확장명 목록을 지정합니다.

  • Defender 제외할 파일 및 폴더
    CSP: ExcludedPaths

    검사하는 동안 무시할 파일 및 디렉터리 경로 목록을 지정합니다.

실시간 보호

  • 실시간 보호 켜기
    CSP: AllowRealtimeMonitoring

    실시간 모니터링 기능을 사용하려면 Windows 10 데스크톱 디바이스에 Defender가 필요합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용 안 됨 실시간 모니터링 서비스를 끕니다.
    • 허용됨 실시간 모니터링 서비스를 켜고 실행합니다.
  • 액세스 시 보호 사용
    CSP: AllowOnAccessProtection

    주문형과 달리 계속 활성 상태를 유지하는 바이러스 보호 기능을 구성합니다.

    • 구성되지 않음(기본값) - 이 정책은 디바이스에서 이 설정의 상태를 변경하지 않습니다. 디바이스의 기존 상태가 변경되지 않고 그대로 유지됩니다.
    • 허용 안 됨 실시간 모니터링 서비스를 끕니다.
    • 허용
  • 들어오고 나가는 파일에 대한 모니터링
    CSP: Defender/RealTimeScanDirection

    모니터링할 NTFS 파일 및 프로그램 활동을 확인하려면 이 설정을 구성합니다.

    • 모든 파일 모니터링(양방향) (기본값)
    • 들어오는 파일 모니터링
    • 나가는 파일 모니터링
  • 동작 모니터링 끄기
    CSP: AllowBehaviorMonitoring

    기본적으로 Windows 10 데스크톱 디바이스의 Defender는 동작 모니터링 기능을 사용합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용 안 됨 동작 모니터링을 끕니다.
    • 허용됨 실시간 동작 모니터링을 켭니다.
  • 침입 방지 시스템 허용
    CSP: AllowIntrusionPreventionSystem

    Defender를 구성하여 침입 방지 기능을 허용하거나 허용하지 않습니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 아니요 - 침입 방지 시스템이 허용되지 않습니다.
    • -침입 방지 시스템이 허용됩니다.
  • 다운로드한 모든 파일 및 첨부 파일 검색
    CSP: EnableNetworkProtection

    모든 다운로드한 파일 및 첨부 파일을 검사하도록 Defender를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용되지 않음
    • 허용
  • Microsoft 브라우저에서 사용되는 스크립트 검색
    CSP: AllowScriptScanning

    스크립트를 검사하도록 Defender를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용되지 않음
    • 허용
  • 네트워크 파일 검색
    CSP: AllowScanningNetworkFiles

    네트워크 파일을 검사하도록 Defender를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용 안 됨 네트워크 파일 검사를 끕니다.
    • 허용됨 네트워크 파일을 검사합니다.
  • 메일 검사
    CSP: AllowEmailScanning

    들어오는 메일을 검사하도록 Defender를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다.
    • 허용 안 됨 메일 검사를 끕니다.
    • 허용됨 메일 검사를 켭니다.

수정

  • 격리된 맬웨어를 유지하는 일수(0~90)
    CSP: DaysToRetainCleanedMalware

    시스템이 격리된 항목을 자동으로 제거하기 전까지 저장하는 일 수를 0~90 사이로 지정합니다. 값이 0이면 항목을 격리된 상태로 유지하고 자동으로 제거하지 않습니다.

  • 샘플 제출 동의

    • 구성되지 않음(기본값)
    • 항상 확인
    • 자동으로 안전 샘플 보내기
    • 보내지 않음
    • 자동으로 모든 샘플 보내기
  • 사용자 동의 없이 설치된 앱에서 수행할 작업
    CSP: PUAProtection

    PUA(사용자 동의 없이 설치된 애플리케이션)에 대한 검사 수준을 지정합니다. Defender는 사용자 동의 없이 설치된 소프트웨어가 디바이스에 다운로드되거나 설치되려고 하는 경우 사용자에 게 경고합니다.

    • 구성되지 않음(기본값) - 설정이 시스템 기본값으로 복원됩니다(PUA 보호 꺼짐).
    • PUA 보호 끄기 - Windows Defender가 원치 않는 애플리케이션으로부터 보호하지 않습니다.
    • PUA 보호 켜기 - 검색된 항목이 차단됩니다. 다른 위협과 함께 기록에 표시됩니다.
    • 감사 모드 - Microsoft Defender에서 사용자 동의 없이 설치된 애플리케이션을 검색하지만 아무런 조치도 수행하지 않습니다. 이벤트 뷰어에서 Defender에 의해 생성된 이벤트를 검색하여 Defender가 작업을 수행한 애플리케이션에 대한 정보를 검토할 수 있습니다.
  • 컴퓨터를 정리하기 전 시스템 복원 지점 생성

    • (‘기본값’)
    • 아니요
    • ‘구성되지 않음’
  • 검색된 위협에 대한 작업
    CSP: ThreatSeverityDefaultAction

    Defender가 맬웨어 위협 수준에 따라 검색된 맬웨어에 수행하는 작업을 지정합니다.

    Defender는 검색된 맬웨어를 다음 심각도 수준 중 하나로 분류합니다.

    • 낮은 위협
    • 보통 위협
    • 높은 위협
    • 심각한 위협

    각 수준에 대해 수행할 작업을 지정합니다. 각 심각도 수준에 대한 기본값은 구성되지 않음 입니다.

    • 구성되지 않음(기본값)
    • 정리 - 서비스가 파일 복구를 시도하고 감염된 파일 제거를 시도합니다.
    • 격리 - 파일을 격리로 이동합니다.
    • 제거 - 디바이스에서 파일을 제거합니다.
    • 허용 - 파일을 허용하고 다른 작업을 수행하지 않습니다.
    • 사용자 정의 - 디바이스 사용자가 수행할 작업을 결정합니다.
    • 차단 - 파일 실행을 차단합니다.

검사

  • 보관 파일 검사
    CSP: AllowArchiveScanning

    ZIP 또는 CAB 파일과 같은 보관 파일을 검사하도록 Defender를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 보관된 파일을 검사하는 클라이언트 기본값으로 복원되지만 사용자가 검사를 사용하지 않도록 설정할 수 있습니다. 자세한 정보
    • 허용되지 않음 보관된 파일에 대한 검사를 해제합니다.
    • 허용됨 보관 파일을 검사합니다.
  • 예약된 검사에 대해 낮은 CPU 우선 순위 사용 설정
    CSP: EnableLowCPUPriority

    예약된 검사에 대해 CPU 우선 순위를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 CPU 우선 순위를 변경하지 않는 시스템 기본값으로 복원됩니다.
    • 사용 안 함
    • Enabled
  • 보완 전체 검사 사용 안 함
    CSP: DisableCatchupFullScan

    예약된 전체 검사에 대한 보완 검색을 구성합니다. 보완 검색은 정기 예약 검사를 수행하지 못한 경우 시작되는 검색입니다. 일반적으로는 예약 시간에 컴퓨터가 꺼져 있으면 이러한 예약 검사를 수행하지 못하게 됩니다.

    • 구성되지 않음(기본값) - 설정이 전체 검사에 대한 보완 검색을 사용하도록 설정하는 클라이언트 기본값으로 복원되지만 사용자가 이를 해제할 수 있습니다.
    • 사용 안 함
    • Enabled
  • 보완 빠른 검사 사용 안 함
    CSP: DisableCatchupQuickScan

    예약된 빠른 검사에 대한 보완 검색을 구성합니다. 보완 검색은 정기 예약 검사를 수행하지 못한 경우 시작되는 검색입니다. 일반적으로는 예약 시간에 컴퓨터가 꺼져 있으면 이러한 예약 검사를 수행하지 못하게 됩니다.

    • 구성되지 않음(기본값) - 설정이 빠른 검사에 대한 보완 검색을 사용하도록 설정하는 클라이언트 기본값으로 복원되지만 사용자가 이를 해제할 수 있습니다.
    • 사용 안 함
    • Enabled
  • 검사당 CPU 사용량 제한(0~100%)
    CSP: AvgCPULoadFactor

    Defender 검사의 평균 CPU 로드 비율을 0~100 사이의 백분율로 지정합니다.

  • 전체 검사 중 매핑된 네트워크 드라이브가 스캔되도록 설정
    CSP: AllowFullScanOnMappedNetworkDrives

    매핑된 네트워크 드라이브를 검사하도록 Defender를 구성합니다.

    • 구성되지 않음(기본값) - 설정이 매핑된 네트워크 드라이브를 검사하지 않는 시스템 기본값으로 복원됩니다.
    • 허용 안 됨 매핑된 네트워크 드라이브에서 검사를 사용하지 않도록 설정합니다.
    • 허용됨 매핑된 네트워크 드라이브를 검사합니다.
  • 매일 빠른 검사를 실행할 시간
    CSP: ScheduleQuickScanTime

    Defender가 빠른 검사를 실행할 시간을 선택합니다. 기본적으로 이 옵션은 구성되지 않음 입니다.

  • 검사 유형
    CSP: ScanParameter

    Defender가 실행할 검사 유형을 선택합니다.

    • 구성되지 않음(기본값)
    • 빠른 검사
    • 전체 검사
  • 예약된 검사를 실행할 요일

    • 구성되지 않음(기본값)
  • 예약된 검사를 실행할 시간

    • 구성되지 않음(기본값)
  • 검사를 실행하기 전에 서명 업데이트 확인

    • 구성되지 않음(기본값)
    • 사용 안 함
    • Enabled
  • 예약된 검사 및 보안 인텔리전스 업데이트 시작 시간 임의대로
    -구성되지 않음(기본값) -Yes -No

  • 전체 검사 중 이동식 드라이브 검사

    • 구성되지 않음(기본값)
    • 허용 안 됨 이동식 드라이브에 대한 검사를 끕니다.
    • 허용됨 이동식 드라이브를 검사합니다.

업데이트

  • 보안 인텔리전스 업데이트를 확인하는 빈도(0~24시간) 입력
    CSP: SignatureUpdateInterval

    서명을 확인하는 데 사용되는 간격을 0~24(시간)으로 지정합니다. 값이 0이면 새 서명이 확인되지 않습니다. 값 2는 2시간마다 확인합니다.

  • 서명 업데이트 대체 순서(디바이스)

  • 서명 업데이트 파일 공유 원본(디바이스)

  • 보안 인텔리전스 위치(디바이스)

사용자 환경

  • Microsoft Defender 앱에 대한 사용자 액세스 차단

    • 구성되지 않음(기본값)
    • 허용 안 됨 사용자가 UI에 액세스하지 못하게 합니다.
    • 허용됨 사용자가 UI에 액세스할 수 있습니다.
  • 사용자가 전체 검사를 수행하거나, 보안 인텔리전스를 업데이트하거나, Windows Defender 오프라인을 실행해야 할 때 클라이언트 컴퓨터에 알림 메시지 표시

    • 구성되지 않음(기본값)
    • 아니요
  • 클라이언트 사용자 인터페이스 사용 안 함

    • 구성되지 않음(기본값)
    • 아니요
  • 모든 사용자가 전체 기록 결과를 볼 수 있도록 허용

    • 구성되지 않음(기본값)
    • 아니요