Intune의 엔드포인트 보안에 대한 공격 표면 감소 정책 설정

  • 아티클

엔드포인트 보안 정책의 일부로 Intune의 엔드포인트 보안 노드에서 공격 표면 감소 정책에 대해 프로필에서 구성할 수 있는 설정을 봅니다.

적용 대상:

  • Windows 11
  • Windows 10

지원되는 플랫폼 및 프로필:

  • Windows 10 이상 - Intune으로 관리되는 디바이스에 배포하는 정책에 이 플랫폼을 사용합니다.

    • 프로필: 앱 및 브라우저 격리
    • 프로필: 애플리케이션 제어
    • 프로필: 공격 표면 감소 규칙
    • 프로필: 디바이스 제어
    • 프로필: 악용 방지
    • 프로필: 웹 보호(Microsoft Edge 레거시)

  • Windows 10 이상(ConfigMgr): Configuration Manager 관리하는 디바이스에 배포하는 정책에 이 플랫폼을 사용합니다.

    • 프로필: Exploit Protection(ConfigMgr)(미리 보기)
    • 프로필: 웹 보호(ConfigMgr)(미리 보기)

  • Windows 10, Windows 11 및 Windows Server: 엔드포인트용 Microsoft Defender 보안 관리를 통해 관리되는 디바이스에 배포하는 정책에 이 플랫폼을 사용합니다.

    • 프로필: 공격 표면 감소 규칙

공격 표면 감소(MDM)

앱 및 브라우저 격리 프로필

참고

이 섹션에서는 2023년 4월 18일 이전에 만든 앱 및 브라우저 격리 프로필의 설정을 자세히 설명합니다. 해당 날짜 이후에 만든 프로필은 설정 카탈로그에 있는 새 설정 형식을 사용합니다. 이 변경으로 더 이상 이전 프로필의 새 버전을 만들 수 없으며 더 이상 개발되지 않습니다. 이전 프로필의 새 인스턴스를 더 이상 만들 수는 없지만 이전에 만든 인스턴스를 계속 편집하고 사용할 수 있습니다.

새 설정 형식을 사용하는 프로필의 경우 Intune은 더 이상 각 설정 목록을 이름으로 유지 관리하지 않습니다. 대신 각 설정의 이름, 해당 구성 옵션 및 Microsoft Intune 관리 센터에 표시되는 설명 텍스트는 설정의 신뢰할 수 있는 콘텐츠에서 직접 가져옵니다. 해당 콘텐츠는 적절한 컨텍스트에서 설정을 사용하는 방법에 대한 자세한 정보를 제공할 수 있습니다. 설정 정보 텍스트를 볼 때 자세한 정보 링크를 사용하여 해당 콘텐츠를 열 수 있습니다.

앱 및 브라우저 격리

  • Application Guard 켜기
    CSP: AllowWindowsDefenderApplicationGuard

    • 구성되지 않음(기본값) - microsoft Edge 또는 격리된 Windows 환경에 대해 Microsoft Defender Application Guard 구성되지 않았습니다.
    • Edge에 대해 사용 - Application Guard Hyper-V 가상화된 검색 컨테이너에서 승인되지 않은 사이트를 엽니다.
    • 격리된 Windows 환경에 사용하도록 설정됨 - Windows 내에서 App Guard에 사용하도록 설정된 모든 애플리케이션에 대해 Application Guard 켜져 있습니다.
    • Edge 및 격리된 Windows 환경에 사용하도록 설정 - Application Guard 두 시나리오 모두에 대해 구성됩니다.

    참고

    Intune을 통해 Microsoft Edge용 Application Guard 배포하는 경우 Windows 네트워크 격리 정책을 필수 구성 요소로 구성해야 합니다. 네트워크 격리는 Windows 네트워크 격리 설정에서 앱 및 브로셔 격리를 비롯한 다양한 프로필을 통해 구성할 수 있습니다.

    Edge에 대해 사용 또는 Edge 및 격리된 Windows 환경에 대해 사용으로 설정하면 다음 설정을 사용할 수 있습니다. 이 설정은 Edge에 적용됩니다.

    • 클립보드 동작
      CSP: ClipboardSettings

      로컬 PC 및 Application Guard 가상 브라우저에서 허용되는 복사 및 붙여넣기 작업을 선택합니다.

      • 구성되지 않음 (기본값)
      • PC와 브라우저 간 복사 및 붙여넣기 차단
      • 브라우저에서 PC로만 복사 및 붙여넣기 허용
      • PC에서 브라우저로만 복사 및 붙여넣기 허용
      • PC와 브라우저 간에 복사 및 붙여넣기 허용

    • 엔터프라이즈가 아닌 승인된 사이트에서 외부 콘텐츠 차단
      CSP: BlockNonEnterpriseContent

      • 구성되지 않음 (기본값)
      • - 승인되지 않은 웹 사이트의 콘텐츠 로드를 차단합니다.

    • Application Guard 검색 세션 내에서 발생하는 이벤트에 대한 로그 수집
      CSP: AuditApplicationGuard

      • 구성되지 않음 (기본값)
      • - Application Guard 가상 검색 세션 내에서 발생하는 이벤트에 대한 로그를 수집합니다.

    • 사용자 생성 브라우저 데이터를 저장할 수 있도록 허용
      CSP: AllowPersistence

      • 구성되지 않음 (기본값)
      • - Application Guard 가상 검색 세션 중에 생성된 사용자 데이터를 저장할 수 있습니다. 사용자 데이터의 예로는 암호, 즐겨찾기 및 쿠키가 있습니다.

    • 하드웨어 그래픽 가속 사용
      CSP: AllowVirtualGPU

      • 구성되지 않음 (기본값)
      • - Application Guard 가상 검색 세션 내에서 가상 그래픽 처리 장치를 사용하여 그래픽 집약적인 웹 사이트를 더 빠르게 로드합니다.

    • 사용자가 호스트에 파일을 다운로드할 수 있도록 허용
      CSP: SaveFilesToHost

      • 구성되지 않음 (기본값)
      • - 사용자가 가상화된 브라우저에서 호스트 운영 체제로 파일을 다운로드할 수 있도록 허용합니다.

    • 카메라 및 마이크 액세스를 허용하는 Application Guard
      CSP: AllowCameraMicrophoneRedirection

      • 구성되지 않음(기본값) - Microsoft Defender Application Guard 내의 애플리케이션은 사용자의 디바이스에서 카메라와 마이크에 액세스할 수 없습니다.
      • - Microsoft Defender Application Guard 내의 애플리케이션은 사용자의 디바이스에서 카메라와 마이크에 액세스할 수 있습니다.
      • 아니요 - Microsoft Defender Application Guard 내의 애플리케이션은 사용자의 디바이스에서 카메라와 마이크에 액세스할 수 없습니다. 구성 되지 않음과 동일한 동작입니다.

  • 응용 프로그램 가드는 로컬 프린터에 인쇄를 허용합니다.

    • 구성되지 않음 (기본값)
    • - 로컬 프린터에 인쇄를 허용합니다.

  • 애플리케이션 가드 네트워크 프린터에 인쇄 허용

    • 구성되지 않음 (기본값)
    • - 네트워크 프린터에 인쇄를 허용합니다.

  • Application Guard에서 PDF로 인쇄 허용

    • 구성되지 않음 (기본값)
    • - 인쇄를 PDF로 인쇄할 수 있습니다.

  • Application Guard는 XPS에 인쇄를 허용합니다.

    • 구성되지 않음 (기본값)
    • - XPS에 인쇄를 허용합니다.

  • Application Guard 사용자의 디바이스에서 루트 인증 기관 사용을 허용합니다.
    CSP: CertificateThumbprints

    일치하는 루트 인증서를 Microsoft Defender Application Guard 컨테이너로 자동으로 전송하도록 인증서 지문을 구성합니다.

    지문을 한 번에 하나씩 추가하려면 추가를 선택합니다. 가져오기를 사용하여 프로필에 동시에 추가되는 여러 지문 항목이 포함된 .CSV 파일을 지정할 수 있습니다. .CSV 파일을 사용하는 경우 각 지문을 쉼표로 구분해야 합니다. 예: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    프로필에 나열된 모든 항목이 활성 상태입니다. 지문 항목이 활성화되도록 하려면 확인란을 선택할 필요가 없습니다. 대신 확인란을 사용하여 프로필에 추가된 항목을 관리할 수 있습니다. 예를 들어 하나 이상의 인증서 지문 항목의 확인란을 선택한 다음, 단일 작업으로 프로필에서 해당 항목을 삭제 할 수 있습니다.

  • Windows 네트워크 격리 정책

    • 구성되지 않음 (기본값)
    • - Windows 네트워크 격리 정책을 구성합니다.

    예로 설정하면 다음 설정을 구성할 수 있습니다.

    • IP 범위
      드롭다운을 확장하고 추가를 선택한 다음 , 낮은 주소위쪽 주소를 지정합니다.

    • 클라우드 리소스
      드롭다운을 확장하고 추가를 선택한 다음 IP 주소 또는 FQDN 및 프록시를 지정 합니다.

    • 네트워크 도메인
      드롭다운을 확장하고 추가를 선택한 다음 네트워크 도메인을 지정합니다.

    • 프록시 서버
      드롭다운을 확장하고 추가를 선택한 다음 프록시 서버를 지정합니다.

    • 내부 프록시 서버
      드롭다운을 확장하고 추가를 선택한 다음 내부 프록시 서버를 지정합니다.

    • 중립 리소스
      드롭다운을 확장하고 추가를 선택한 다음 중립 리소스를 지정합니다.

    • 다른 엔터프라이즈 프록시 서버의 자동 검색 사용 안 함

      • 구성되지 않음 (기본값)
      • - 다른 엔터프라이즈 프록시 서버의 자동 검색을 사용하지 않도록 설정합니다.

    • 다른 엔터프라이즈 IP 범위 자동 검색 사용 안 함

      • 구성되지 않음 (기본값)
      • - 다른 엔터프라이즈 IP 범위의 자동 검색을 사용하지 않도록 설정합니다.

    참고

    프로필을 만든 후 정책을 적용해야 하는 모든 디바이스는 Microsoft Defender Application Guard 사용하도록 설정됩니다. 보호가 적용되려면 사용자가 디바이스를 다시 시작해야 할 수 있습니다.

애플리케이션 제어 프로필

애플리케이션 제어 Microsoft Defender

  • 앱 보관 애플리케이션 제어
    CSP: AppLocker

    • 구성되지 않음 (기본값)
    • 구성 요소 적용 및 앱 저장
    • 감사 구성 요소 및 스토어 앱
    • 구성 요소 적용, 스토어 앱 및 Smartlocker
    • 감사 구성 요소, 스토어 앱 및 Smartlocker

  • 사용자가 SmartScreen 경고를 무시하지 못하도록 차단
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • 구성되지 않음 (기본값) - 사용자는 파일 및 악성 앱에 대한 SmartScreen 경고를 무시할 수 있습니다.
    • - SmartScreen이 사용하도록 설정되어 있으며 사용자는 파일 또는 악성 앱에 대한 경고를 무시할 수 없습니다.

  • Windows SmartScreen 켜기
    CSP: SmartScreen/EnableSmartScreenInShell

    • 구성되지 않음 (기본값) - SmartScreen을 사용하도록 설정하는 Windows 기본값으로 설정을 반환합니다. 그러나 사용자는 이 설정을 변경할 수 있습니다. SmartScreen을 사용하지 않도록 설정하려면 사용자 지정 URI를 사용합니다.
    • - 모든 사용자에게 SmartScreen 사용을 적용합니다.

공격 표면 감소 규칙 프로필

공격 표면 감소 규칙

공격 표면 감소 규칙에 대한 자세한 내용은 Microsoft 365 설명서의 공격 표면 감소 규칙 참조를 참조 하세요.

참고

이 섹션에서는 2022년 4월 5일 이전에 만든 공격 표면 감소 규칙 프로필의 설정을 자세히 설명합니다. 해당 날짜 이후에 만든 프로필은 설정 카탈로그에 있는 새 설정 형식을 사용합니다. 이 변경으로 더 이상 이전 프로필의 새 버전을 만들 수 없으며 더 이상 개발되지 않습니다. 이전 프로필의 새 인스턴스를 더 이상 만들 수는 없지만 이전에 만든 인스턴스를 계속 편집하고 사용할 수 있습니다.

새 설정 형식을 사용하는 프로필의 경우 Intune은 더 이상 각 설정 목록을 이름으로 유지 관리하지 않습니다. 대신 각 설정의 이름, 해당 구성 옵션 및 Microsoft Intune 관리 센터에 표시되는 설명 텍스트는 설정의 신뢰할 수 있는 콘텐츠에서 직접 가져옵니다. 해당 콘텐츠는 적절한 컨텍스트에서 설정을 사용하는 방법에 대한 자세한 정보를 제공할 수 있습니다. 설정 정보 텍스트를 볼 때 자세한 정보 링크를 사용하여 해당 콘텐츠를 열 수 있습니다.

  • WMI 이벤트 구독을 통한 지속성 차단
    공격 표면 감소 규칙을 사용하여 공격 표면 감소

    이 ASR(공격 표면 감소) 규칙은 다음 GUID를 통해 제어됩니다. e6db77e5-3df2-4cf1-b95a-636979351e5b

    이 규칙은 맬웨어가 WMI를 악용하여 디바이스에서 지속성을 얻지 못하게 합니다. 파일리스 위협은 파일 시스템에 표시되지 않도록 하고 정기적인 실행 제어를 확보하기 위해 다양한 기법을 사용하여 숨은 상태를 유지합니다. 일부 위협은 WMI 리포지토리 및 이벤트 모델을 악용하여 계속 숨을 수 있습니다.

    • 구성되지 않음 (기본값) – 설정이 Windows 기본값으로 반환되며, 이 기본값은 꺼져 있고 지속성은 차단되지 않습니다.
    • 차단 – WMI를 통한 지속성이 차단됩니다.
    • 감사 – 사용할 경우(차단으로 설정) 이 규칙이 조직에 미치는 영향을 평가합니다.
    • 사용 안 함 - 이 규칙을 해제합니다. 지속성이 차단되지 않습니다.

    이 설정에 대한 자세한 내용은 WMI 이벤트 구독을 통한 지속성 차단을 참조하세요.

  • Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)
    악용으로부터 장치 보호

    이 ASR(공격 표면 감소) 규칙은 다음 GUID를 통해 제어됩니다. 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 사용자 정의
    • 사용 - lsass.exe 통해 자격 증명을 도용하려는 시도가 차단됩니다.
    • 감사 모드 - 사용자는 위험한 도메인에서 차단되지 않으며 Windows 이벤트가 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.

  • Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
    공격 표면 감소 규칙을 사용하여 공격 표면 감소

    이 ASR 규칙은 다음 GUID를 통해 제어됩니다. 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • 구성되지 않음 (기본값) - Windows 기본값이 복원되며 자식 프로세스 생성을 차단하지 않는 것입니다.
    • 사용자 정의
    • 사용 - Adobe Reader가 자식 프로세스를 만들지 못하도록 차단됩니다.
    • 감사 모드 - Windows 이벤트는 자식 프로세스를 차단하는 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.

  • Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 다음 GUID를 통해 제어됩니다. 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 GUID 3B576869-A4EC-4529-8536-B80A7769E899 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 D4F940AB-401B-4EFC-AADC-AD5F3C50688A GUID를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - Office 애플리케이션이 자식 프로세스를 만들지 못하도록 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • Office 매크로에서 Win32 API 호출 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - Office 매크로가 Win32 API 호출을 사용하지 못하도록 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • Office 통신 앱이 자식 프로세스를 만들지 못하도록 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 GUID 26190899-1602-49e8-8b27-eb1d0a1ce869를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 자식 프로세스 생성을 차단하지 않는 Windows 기본값이 복원됩니다.
    • 사용자 정의
    • 사용 - Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단됩니다.
    • 감사 모드 - Windows 이벤트는 자식 프로세스를 차단하는 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.

  • 잠재적으로 난독 처리된 스크립트의 실행 차단(js/vbs/ps)
    악용으로부터 장치 보호

    이 ASR 규칙은 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - Defender는 난독 처리된 스크립트의 실행을 차단합니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 D3E037E1-3EB8-44C8-A917-57927947596D를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - Defender는 인터넷에서 다운로드한 JavaScript 또는 VBScript 파일이 실행되지 않도록 차단합니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 다음 GUID를 통해 제어됩니다. d1e49aac-8f56-4280-b9ba-993a6d77406c

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - PSExec 또는 WMI 명령에 의한 프로세스 생성이 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 다음 GUID를 통해 제어됩니다. b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - USB 드라이브에서 실행되는 신뢰할 수 없는 프로세스와 서명되지 않은 프로세스가 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • 실행 파일이 보급률, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단
    악용으로부터 장치 보호

    이 ASR 규칙은 01443614-cd74-433a-b99e-2ecdc07bfc25e를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • 전자 메일 및 웹 메일 클라이언트에서 실행 파일 콘텐츠 다운로드 차단
    악용으로부터 장치 보호

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 차단 - 전자 메일 및 웹 메일 클라이언트에서 다운로드한 실행 파일 콘텐츠가 차단됩니다.
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.
    • 경고 - Windows 10 버전 1809 이상 및 Windows 11 경우 디바이스 사용자는 설정 차단을 무시할 수 있다는 메시지를 받습니다. 이전 버전의 Windows 10 실행하는 디바이스에서 규칙은 사용 동작을 적용합니다.
    • 사용 안 함 - 이 설정이 꺼져 있습니다.

  • 랜섬웨어에 대한 고급 보호 사용
    악용으로부터 장치 보호

    이 ASR 규칙은 c1db55ab-c21a-4637-bb3f-a12568109d35 GUID를 통해 제어됩니다.

    • 구성되지 않음 (기본값) - 설정이 해제된 Windows 기본값으로 돌아갑니다.
    • 사용자 정의
    • 사용
    • 감사 모드 - Windows 이벤트는 차단 대신 발생합니다.

  • 폴더 보호 사용
    CSP: EnableControlledFolderAccess

    • 구성되지 않음 (기본값) - 이 설정은 읽기 또는 쓰기가 차단되지 않는 기본값으로 반환됩니다.
    • 사용 - 신뢰할 수 없는 앱의 경우 Defender는 보호된 폴더의 파일을 수정하거나 삭제하거나 디스크 섹터에 쓰려는 시도를 차단합니다. Defender는 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 또는 신뢰할 수 있는 애플리케이션의 고유한 목록을 정의할 수 있습니다.
    • 감사 모드 - 신뢰할 수 없는 애플리케이션이 제어된 폴더에 액세스할 때 Windows 이벤트가 발생하지만 블록은 적용되지 않습니다.
    • 디스크 수정 차단 - 디스크 섹터에 쓰려는 시도만 차단됩니다.
    • 디스크 수정 감사 - Windows 이벤트는 디스크 섹터에 쓰기 시도를 차단하는 대신 발생합니다.

  • 보호해야 하는 추가 폴더 목록
    CSP: ControlledFolderAccessProtectedFolders

    신뢰할 수 없는 애플리케이션으로부터 보호되는 디스크 위치 목록을 정의합니다.

  • 보호된 폴더에 액세스할 수 있는 앱 목록
    CSP: ControlledFolderAccessAllowedApplications

    제어된 위치에 대한 읽기/쓰기에 액세스할 수 있는 앱 목록을 정의합니다.

  • 공격 노출 영역 감소 규칙에서 파일 및 경로 제외
    CSP: AttackSurfaceReductionOnlyExclusions

    드롭다운을 확장한 다음 추가 를 선택하여 공격 표면 감소 규칙에서 제외할 파일 또는 폴더의 경로를 정의합니다.

디바이스 제어 프로필

장치 제어

참고

이 섹션에서는 2022년 5월 23일 이전에 만든 디바이스 제어 프로필에 있는 설정을 자세히 설명합니다. 해당 날짜 이후에 만든 프로필은 설정 카탈로그에 있는 새 설정 형식을 사용합니다. 원래 프로필의 새 인스턴스를 더 이상 만들 수는 없지만 기존 프로필을 계속 편집하고 사용할 수 있습니다.

새 설정 형식을 사용하는 프로필의 경우 Intune은 더 이상 각 설정 목록을 이름으로 유지 관리하지 않습니다. 대신 각 설정의 이름, 해당 구성 옵션 및 Microsoft Intune 관리 센터에 표시되는 설명 텍스트는 설정의 신뢰할 수 있는 콘텐츠에서 직접 가져옵니다. 해당 콘텐츠는 적절한 컨텍스트에서 설정을 사용하는 방법에 대한 자세한 정보를 제공할 수 있습니다. 설정 정보 텍스트를 볼 때 자세한 정보 링크를 사용하여 해당 콘텐츠를 열 수 있습니다.

  • 디바이스 식별자에 의한 하드웨어 디바이스 설치 허용

    • 구성되지 않음(기본값)
    • - 다른 정책 설정이 특별히 해당 설치를 방지하지 않는 한 Windows는 사용자가 만든 목록에 플러그 앤 플레이 하드웨어 ID 또는 호환 ID가 표시되는 모든 디바이스를 설치하거나 업데이트할 수 있습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
    • 아니요

    예로 설정하면 다음 옵션을 구성할 수 있습니다.

    • 허용 목록 - 추가, 가져오기내보내 기를 사용하여 디바이스 식별자 목록을 관리합니다.

  • 디바이스 식별자에 의한 하드웨어 디바이스 설치 차단
    CSP: AllowInstallationOfMatchingDeviceIDs

    • 구성되지 않음(기본값)
    • - Windows 설치가 금지된 디바이스에 대한 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정합니다. 이 정책은 Windows에서 디바이스를 설치할 수 있도록 허용하는 다른 정책 설정보다 우선합니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
    • 아니요

    예로 설정하면 다음 옵션을 구성할 수 있습니다.

    • 일치하는 하드웨어 디바이스 제거

      • 구성되지 않음(기본값)

    • 차단 목록 - 추가, 가져오기내보내 기를 사용하여 디바이스 식별자 목록을 관리합니다.

  • 설치 클래스를 통해 하드웨어 디바이스 설치 허용

    • 구성되지 않음(기본값)
    • - 다른 정책 설정이 특별히 해당 설치를 방지하지 않는 한 Windows에서 만든 목록에 디바이스 설정 클래스 GUID가 표시되는 디바이스 드라이버를 설치하거나 업데이트할 수 있습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
    • 아니요

    예로 설정하면 다음 옵션을 구성할 수 있습니다.

    • 허용 목록 - 추가, 가져오기내보내 기를 사용하여 디바이스 식별자 목록을 관리합니다.

  • 설치 클래스를 사용하여 하드웨어 디바이스 설치 차단
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • 구성되지 않음(기본값)
    • - Windows 설치가 금지된 디바이스 드라이버에 대한 디바이스 설정 클래스 GUID(Globally Unique Identifiers) 목록을 지정합니다. 이 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
    • 아니요

    예로 설정하면 다음 옵션을 구성할 수 있습니다.

    • 일치하는 하드웨어 디바이스 제거

      • 구성되지 않음(기본값)

    • 차단 목록 - 추가, 가져오기내보내 기를 사용하여 디바이스 식별자 목록을 관리합니다.

  • 디바이스 instance 식별자별 하드웨어 디바이스 설치 허용

    • 구성되지 않음(기본값)
    • - 다른 정책 설정이 특별히 해당 설치를 차단하지 않는 한 Windows는 사용자가 만든 목록에 플러그 앤 플레이 디바이스 instance ID가 표시되는 모든 디바이스를 설치하거나 업데이트할 수 있습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
    • 아니요

    예로 설정하면 다음 옵션을 구성할 수 있습니다.

    • 허용 목록 - 추가, 가져오기내보내 기를 사용하여 디바이스 식별자 목록을 관리합니다.

  • 디바이스 instance 식별자에 의한 하드웨어 디바이스 설치 차단
    원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.

    • 구성되지 않음(기본값)
    • - Windows 설치가 금지된 디바이스에 대한 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정합니다. 이 정책은 Windows에서 디바이스를 설치할 수 있도록 허용하는 다른 정책 설정보다 우선합니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
    • 아니요

    예로 설정하면 다음 옵션을 구성할 수 있습니다.

    • 일치하는 하드웨어 디바이스 제거

      • 구성되지 않음(기본값)

    • 차단 목록 - 추가, 가져오기내보내 기를 사용하여 디바이스 식별자 목록을 관리합니다.

  • 이동식 스토리지에 대한 쓰기 액세스 차단
    CSP: RemovableDiskDenyWriteAccess

    • 구성되지 않음(기본값)
    • - 이동식 스토리지에 대한 쓰기 액세스가 거부됩니다.
    • 아니요 - 쓰기 액세스가 허용됩니다.

  • 전체 검사 중에 이동식 드라이브 검사
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • 구성되지 않음 (기본값) - 이 설정은 이동식 드라이브를 검사하는 클라이언트 기본값으로 반환되지만 사용자는 이 검사를 사용하지 않도록 설정할 수 있습니다.
    • - 전체 검사 중에 이동식 드라이브(예: USB 플래시 드라이브)를 검사합니다.

  • 직접 메모리 액세스 차단
    CSP: DataProtection/AllowDirectMemoryAccess

    이 정책 설정은 BitLocker 또는 디바이스 암호화를 사용하도록 설정한 경우에만 적용됩니다.

    • 구성되지 않음 (기본값)
    • - 사용자가 Windows에 로그인할 때까지 모든 핫 플러그형 PCI 다운스트림 포트에 대한 DMA(직접 메모리 액세스)를 차단합니다. 사용자가 로그인하면 Windows는 호스트 플러그 PCI 포트에 연결된 PCI 디바이스를 열거합니다. 사용자가 컴퓨터를 잠가야 할 때마다 사용자가 다시 로그인할 때까지 자식 디바이스가 없는 핫 플러그 PCI 포트에서 DMA가 차단됩니다. 컴퓨터가 잠금 해제되었을 때 이미 열거된 디바이스는 플러그를 뽑을 때까지 계속 작동합니다.

  • 커널 DMA 보호와 호환되지 않는 외부 디바이스 열거
    CSP: DmaGuard/DeviceEnumerationPolicy

    이 정책은 외부 DMA 지원 디바이스에 대한 추가 보안을 제공할 수 있습니다. 이를 통해 DMA 다시 매핑/디바이스 메모리 격리 및 샌드박싱과 호환되지 않는 외부 DMA 지원 디바이스의 열거형을 보다 자세히 제어할 수 있습니다.

    이 정책은 시스템 펌웨어에서 커널 DMA 보호가 지원되고 사용하도록 설정된 경우에만 적용됩니다. 커널 DMA 보호는 제조 시 시스템에서 지원해야 하는 플랫폼 기능입니다. 시스템에서 커널 DMA 보호를 지원하는지 검사 MSINFO32.exe 요약 페이지에서 커널 DMA 보호 필드를 검사.

    • 구성되지 않음 - (기본값)
    • 모두 차단
    • 모두 허용

  • Bluetooth 연결 차단
    CSP: Bluetooth/AllowDiscoverableMode

    • 구성되지 않음 (기본값)
    • - 디바이스와의 Bluetooth 연결을 차단합니다.

  • Bluetooth 검색 기능 차단
    CSP: Bluetooth/AllowDiscoverableMode

    • 구성되지 않음 (기본값)
    • - 다른 Bluetooth 사용 디바이스에서 디바이스를 검색할 수 없게 합니다.

  • Bluetooth 사전 페어링 차단
    CSP: Bluetooth/AllowPrepairing

    • 구성되지 않음 (기본값)
    • - 특정 Bluetooth 디바이스가 호스트 디바이스와 자동으로 페어링되지 않도록 방지합니다.

  • Bluetooth 광고 차단
    CSP: Bluetooth/AllowAdvertising

    • 구성되지 않음 (기본값)
    • - 디바이스가 Bluetooth 광고를 보내지 못하도록 방지합니다.

  • Bluetooth 근접 연결 차단
    CSP: Bluetooth/AllowPromptedProximalConnections 사용자가 빠른 쌍 및 기타 근접 기반 시나리오를 사용하지 못하도록 차단

    • 구성되지 않음 (기본값)
    • - 디바이스 사용자가 빠른 페어링 및 기타 근접 기반 시나리오를 사용하지 못하도록 방지합니다.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth 허용 서비스
    CSP: Bluetooth/ServicesAllowedList.
    서비스 목록에 대한 자세한 내용은 ServicesAllowedList 사용 가이드를 참조하세요.

    • 추가 - 허용되는 Bluetooth 서비스 및 프로필을 과 같은 16진수 문자열로 {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}지정합니다.
    • 가져오기 - bluetooth 서비스 및 프로필 목록이 포함된 .csv 파일 가져오기(예: 16진수 문자열) {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • 이동식 저장소
    CSP: Storage/RemovableDiskDenyWriteAccess

    • 차단 (기본값) - 사용자가 디바이스와 함께 SD 카드와 같은 외부 스토리지 디바이스를 사용하지 못하도록 합니다.
    • 구성되지 않음

  • USB 연결(HoloLens만 해당)
    CSP: 연결/AllowUSBConnection

    • 차단 - 디바이스와 컴퓨터 간의 USB 연결을 사용하여 파일을 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그하는 것을 방지합니다. USB 충전은 영향을 받지 않습니다.
    • 구성되지 않음 (기본값)

익스플로잇 보호 프로필

악용 방지

참고

이 섹션에서는 2022년 4월 5일 이전에 만든 Exploit Protection 프로필에서 찾을 수 있는 설정을 자세히 설명합니다. 해당 날짜 이후에 만든 프로필은 설정 카탈로그에 있는 새 설정 형식을 사용합니다. 이 변경으로 더 이상 이전 프로필의 새 버전을 만들 수 없으며 더 이상 개발되지 않습니다. 이전 프로필의 새 인스턴스를 더 이상 만들 수는 없지만 이전에 만든 인스턴스를 계속 편집하고 사용할 수 있습니다.

새 설정 형식을 사용하는 프로필의 경우 Intune은 더 이상 각 설정 목록을 이름으로 유지 관리하지 않습니다. 대신 각 설정의 이름, 해당 구성 옵션 및 Microsoft Intune 관리 센터에 표시되는 설명 텍스트는 설정의 신뢰할 수 있는 콘텐츠에서 직접 가져옵니다. 해당 콘텐츠는 적절한 컨텍스트에서 설정을 사용하는 방법에 대한 자세한 정보를 제공할 수 있습니다. 설정 정보 텍스트를 볼 때 자세한 정보 링크를 사용하여 해당 콘텐츠를 열 수 있습니다.

  • XML 업로드
    CSP: ExploitProtectionSettings

    IT 관리자가 원하는 시스템 및 애플리케이션 완화 옵션을 나타내는 구성을 organization 모든 디바이스에 푸시할 수 있습니다. 구성은 XML 파일로 표시됩니다. 익스플로잇 보호는 익스플로잇을 사용하여 확산 및 감염시키는 맬웨어로부터 디바이스를 보호하는 데 도움이 될 수 있습니다. Windows 보안 앱 또는 PowerShell을 사용하여 완화 집합(구성이라고 함)을 만듭니다. 그런 다음, 이 구성을 XML 파일로 내보내고 네트워크의 여러 컴퓨터와 공유하여 모두 동일한 완화 설정 집합을 가질 수 있습니다. 기존 EMET 구성 XML 파일을 Exploit Protection 구성 XML로 변환하고 가져올 수도 있습니다.

    XML 파일 선택을 선택하고 XML 파일 업로드를 지정한 다음 선택을 클릭합니다.

    • 구성되지 않음 (기본값)

  • 사용자가 Exploit Guard 보호 인터페이스를 편집하지 못하도록 차단
    CSP: DisallowExploitProtectionOverride

    • 구성되지 않음 (기본값) - 로컬 사용자가 익스플로잇 보호 설정 영역을 변경할 수 있습니다.
    • - 사용자가 Microsoft Defender 보안 센터 익스플로잇 보호 설정 영역을 변경하지 못하도록 합니다.

웹 보호(Microsoft Edge 레거시) 프로필

웹 보호(Microsoft Edge 레거시)

  • 네트워크 보호 사용
    CSP: EnableNetworkProtection

    • 구성되지 않음 (기본값) - 설정이 Windows 기본값으로 반환되며, 이 기본값은 사용하지 않도록 설정됩니다.
    • 사용자 정의
    • 사용 - 시스템의 모든 사용자에 대해 네트워크 보호가 사용하도록 설정됩니다.
    • 감사 모드 - 사용자는 위험한 도메인에서 차단되지 않으며 Windows 이벤트가 대신 발생합니다.

  • Microsoft Edge용 SmartScreen 필요
    CSP: Browser/AllowSmartScreen

    • - SmartScreen을 사용하여 잠재적인 피싱 사기 및 악성 소프트웨어로부터 사용자를 보호합니다.
    • 구성되지 않음 (기본값)

  • 악의적인 사이트 액세스 차단
    CSP: Browser/PreventSmartScreenPromptOverride

    • - 사용자가 Microsoft Defender SmartScreen 필터 경고를 무시하지 못하도록 차단하고 사이트로 가는 것을 차단합니다.
    • 구성되지 않음 (기본값)

  • 확인되지 않은 파일 다운로드 차단
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • - 사용자가 Microsoft Defender SmartScreen 필터 경고를 무시하지 못하도록 차단하고 확인되지 않은 파일 다운로드를 차단합니다.
    • 구성되지 않음 (기본값)

공격 표면 감소(ConfigMgr)

Exploit Protection(ConfigMgr)(미리 보기) 프로필

Exploit Protection

  • XML 업로드
    CSP: ExploitProtectionSettings

    IT 관리자가 원하는 시스템 및 애플리케이션 완화 옵션을 나타내는 구성을 organization 모든 디바이스에 푸시할 수 있습니다. 구성은 XML 파일로 표시됩니다. 익스플로잇 보호는 익스플로잇을 사용하여 확산 및 감염시키는 맬웨어로부터 디바이스를 보호하는 데 도움이 될 수 있습니다. Windows 보안 앱 또는 PowerShell을 사용하여 완화 집합(구성이라고 함)을 만듭니다. 그런 다음, 이 구성을 XML 파일로 내보내고 네트워크의 여러 컴퓨터와 공유하여 모두 동일한 완화 설정 집합을 가질 수 있습니다. 기존 EMET 구성 XML 파일을 Exploit Protection 구성 XML로 변환하고 가져올 수도 있습니다.

    XML 파일 선택을 선택하고 XML 파일 업로드를 지정한 다음 선택을 클릭합니다.

  • Exploit Protection 재정의 허용
    CSP: DisallowExploitProtectionOverride

    • 구성되지 않음 (기본값)
    • (사용 안 함) 로컬 사용자는 익스플로잇 보호 설정 영역을 변경할 수 있습니다.
    • (사용) 로컬 사용자는 익스플로잇 보호 설정 영역을 변경할 수 없습니다.

웹 보호(ConfigMgr)(미리 보기) 프로필

웹 보호

다음 단계

ASR에 대한 엔드포인트 보안 정책