FAQ(공격 표면 감소 자주 묻는 질문)

공격 표면 감소는 원래 Windows 10 버전 1709에서 Microsoft Defender 바이러스 백신에 대한 주요 업데이트로 도입된 익스플로잇 가드 기능 제품군의 기능이었습니다. Microsoft Defender 바이러스 백신은 Windows의 네이티브 맬웨어 방지 구성 요소입니다. 그러나 전체 공격 표면 감소 기능 집합은 Windows 엔터프라이즈 라이선스에서만 사용할 수 있습니다. 또한 일부 Microsoft Defender 바이러스 백신 제외는 공격 표면 감소 규칙 제외에 적용할 수 있습니다. 공격 표면 감소 규칙 참조 - 바이러스 백신 제외 및 공격 표면 감소 규칙 Microsoft Defender 참조하세요.

공격 표면 감소 규칙 및 기능의 전체 집합은 Windows 10 또는 Windows 11 대한 엔터프라이즈 라이선스가 있는 경우에만 지원됩니다. 제한된 수의 규칙이 엔터프라이즈 라이선스 없이 작동할 수 있습니다. Microsoft 365 Business가 있는 경우 Microsoft Defender 바이러스 백신을 기본 보안 솔루션으로 설정하고 PowerShell을 통해 규칙을 사용하도록 설정합니다. 엔터프라이즈 라이선스 없이 공격 표면 축소를 사용하는 것은 공식적으로 지원되지 않으며 공격 표면 감소의 전체 기능을 사용할 수 없습니다.

Windows 라이선스에 대한 자세한 내용은 Windows 10 라이선스 및 Windows 10 볼륨 라이선싱 가이드를 참조하세요.

예. 공격 표면 감소는 Windows Enterprise E3 이상에서 지원됩니다.

E3에서 지원되는 모든 규칙은 E5에서도 지원됩니다.

E5는 엔드포인트용 Defender와 더 큰 통합을 추가합니다. E5를 사용하면 실시간으로 경고를 보고, 규칙 제외를 미세 조정하고, 공격 표면 감소 규칙을 구성하고, 이벤트 보고서 목록을 볼 수 있습니다.

공격 표면 감소는 현재 아래의 모든 규칙을 지원합니다.

환경에 가장 적합한 항목을 파악하는 데 도움이 되도록 감사 모드에서 공격 표면 감소 규칙을 사용하도록 설정하는 것이 좋습니다. 이 방법을 사용하면 organization 가능한 효과를 확인할 수 있습니다. 예를 들어 기간 업무 애플리케이션입니다.

공격 표면 감소 규칙의 경우 제외를 하나 추가하면 모든 공격 표면 감소 규칙에 영향을 줍니다.

공격 표면 감소 규칙 제외는 와일드카드, 경로 및 환경 변수를 지원합니다. 공격 표면 감소 규칙에서 와일드카드를 사용하는 방법에 대한 자세한 내용은 파일 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사를 참조하세요.

공격 표면 감소 규칙 제외(와일드카드 및 env. 변수 포함)에 대한 다음 항목에 유의하세요.

• 대부분의 공격 표면 감소 규칙 제외는 Microsoft Defender 바이러스 백신 제외와 독립적입니다. 그러나 Microsoft Defender 바이러스 백신 제외는 일부 공격 표면 감소 규칙에 적용됩니다. 공격 표면 감소 규칙 참조 - 바이러스 백신 제외 및 공격 표면 감소 규칙 Microsoft Defender 참조하세요.
• 와일드카드는 드라이브 문자를 정의하는 데 사용할 수 없습니다.
• 둘 이상의 폴더를 제외하려는 경우 경로에서 의 여러 인스턴스를 사용하여 여러 중 \*\ 첩된 폴더를 나타냅니다(예: c:\Folder\*\*\Test).
• Microsoft 엔드포인트 Configuration Manager 와일드카드(* 또는 ?)를 지원합니다.
• 임의의 문자(자동화된 파일 생성)가 포함된 파일을 제외하려면 '?' 기호(예 C:\Folder\fileversion?.docx: )를 사용할 수 있습니다.
• 그룹 정책 공격 표면 감소 제외는 따옴표를 지원하지 않습니다(엔진은 기본적으로 긴 경로, 공백 등을 처리하므로 따옴표를 사용할 필요가 없음).
• 공격 표면 감소 규칙은 NT AUTHORITY\SYSTEM 계정으로 실행되므로 환경 변수는 기계 변수로 제한됩니다.

공격 표면 감소 규칙이 다르면 보호 흐름이 다릅니다. 구성 중인 공격 표면 감소 규칙이 보호되는 내용과 실제 실행 흐름이 어떻게 이동되는지 항상 생각해 보세요.

예: LSASS( 로컬 보안 기관 하위 시스템) 프로세스에서 직접 Windows 로컬 보안 기관 하위 시스템 읽기에서 자격 증명 도용 차단은 회사 자격 증명을 노출할 수 있으므로 보안 위험이 될 수 있습니다.

이 규칙은 신뢰할 수 없는 프로세스가 LSASS 메모리에 직접 액세스하지 못하도록 방지합니다. 프로세스가 OpenProcess() 함수를 사용하여 LSASS에 액세스하려고 할 때마다 액세스 권한이 PROCESS_VM_READ 규칙은 특히 액세스 권한을 차단합니다.

위의 예제를 살펴보면 액세스 권한이 차단된 프로세스에 대한 예외를 실제로 만들어야 하는 경우 전체 경로와 함께 파일 이름을 추가하면 차단되지 않고 LSASS 프로세스 메모리에 액세스할 수 있게 된 후에 제외됩니다. 값 0은 공격 표면 감소 규칙이 이 파일/프로세스를 무시하고 차단/감사하지 않음을 의미합니다.

규칙별 제외 구성에 대한 자세한 내용은 공격 노출 영역 감소 규칙 테스트를 참조하세요.

가능한 모든 규칙을 사용하도록 설정하는 것이 좋습니다. 그러나 규칙을 사용하도록 설정하지 않아야 하는 경우도 있습니다. 예를 들어 Microsoft 엔드포인트 Configuration Manager(또는 System Center Configuration Manager - SCCM)을 사용하여 엔드포인트를 관리하는 경우 PSExec 및 WMI 명령 규칙에서 시작된 프로세스 만들기 차단을 사용하도록 설정하지 않는 것이 좋습니다.

공용 설명서에서 사용할 수 있는 각 규칙별 정보 및/또는 경고를 읽는 것이 좋습니다. Office, 자격 증명, 스크립트, 전자 메일 등과 같은 여러 보호 핵심 요소에 걸쳐 있습니다. WMI 이벤트 구독을 통한 지속성 차단을 제외한 모든 공격 표면 감소 규칙은 Windows 1709 이상에서 지원됩니다.

• 악용된 취약한 서명된 드라이버의 남용 차단
• 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단
• 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단
• Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단
• Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
• JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단
• 잠재적으로 난독 처리된 스크립트의 실행 차단
• Office 매크로에서 Win32 API 호출 차단
• 랜섬웨어에 대한 고급 보호 사용
• Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단 (lsass.exe)
• PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
• USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단
• 실행 파일이 보급률, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단
• Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단
• Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
• WMI 이벤트 구독을 통한 지속성 차단

공격 표면 감소 규칙의 기본 상태는 "Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단"이 구성되지 않음에서 구성됨으로 변경되고 기본 모드가 차단으로 설정 됩니다. 다른 모든 공격 표면 감소 규칙은 기본 상태인 구성되지 않음으로 유지됩니다. 최종 사용자 알림을 줄이기 위해 규칙에 추가 필터링 논리가 이미 통합되었습니다. 고객은 기본 모드를 재정의하는 감사, 경고 또는 사용 안 함 모드로 규칙을 구성할 수 있습니다. 이 규칙의 기능은 규칙이 기본 모드로 구성되었는지 또는 블록 모드를 수동으로 사용하도록 설정했는지 여부와 동일합니다.

잠시 동안 감사 모드에서 공격 표면 감소 규칙을 실행하여 공격 표면 감소 규칙이 organization 미치는 영향을 테스트합니다. 감사 모드에서 규칙을 실행하는 동안 잘못 차단될 수 있는 기간 업무 애플리케이션을 식별하고 공격 표면 감소에서 제외할 수 있습니다.

대규모 조직은 점점 더 광범위한 디바이스 하위 집합에서 규칙을 감사하고 사용하도록 설정하여 "링"에서 공격 표면 감소 규칙을 배포하는 것을 고려해야 합니다. Intune 또는 그룹 정책 관리 도구를 사용하여 organization 디바이스를 링으로 정렬할 수 있습니다.

규칙이 organization 전체에서 실행되면 규칙이 작동하는 방식에 대한 적절한 기준을 얻으려면 약 30일 동안 규칙을 감사 모드로 유지합니다. 감사 기간 동안 규칙에 의해 차단될 수 있는 기간 업무 애플리케이션을 식별하고 제외하도록 규칙을 구성할 수 있습니다.

대부분의 경우 다른 보안 솔루션에서 규칙을 가져오려는 것보다 엔드포인트용 Defender 에서 제안하는 기준 권장 사항으로 시작하는 것이 더 쉽고 낫습니다. 그런 다음 감사 모드, 모니터링 및 분석과 같은 도구를 사용하여 고유한 요구 사항에 맞게 새 솔루션을 구성합니다.

엔드포인트용 Defender의 실시간 보호와 결합된 대부분의 공격 표면 감소 규칙에 대한 기본 구성은 많은 수의 악용 및 취약성으로부터 보호합니다.

엔드포인트용 Defender 내에서 사용자 지정 표시기로 방어를 업데이트하여 특정 소프트웨어 동작을 허용하고 차단할 수 있습니다. 공격 표면 축소를 사용하면 파일 및 폴더 제외 형식으로 규칙을 일부 사용자 지정할 수도 있습니다. 일반적으로 일정 기간 동안 규칙을 감사하고 차단될 수 있는 기간 업무 애플리케이션에 대한 제외를 구성하는 것이 가장 좋습니다.

예. 공격 표면 감소 규칙에서 파일 또는 폴더를 제외하는 방법에 대한 자세한 내용은 공격 표면 감소 규칙에서 파일 및 폴더 제외 및 제외된 파일 경로에서 시스템 변수 및 와일드카드 사용에 대한 자세한 내용은파일 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사를 참조하세요.

규칙에 따라 달라집니다. 대부분의 공격 표면 감소 규칙은 Word, Excel, PowerPoint, OneNote 또는 Outlook과 같은 Microsoft Office 제품 및 서비스의 동작을 다룹니다. 잠재적으로 난독 처리된 스크립트의 실행 차단과 같은 특정 공격 표면 감소 규칙은 scope 더 일반적입니다.

공격 표면 감소는 Microsoft Defender 바이러스 백신을 사용하여 애플리케이션을 차단합니다. 현재 차단을 위해 다른 보안 솔루션을 사용하도록 공격 표면 감소를 구성할 수 없습니다.

공격 표면 감소 규칙에 의해 알림을 로컬로 트리거할 때마다 이벤트에 대한 보고서도 엔드포인트용 Defender 포털로 전송됩니다. 이벤트를 찾는 데 문제가 있는 경우 검색 상자를 사용하여 타임라인 이벤트를 필터링할 수 있습니다. 클라우드용 Defender 작업 표시줄의 구성 관리 아이콘에서 공격 표면 관리로 이동을 방문하여 공격 표면 감소 이벤트를 볼 수도 있습니다. 공격 표면 관리 페이지에는 엔드포인트용 Defender에 보고된 공격 표면 감소 규칙 이벤트의 전체 목록이 포함된 보고서 검색 탭이 포함되어 있습니다.

Windows 10 또는 Windows 11 직접 인덱싱 옵션을 열어 보세요.

1. Windows 작업 표시줄에서 Search 아이콘을 선택합니다.

2. 검색 상자에 인덱싱 옵션을 입력합니다.

아니요. 이 규칙에서 사용하는 기준은 전 세계에서 수집된 데이터를 사용하여 신뢰할 수 있는 목록을 지속적으로 최신 상태로 유지하기 위해 Microsoft 클라우드 보호에서 유지 관리됩니다. 로컬 관리자는 이 데이터를 변경할 수 있는 쓰기 권한이 없습니다. 엔터프라이즈에 맞게 조정하도록 이 규칙을 구성하려는 경우 제외 목록에 특정 애플리케이션을 추가하여 규칙이 트리거되지 않도록 할 수 있습니다.

이 규칙은 신뢰할 수 있는 앱 목록에 보급, 연령 또는 포함으로 측정된 알려진 평판을 갖는 각 애플리케이션에 의존합니다. 애플리케이션을 차단하거나 허용하는 규칙의 결정은 궁극적으로 이러한 기준에 대한 Microsoft 클라우드 보호의 평가에 따라 결정됩니다.

일반적으로 클라우드 보호는 새 버전의 애플리케이션이 이전 버전과 충분히 비슷하며 길이에 따라 재평가할 필요가 없다는 것을 확인할 수 있습니다. 그러나 특히 주요 업데이트 후 버전을 전환한 후 앱이 평판을 구축하는 데 다소 시간이 걸릴 수 있습니다. 그 동안 제외 목록에 애플리케이션을 추가하여 이 규칙이 중요한 애플리케이션을 차단하지 못하도록 할 수 있습니다. 새 버전의 애플리케이션을 자주 업데이트하고 작업하는 경우 대신 감사 모드에서 이 규칙을 실행하도록 선택할 수 있습니다.

이 규칙에서 생성된 알림이 반드시 악의적인 활동을 나타내는 것은 아닙니다. 그러나 맬웨어는 종종 계정에 대한 불법 액세스를 얻기 위해 lsass.exe 대상으로 하기 때문에 이 규칙은 악의적인 활동을 차단하는 데 여전히 유용합니다. lsass.exe 프로세스는 사용자가 로그인한 후 메모리에 사용자 자격 증명을 저장합니다. Windows는 이러한 자격 증명을 사용하여 사용자의 유효성을 검사하고 로컬 보안 정책을 적용합니다.

일반적인 하루 종일 많은 합법적인 프로세스가 자격 증명에 대한 lsass.exe 호출하기 때문에 이 규칙은 특히 시끄럽을 수 있습니다. 알려진 합법적인 애플리케이션으로 인해 이 규칙이 과도한 수의 알림을 생성하는 경우 제외 목록에 추가할 수 있습니다. 대부분의 다른 공격 표면 감소 규칙은 lsass.exe 호출하는 것이 많은 애플리케이션의 정상적인 작동의 전형이기 때문에 이 알림에 비해 상대적으로 적은 수의 알림을 생성합니다.

LSA 보호도 사용하도록 설정된 경우 이 규칙을 사용하도록 설정해도 추가 보호가 제공되지 않습니다. 규칙과 LSA 보호는 모두 거의 동일한 방식으로 작동하므로 둘 다 동시에 실행되는 것은 중복될 수 있습니다. 그러나 경우에 따라 LSA 보호를 사용하도록 설정하지 못할 수 있습니다. 이러한 경우 이 규칙을 사용하도록 설정하여 lsass.exe 대상으로 하는 맬웨어에 대해 동등한 보호를 제공할 수 있습니다.

• 공격 표면 감소 개요
• 공격 표면 감소 규칙 평가
• 공격 표면 감소 규칙 배포 3단계: 공격 표면 감소 규칙 구현
• 공격 표면 감소 규칙 사용
• 다른 바이러스 백신/맬웨어 방지와 Microsoft Defender 바이러스 백신의 호환성