Configuration Manager 사용하여 Windows 디바이스 온보딩

  • 아티클

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

필수 구성 요소

중요

바이러스 백신 및 공격 표면 감소 정책이 대상 엔드포인트에 올바르게 배포되도록 Endpoint Protection 지점 사이트 시스템 역할이 필요합니다. 이 역할이 없으면 디바이스 컬렉션의 엔드포인트는 구성된 바이러스 백신 및 공격 표면 감소 정책을 받지 못합니다.

Configuration Manager 사용하여 엔드포인트를 엔드포인트용 Microsoft Defender 서비스에 온보딩할 수 있습니다.

Configuration Manager 사용하여 디바이스를 온보딩하는 데 사용할 수 있는 몇 가지 옵션이 있습니다.

Windows Server 2012 R2 및 Windows Server 2016 경우 온보딩 단계를 완료한 후 System Center Endpoint Protection 클라이언트를 구성하고 업데이트해야 합니다.

참고

엔드포인트용 Defender는 OOBE(기본 제공 환경) 단계에서 온보딩을 지원하지 않습니다. Windows 설치 또는 업그레이드를 실행한 후 사용자가 OOBE를 완료해야 합니다.

디바이스가 온보딩된 경우 Configuration Manager 애플리케이션에서 지속적으로 검사 검색 규칙을 만들 수 있습니다. 애플리케이션은 패키지 및 프로그램과 다른 유형의 개체입니다. 디바이스가 아직 온보딩되지 않은 경우(보류 중인 OOBE 완료 또는 기타 이유로 인해) Configuration Manager 규칙이 상태 변경을 감지할 때까지 디바이스를 다시 온보딩하려고 시도합니다.

이 동작은 "OnboardingState" 레지스트리 값(REG_DWORD 형식) = 1인지 확인하는 검색 규칙을 만들어 수행할 수 있습니다. 이 레지스트리 값은 "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" 아래에 있습니다. 자세한 내용은 System Center 2012 R2 Configuration Manager 검색 방법 구성을 참조하세요.

샘플 컬렉션 설정 구성

각 디바이스에 대해 Microsoft Defender XDR 통해 심층 분석을 위해 파일을 제출할 때 디바이스에서 샘플을 수집할 수 있는지 여부를 명시하도록 구성 값을 설정할 수 있습니다.

참고

이러한 구성 설정은 일반적으로 Configuration Manager 통해 수행됩니다.

Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 디바이스에서 샘플 공유 설정을 변경할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 설정하여 규정을 준수하는지 확인하는 수정 규정 준수 규칙 구성 항목이어야 합니다.

구성은 다음 레지스트리 키 항목을 통해 설정됩니다.

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

여기서 키 형식은 D-WORD입니다. 가능한 값은 다음과 같습니다.

  • 0: 이 디바이스에서 샘플 공유를 허용하지 않습니다.
  • 1: 이 디바이스에서 모든 파일 형식을 공유할 수 있습니다.

레지스트리 키가 없는 경우 기본값은 1입니다.

System Center Configuration Manager 규정 준수에 대한 자세한 내용은 System Center 2012 R2 Configuration Manager 규정 준수 설정 소개를 참조하세요.

Microsoft Configuration Manager 사용하여 Windows 디바이스 온보딩

컬렉션 만들기

Microsoft Configuration Manager 사용하여 Windows 디바이스를 온보딩하려면 배포가 기존 컬렉션을 대상으로 하거나 테스트를 위해 새 컬렉션을 만들 수 있습니다.

그룹 정책 또는 수동 메서드와 같은 도구를 사용하여 온보딩해도 시스템에 에이전트가 설치되지 않습니다.

Microsoft Configuration Manager 콘솔 내에서 온보딩 프로세스는 콘솔 내의 규정 준수 설정의 일부로 구성됩니다.

이 필수 구성을 수신하는 모든 시스템은 Configuration Manager 클라이언트가 관리 지점에서 이 정책을 계속 수신하는 한 해당 구성을 유지 관리합니다.

다음 단계에 따라 Microsoft Configuration Manager 사용하여 엔드포인트를 온보딩합니다.

  1. Microsoft Configuration Manager 콘솔에서 자산 및 규정 준수 > 개요 > 디바이스 컬렉션으로 이동합니다.

    Microsoft Configuration Manager 마법사1의 스크린샷

  2. 디바이스 컬렉션을 선택하고 길게 누르거나 마우스 오른쪽 단추로 클릭하고 디바이스 컬렉션 만들기를 선택합니다.

    Microsoft Configuration Manager 마법사2의 스크린샷

  3. 이름컬렉션 제한을 입력한 다음, 다음을 선택합니다.

    Microsoft Configuration Manager 마법사3의 스크린샷

  4. 규칙 추가를 선택하고 쿼리 규칙을 선택합니다.

    Microsoft Configuration Manager 마법사4의 스크린샷

  5. 직접 멤버 자격 마법사에서 다음을 선택한 다음 쿼리 문 편집을 선택합니다.

    Microsoft Configuration Manager 마법사5의 스크린샷

  6. 조건을 선택한 다음, star 아이콘을 선택합니다.

    Microsoft Configuration Manager 마법사6의 스크린샷

  7. 조건 유형을 단순 값으로 유지하고 운영 체제 - 빌드 번호, 연산자 가 14393 보다 크거나 같 음 및 값 14393인 반면를 선택하고 확인을 선택합니다.

    Microsoft Configuration Manager 마법사7의 스크린샷

  8. 다음닫기를 선택합니다.

    Microsoft Configuration Manager 마법사8의 스크린샷

  9. 다음을 선택합니다.

    Microsoft Configuration Manager 마법사9의 스크린샷

이 작업을 완료한 후에는 환경의 모든 Windows 엔드포인트가 있는 디바이스 컬렉션이 있습니다.

디바이스를 서비스에 온보딩한 후에는 다음과 같은 권장 구성 설정으로 디바이스를 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.

디바이스 컬렉션 구성

Configuration Manager 버전 2002 이상을 사용하는 경우 서버 또는 하위 수준 클라이언트를 포함하도록 배포를 확대하도록 선택할 수 있습니다.

차세대 보호 구성

다음 구성 설정을 사용하는 것이 좋습니다.

검사

  • USB 드라이브와 같은 이동식 스토리지 디바이스 검사: 예

실시간 보호

  • 동작 모니터링 사용: 예
  • 다운로드 및 설치 전에 잠재적으로 원치 않는 애플리케이션에 대한 보호를 사용하도록 설정: 예

Cloud Protection Service

  • Cloud Protection Service 멤버 자격 유형: 고급 멤버 자격

공격 표면 감소

감사에 사용 가능한 모든 규칙을 구성합니다.

참고

이러한 활동을 차단하면 합법적인 비즈니스 프로세스가 중단됩니다. 가장 좋은 방법은 감사할 모든 항목을 설정하고, 켜기에 안전한 설정을 지정한 다음, 가양성 검색이 없는 엔드포인트에서 해당 설정을 사용하도록 설정하는 것입니다.

Microsoft Configuration Manager(SCCM)을 통해 Microsoft Defender 바이러스 백신 및 공격 표면 감소 정책을 배포하려면 다음 단계를 수행합니다.

  • Endpoint Protection을 사용하도록 설정하고 사용자 지정 클라이언트 설정을 구성합니다.
  • 명령 프롬프트에서 Endpoint Protection 클라이언트를 설치합니다.
  • Endpoint Protection 클라이언트 설치를 확인합니다.
Endpoint Protection 사용 및 사용자 지정 클라이언트 설정 구성

단계에 따라 사용자 지정 클라이언트 설정의 엔드포인트 보호 및 구성을 사용하도록 설정합니다.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 클라이언트 설정을 클릭합니다.

  3. 탭의 만들기 그룹에서 사용자 지정 클라이언트 디바이스 설정 만들기를 클릭합니다.

  4. 사용자 지정 클라이언트 디바이스 설정 만들기 대화 상자에서 설정 그룹에 대한 이름과 설명을 입력한 다음 Endpoint Protection을 선택합니다.

  5. 필요한 Endpoint Protection 클라이언트 설정을 구성합니다. 구성할 수 있는 Endpoint Protection 클라이언트 설정의 전체 목록은 클라이언트 설정 정보에서 Endpoint Protection 섹션을 참조하세요.

    중요

    Endpoint Protection에 대한 클라이언트 설정을 구성하기 전에 Endpoint Protection 사이트 시스템 역할을 설치합니다.

  6. 확인을 클릭하여 사용자 지정 클라이언트 디바이스 설정 만들기 대화 상자를 닫습니다. 새 클라이언트 설정은 관리 작업 영역의 클라이언트 설정 노드에 표시됩니다.

  7. 다음으로, 사용자 지정 클라이언트 설정을 컬렉션에 배포합니다. 배포하려는 사용자 지정 클라이언트 설정을 선택합니다. 탭의 클라이언트 설정 그룹에서 배포를 클릭합니다.

  8. 컬렉션 선택 대화 상자에서 클라이언트 설정을 배포할 컬렉션을 선택한 다음 확인을 클릭합니다. 새 배포는 세부 정보 창의 배포 탭에 표시됩니다.

클라이언트는 다음에 클라이언트 정책을 다운로드할 때 이러한 설정으로 구성됩니다. 자세한 내용은 Configuration Manager 클라이언트에 대한 정책 검색 시작을 참조하세요.

명령 프롬프트에서 Endpoint Protection 클라이언트 설치

명령 프롬프트에서 엔드포인트 보호 클라이언트 설치를 완료하려면 단계를 수행합니다.

  1. Configuration Manager 설치 폴더의 클라이언트 폴더에서 Endpoint Protection 클라이언트 소프트웨어를 설치하려는 컴퓨터로scepinstall.exe복사합니다.

  2. 명령 프롬프트를 관리자 권한으로 엽니다. 설치 관리자를 사용하여 디렉터리를 폴더로 변경합니다. 그런 다음, 를 실행 scepinstall.exe하여 필요한 추가 명령줄 속성을 추가합니다.

    속성 설명
    /s 설치 관리자를 자동으로 실행
    /q 설치 파일을 자동으로 추출합니다.
    /i 설치 관리자를 정상적으로 실행
    /policy 설치하는 동안 클라이언트를 구성할 맬웨어 방지 정책 파일 지정
    /sqmoptin MICROSOFT CEIP(고객 환경 개선 프로그램)에 옵트인

  3. 화면의 지침에 따라 클라이언트 설치를 완료합니다.

  4. 최신 업데이트 정의 패키지를 다운로드한 경우 패키지를 클라이언트 컴퓨터에 복사한 다음 정의 패키지를 두 번 클릭하여 설치합니다.

    참고

    Endpoint Protection 클라이언트 설치가 완료되면 클라이언트는 검사 정의 업데이트를 자동으로 수행합니다. 이 업데이트 검사 성공하면 최신 정의 업데이트 패키지를 수동으로 설치할 필요가 없습니다.

예: 맬웨어 방지 정책을 사용하여 클라이언트 설치

scepinstall.exe /policy <full path>\<policy file>

Endpoint Protection 클라이언트 설치 확인

참조 컴퓨터에 Endpoint Protection 클라이언트를 설치한 후 클라이언트가 올바르게 작동하는지 확인합니다.

  1. 참조 컴퓨터의 Windows 알림 영역에서 System Center Endpoint Protection 엽니다.
  2. System Center Endpoint Protection 대화 상자의 탭에서 실시간 보호가 켜기로 설정되어 있는지 확인합니다.
  3. 바이러스 및 스파이웨어 정의에 대한 최신 정보가 표시되는지 확인합니다.
  4. 참조 컴퓨터가 이미징할 준비가 되었는지 확인하려면 검사 옵션 에서 전체 를 선택한 다음 지금 검사를 클릭합니다.

네트워크 보호

감사 또는 차단 모드에서 네트워크 보호를 사용하도록 설정하기 전에 지원 페이지에서 가져올 수 있는 맬웨어 방지 플랫폼 업데이트를 설치했는지 확인합니다.

제어된 폴더 액세스

감사 모드에서 30일 이상 기능을 사용하도록 설정합니다. 이 기간이 지나면 검색을 검토하고 보호된 디렉터리에 쓸 수 있는 애플리케이션 목록을 만듭니다.

자세한 내용은 제어된 폴더 액세스 평가를 참조하세요.

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

Configuration Manager 사용하여 디바이스 오프보딩

보안상의 이유로 디바이스를 오프보딩하는 데 사용되는 패키지는 다운로드한 날짜 이후 30일 후에 만료됩니다. 디바이스로 전송된 만료된 오프보딩 패키지는 거부됩니다. 오프보딩 패키지를 다운로드할 때 패키지 만료 날짜에 대한 알림이 표시되고 패키지 이름에도 포함됩니다.

참고

온보딩 및 오프보딩 정책은 동일한 디바이스에 동시에 배포해서는 안 되며, 그렇지 않으면 예측할 수 없는 충돌이 발생합니다.

Microsoft Configuration Manager 현재 분기를 사용하여 디바이스 오프보딩

Microsoft Configuration Manager 현재 분기를 사용하는 경우 오프보딩 구성 파일 만들기를 참조하세요.

System Center 2012 R2 Configuration Manager 사용하여 디바이스 오프보딩

  1. Microsoft Defender 포털에서 오프보딩 패키지를 가져옵니다.

    1. 탐색 창에서 설정>엔드포인트>디바이스 관리>오프보딩을 선택합니다.
    2. 운영 체제로 Windows 10 또는 Windows 11 선택합니다.
    3. 배포 방법 필드에서 System Center Configuration Manager 2012/2012 R2/1511/1602를 선택합니다.
    4. 패키지 다운로드를 선택하고 .zip 파일을 저장합니다.

  2. 패키지를 배포할 네트워크 관리자가 액세스할 수 있는 공유 읽기 전용 위치에 .zip 파일의 콘텐츠를 추출합니다. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 파일이 있어야 합니다.

  3. System Center 2012 R2 Configuration Manager 문서의 패키지 및 프로그램 단계에 따라 패키지를 배포합니다.

    패키지를 배포할 미리 정의된 디바이스 컬렉션을 선택합니다.

중요

오프보딩을 사용하면 디바이스가 포털로 센서 데이터 전송을 중지하지만, 디바이스에서 받은 경고에 대한 참조를 포함한 데이터는 최대 6개월 동안 보존됩니다.

디바이스 구성 모니터링

현재 분기를 Microsoft Configuration Manager 사용하는 경우 Configuration Manager 콘솔에서 엔드포인트용 기본 제공 Defender dashboard 사용합니다. 자세한 내용은 엔드포인트용 Defender - 모니터를 참조하세요.

System Center 2012 R2 Configuration Manager 사용하는 경우 모니터링은 다음 두 부분으로 구성됩니다.

  1. 구성 패키지가 올바르게 배포되었고 네트워크의 디바이스에서 실행 중인지(또는 성공적으로 실행되었는지) 확인합니다.

  2. 디바이스가 엔드포인트용 Defender 서비스를 준수하는지 확인합니다(이렇게 하면 디바이스가 온보딩 프로세스를 완료하고 서비스에 데이터를 계속 보고할 수 있습니다).

구성 패키지가 올바르게 배포되었는지 확인

  1. Configuration Manager 콘솔의 탐색 창 아래쪽에서 모니터링을 클릭합니다.

  2. 개요를 선택한 다음 배포를 선택합니다.

  3. 패키지 이름을 사용하여 배포에서 를 선택합니다.

  4. 완료 통계콘텐츠 상태 아래의 상태 지표를 검토합니다.

    실패한 배포( 오류, 요구 사항이 충족되지 않음 또는 실패 상태의 디바이스)가 있는 경우 디바이스 문제를 해결해야 할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 온보딩 문제 해결을 참조하세요.

    오류 없이 성공적인 배포를 보여 주는 Configuration Manager

디바이스가 엔드포인트용 Microsoft Defender 서비스를 준수하는지 확인합니다.

System Center 2012 R2 Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 배포를 모니터링할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 모니터링하는 수정 되지 않는 규정 준수 규칙 구성 항목이어야 합니다.

다음 레지스트리 키 항목을 모니터링합니다.

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

자세한 내용은 System Center 2012 R2 Configuration Manager 규정 준수 설정 소개를 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.