엔드포인트용 Microsoft Defender 서비스에 Windows 서버 온보딩

적용 대상:

• Windows Server 2012 R2
• Windows Server 2016
• Windows Server Semi-Annual Enterprise 채널
• Windows Server 2019 이상
• Windows Server 2019 코어 버전
• Windows Server 2022
• 엔드포인트용 Microsoft Defender

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender는 Windows Server 운영 체제를 포함하도록 지원을 확장합니다. 이 지원은 Microsoft 365 Defender 콘솔을 통해 고급 공격 탐지 및 조사 기능을 원활하게 제공합니다. Windows Server에 대한 지원은 서버 활동, 커널 및 메모리 공격 검색에 대한 적용 범위에 대한 심층적인 인사이트를 제공하고 응답 작업을 사용하도록 설정합니다.

이 항목에서는 특정 Windows 서버를 온보딩하여 엔드포인트용 Microsoft Defender 방법을 설명합니다.

Windows 서버용 Windows 보안 초기 계획을 다운로드하고 사용하는 방법에 대한 지침은 Windows 보안 기준을 참조하세요.

Windows Server 온보딩 개요

서버를 성공적으로 온보딩하려면 다음 일반 단계를 완료해야 합니다.

서버용 Microsoft Defender와 통합

엔드포인트용 Microsoft Defender 서버용 Microsoft Defender와 원활하게 통합됩니다. 서버를 자동으로 온보딩하고, Microsoft Defender for Cloud에서 모니터링하는 서버가 엔드포인트용 Defender에 표시되고, Microsoft Defender for Cloud 고객으로 자세한 조사를 수행할 수 있습니다.

자세한 내용은 Microsoft Defender for Cloud와의 통합을 참조하세요.

참고

최신 통합 솔루션을 실행하는 Windows Server 2012 R2 및 2016의 경우 이러한 컴퓨터에 새 솔루션을 수동으로 설치/업그레이드하거나 통합을 사용하여 해당 Microsoft Defender for Server 계획이 적용되는 서버를 자동으로 배포하거나 업그레이드할 수 있습니다. Defender for Cloud의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호에서 전환하는 방법에 대한 자세한 정보입니다.

• Microsoft Defender for Cloud를 사용하여 서버를 모니터링하는 경우 엔드포인트용 Defender 테넌트가 자동으로 만들어집니다(미국 사용자용 미국, 유럽 사용자용 EU 및 영국 사용자의 경우 영국). 엔드포인트용 Defender에서 수집한 데이터는 프로비전 중에 식별된 대로 테넌트 지리적 위치에 저장됩니다.
• Microsoft Defender for Cloud를 사용하기 전에 엔드포인트용 Defender를 사용하는 경우 나중에 Microsoft Defender for Cloud와 통합하더라도 테넌트 생성 시 지정한 위치에 데이터가 저장됩니다.
• 구성되면 데이터가 저장되는 위치를 변경할 수 없습니다. 데이터를 다른 위치로 이동해야 하는 경우 테넌트 재설정을 위해 Microsoft 지원 문의해야 합니다.
• 서버용 Microsoft Defender와 엔드포인트용 Microsoft Defender 간의 통합이 확장되어 Windows Server 2022, Windows Server 2019 및 WVD(Windows Virtual Desktop)를 지원합니다.
• 이 통합을 활용하는 서버 엔드포인트 모니터링은 Office 365 GCC 고객에 대해 사용하지 않도록 설정되었습니다.

R2 및 Windows Server 2016 Windows Server 2012:

• 설치 및 온보딩 패키지 다운로드
• 설치 패키지 적용
• 해당 도구의 온보딩 단계를 따릅니다.

Windows Server Semi-Annual Enterprise 채널 및 Windows Server 2019:

• 온보딩 패키지 다운로드
• 해당 도구의 온보딩 단계를 따릅니다.

중요

엔드포인트용 Microsoft Defender Server SKU를 구매할 수 있도록 하려면 Windows E5/A5, Microsoft 365 E5/A5 또는 Microsoft 365 E5 Security 구독 라이선스 중 최소를 이미 구매해야 합니다. 라이선스에 대한 자세한 내용은 제품 약관을 참조하세요.

최신 통합 솔루션의 새로운 Windows Server 2012 R2 및 2016 기능

R2 및 Windows Server 2012 Windows Server 2016 온보딩의 이전 구현에서는 MMA(Microsoft Monitoring Agent)를 사용해야 했습니다.

새로운 통합 솔루션 패키지를 사용하면 종속성 및 설치 단계를 제거하여 서버를 쉽게 온보딩할 수 있습니다. 또한 이 통합 솔루션 패키지에는 다음과 같은 주요 개선 사항이 제공됩니다.

• Windows Server 2012 R2에 대한 차세대 보호 기능을 갖춘 Microsoft Defender 바이러스 백신
• ASR(공격 표면 감소) 규칙
• 네트워크 보호
• 제어된 폴더 액세스
• PUA(사용자 동의 없이 설치된 애플리케이션) 차단
• 향상된 검색 기능
• 디바이스 및 파일의 확장된 응답 기능
• 블록 모드의 EDR
• 라이브 응답
• AIR(자동 조사 및 대응)
• 변조 방지

온보딩하는 서버에 따라 통합 솔루션은 Microsoft Defender 바이러스 백신 및/또는 EDR 센서를 설치합니다. 다음 표에서는 설치된 구성 요소와 기본적으로 기본 제공되는 구성 요소를 나타냅니다.

서버 버전	AV	EDR
R2 SP1 Windows Server 2012
Windows Server 2016	기본 제공
Windows Server 2019 이상	기본 제공	기본 제공

이전에 MMA를 사용하여 서버를 온보딩한 경우 서버 마이그레이션 에 제공된 지침에 따라 새 솔루션으로 마이그레이션합니다.

Windows Server 2012 R2 및 2016용 새로운 통합 솔루션 패키지의 알려진 문제 및 제한 사항

다음 세부 사항은 Windows Server 2012 R2 및 2016용 새 통합 솔루션 패키지에 적용됩니다.

• 프록시 서버의 엔드포인트용 Microsoft Defender 서비스 URL에 대한 액세스 사용에서 지정한 대로 연결 요구 사항이 충족되는지 확인합니다. Windows Server 2019와 동일합니다.

• 정적 TelemetryProxyServer 를 사용하고 CRL(인증서 해지 목록) URL을 SYSTEM 계정 컨텍스트에서 연결할 수 없는 경우 클라우드에 Windows Server 2012 R2 연결과 관련된 문제를 확인했습니다. 즉각적인 완화는 이러한 연결을 제공하는 대체 프록시 옵션("시스템 수준")을 사용하거나 SYSTEM 계정 컨텍스트에서 WinInet 설정을 통해 동일한 프록시를 구성하는 것입니다. 또는 연결이 끊긴 컴퓨터에서 TelemetryProxyServer와 관련된 알려진 문제에 대한 해결 방법에 제공된 지침을 사용하여 인증서를 해결 방법으로 설치합니다.

• 이전에는 Windows Server 2016 이하에서 MMA(Microsoft Monitoring Agent)를 사용하면 OMS/Log Analytics 게이트웨이가 Defender 클라우드 서비스에 대한 연결을 제공할 수 있습니다. Windows Server 2019, Windows Server 2022 및 Windows 10 엔드포인트용 Microsoft Defender 같은 새 솔루션은 이 게이트웨이를 지원하지 않습니다.

• Windows Server 2016 Microsoft Defender 바이러스 백신이 설치되어 있고 활성 상태이며 최신 상태인지 확인합니다. Windows 업데이트 사용하여 최신 플랫폼 버전을 다운로드하고 설치할 수 있습니다. 또는 Microsoft 업데이트 카탈로그 또는 MMPC에서 업데이트 패키지를 수동으로 다운로드합니다.

• Windows Server 2012 R2에는 Microsoft Defender 바이러스 백신에 대한 사용자 인터페이스가 없습니다. 또한 Windows Server 2016 사용자 인터페이스는 기본 작업만 허용합니다. 디바이스에서 로컬로 작업을 수행하려면 PowerShell, WMI 및 MPCmdRun.exe사용하여 엔드포인트용 Microsoft Defender 관리를 참조하세요. 따라서 사용자가 결정을 내리거나 특정 작업을 수행하라는 메시지가 표시되는 경우와 같이 사용자 상호 작용에 특별히 의존하는 기능이 예상대로 작동하지 않을 수 있습니다. 보호 기능에 영향을 미칠 수 있으므로 관리되는 서버에서 사용자 인터페이스를 사용하지 않도록 설정하거나 사용하지 않도록 설정하거나 사용자 상호 작용을 요구하지 않는 것이 좋습니다.

• 모든 운영 체제에서 모든 공격 표면 감소 규칙을 사용할 수 있는 것은 아닙니다. ASR(공격 표면 감소) 규칙을 참조하세요.

• 네트워크 보호를 사용하려면 추가 구성이 필요합니다.

  • Set-MpPreference -EnableNetworkProtection Enabled
  • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  • Set-MpPreference -AllowNetworkProtectionDownLevel 1
  • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

  또한 네트워크 트래픽이 많은 컴퓨터에서는 이 기능을 광범위하게 사용하도록 설정하기 전에 사용자 환경에서 성능 테스트를 수행하는 것이 좋습니다. 추가 리소스 사용량을 고려해야 할 수 있습니다.

• Windows Server 2012 R2에서는 네트워크 이벤트가 타임라인에 채워지지 않을 수 있습니다. 이 문제에는 2021년 10월 12일 월별 롤업(KB5006714)의 일부로 릴리스된 Windows 업데이트 필요합니다.

• 운영 체제 업그레이드는 지원되지 않습니다. 업그레이드하기 전에 오프보딩한 다음 제거합니다.

• Windows Server 2012 R2에서는 서버 역할에 대한 자동 제외가 지원되지 않습니다. 그러나 운영 체제 파일에 대한 기본 제공 제외는 지원되지 않습니다. 제외 추가에 대한 자세한 내용은 현재 지원되는 Windows 버전을 실행하는 엔터프라이즈 컴퓨터에 대한 바이러스 검사 권장 사항을 참조하세요.

• 이전 버전에서 업그레이드된 컴퓨터에서 MMA 기반 솔루션 및 EDR 센서는 10.8047.22439.1056보다 오래된 (미리 보기) 버전이며 MMA 기반 솔루션으로 다시 제거 및 되돌리면 충돌이 발생할 수 있습니다. 이러한 미리 보기 버전에 있는 경우 KB5005292를 사용하여 업데이트하세요.

• Microsoft Endpoint Manager 사용하여 새 솔루션을 배포하고 온보딩하려면 현재 패키지를 만들어야 합니다. Configuration Manager 프로그램 및 스크립트를 배포하는 방법에 대한 자세한 내용은 Configuration Manager 패키지 및 프로그램을 참조하세요. Endpoint Protection 노드를 사용하여 정책 구성 관리를 지원하려면 핫픽스 롤업 이상이 포함된 MECM 2107이 필요합니다.

연결이 끊긴 컴퓨터에서 TelemetryProxyServer의 알려진 문제에 대한 해결 방법

문제 설명: TelemetryProxyServer 설정을 사용하여 엔드포인트용 Microsoft Defender EDR 구성 요소에서 사용할 프록시를 지정할 때 CRL(인증서 해지 목록) URL에 액세스할 수 있는 다른 방법이 없는 컴퓨터에서 누락된 중간 인증서로 인해 EDR 센서가 클라우드 서비스에 성공적으로 연결되지 않습니다.

영향을 받는 시나리오: -엔드포인트용 Microsoft Defender Sense 버전 번호 10.8048.22439.1065 또는 Windows Server 2012 R2에서 실행 중인 이전 미리 보기 버전 -TelemetryProxyServer 프록시 구성 사용, 다른 방법은 영향을 받지 않습니다.

해결:

1. 온보딩 페이지에서 사용 가능한 최신 패키지를 사용하여 설치하거나 KB5005292를 적용하여 컴퓨터에서 Sense 버전 10.8048.22439.1065 이상을 실행하고 있는지 확인합니다.
2. 에서 인증서 다운로드 및 압축 풀기 https://github.com/microsoft/mdefordownlevelserver/blob/main/InterCA.zip
3. 인증서를 신뢰할 수 있는 로컬 컴퓨터 "중간 인증 기관" 저장소로 가져옵니다. PowerShell 명령을 사용할 수 있습니다. Import-Certificate -FilePath .\InterCA.cer -CertStoreLocation Cert:\LocalMachine\Ca

클라우드용 Microsoft Defender 통합

엔드포인트용 Microsoft Defender 클라우드용 Microsoft Defender와 원활하게 통합됩니다. 서버를 자동으로 온보딩하고, Microsoft Defender for Cloud에서 모니터링하는 서버가 엔드포인트용 Defender에 표시되고, Microsoft Defender for Cloud 고객으로 자세한 조사를 수행할 수 있습니다.

자세한 내용은 Microsoft Defender for Cloud와의 통합을 참조하세요. 클라우드용 Microsoft Defender를 통해 온보딩된 Linux 서버에는 수동 모드에서 Defender 바이러스 백신을 실행하도록 초기 구성이 설정됩니다.

참고

• 서버용 Microsoft Defender와 엔드포인트용 Microsoft Defender 간의 통합이 확장되어 Windows Server 2022, Windows Server 2019 및 WVD(Windows Virtual Desktop)를 지원합니다.
• 이 통합을 활용하는 서버 엔드포인트 모니터링은 Office 365 GCC 고객에 대해 사용하지 않도록 설정되었습니다.

Windows Server 2012 R2 및 Windows Server 2016

필수 구성 요소

Windows Server 2012 R2의 필수 구성 요소

최신 월별 롤업 패키지로 컴퓨터를 완전히 업데이트한 경우 추가 필수 구성 요소가 없습니다 .

설치 관리자 패키지는 업데이트를 통해 다음 구성 요소가 이미 설치되었는지 확인합니다.

• 고객 환경 및 진단 원격 분석을 위한 업데이트
• Windows에서 유니버설 C 런타임 업데이트

Windows Server 2016 위한 필수 구성 요소

• 2021년 9월 14일 이후의 SSU(서비스 스택 업데이트)를 설치해야 합니다.
• 2018년 9월 20일 이후의 최신 LCU(누적 업데이트)를 설치해야 합니다. 서버에 사용 가능한 최신 SSU 및 LCU를 설치하는 것이 좋습니다. - Microsoft Defender 바이러스 백신 기능을 사용하도록 설정/설치하고 최신 상태로 설정해야 합니다. Windows 업데이트 사용하여 최신 플랫폼 버전을 다운로드하고 설치할 수 있습니다. 또는 Microsoft 업데이트 카탈로그 또는 MMPC에서 업데이트 패키지를 수동으로 다운로드합니다.

타사 보안 솔루션으로 실행하기 위한 필수 구성 요소

타사 맬웨어 방지 솔루션을 사용하려는 경우 수동 모드에서 Microsoft Defender 바이러스 백신을 실행해야 합니다. 설치 및 온보딩 프로세스 중에 수동 모드로 설정해야 합니다.

참고

McAfee ENS(엔드포인트 보안) 또는 VSE(VirusScan Enterprise)를 사용하여 서버에 엔드포인트용 Microsoft Defender 설치하는 경우 Microsoft Defender 바이러스 백신이 제거되거나 사용하지 않도록 설정되지 않도록 McAfee 플랫폼 버전을 업데이트해야 할 수 있습니다. 필요한 특정 버전 번호를 포함한 자세한 내용은 McAfee 지식 센터 문서를 참조하세요.

Windows Server 2012 R2 및 2016에서 엔드포인트용 Microsoft Defender 대한 패키지 업데이트

EDR 센서 구성 요소에 대한 정기적인 제품 개선 및 수정 사항을 받으려면 Windows 업데이트 KB5005292가 적용 또는 승인되었는지 확인합니다. 또한 보호 구성 요소를 업데이트된 상태로 유지하려면 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요.

WSUS(Windows Server Update Services) 및/또는 Microsoft 엔드포인트 Configuration Manager 사용하는 경우 이 새로운 "EDR 센서에 대한 엔드포인트용 Microsoft Defender 업데이트"는 "범주"에서 사용할 수 있습니다. 엔드포인트용 Microsoft Defender".

온보딩 단계 요약

• 1단계: 설치 및 온보딩 패키지 다운로드
• 2단계: 설치 및 온보딩 패키지 적용
• 3단계: 온보딩 단계 완료

1단계: 설치 및 온보딩 패키지 다운로드

포털에서 설치 및 온보딩 패키지를 모두 다운로드해야 합니다.

참고

설치 패키지는 매월 업데이트됩니다. 사용 전에 최신 패키지를 다운로드해야 합니다.

참고

Windows Server 2012R2에서 Microsoft Defender 바이러스 백신은 설치 패키지에 의해 설치되며 수동 모드로 설정하지 않는 한 활성화됩니다. Windows Server 2016 Microsoft Defender 바이러스 백신을 먼저 기능으로 설치하고(MDE로 전환 참조) 설치를 계속하기 전에 완전히 업데이트해야 합니다.

타사 맬웨어 방지 솔루션을 실행하는 경우 설치하기 전에 Microsoft Defender 바이러스 백신(Defender 프로세스 탭의 Microsoft Defender 프로세스 목록)에 대한 제외를 타사 솔루션에 추가해야 합니다. 또한 Defender 바이러스 백신 제외 목록에 Microsoft 이외의 보안 솔루션을 추가하는 것이 좋습니다.

설치 패키지 에는 엔드포인트용 Microsoft Defender 에이전트를 설치하는 MSI 파일이 포함되어 있습니다.

온보딩 패키지 에는 다음 파일이 포함됩니다.

• OptionalParamsPolicy - 샘플 컬렉션을 사용하도록 설정하는 설정을 포함합니다.
• WindowsDefenderATPOnboardingScript.cmd - 온보딩 스크립트 포함

다음 단계를 사용하여 패키지를 다운로드합니다.

1. Microsoft 365 Defender 설정 > 장치 관리 > 온보딩으로 이동합니다.

2. Windows Server 2012 R2 및 2016 을 선택합니다.

3. 설치 패키지 다운로드 를 선택하고 .msi 파일을 저장합니다.

4. 온보딩 패키지 다운로드를 선택하고 .zip 파일을 저장합니다.

5. Microsoft Defender 바이러스 백신을 설치하는 옵션을 사용하여 설치 패키지를 설치합니다. 설치에는 관리 권한이 필요합니다.

2단계: 설치 및 온보딩 패키지 적용

이 단계에서는 디바이스를 엔드포인트용 Microsoft Defender 클라우드 환경에 온보딩하기 전에 필요한 방지 및 검색 구성 요소를 설치하여 온보딩을 위해 컴퓨터를 준비합니다. 모든 필수 구성 요소가 충족되었는지 확인합니다.

참고

Microsoft Defender 바이러스 백신이 설치되고 수동 모드로 설정하지 않는 한 활성화됩니다.

엔드포인트용 Microsoft Defender 패키지를 설치하는 옵션

이전 섹션에서 설치 패키지를 다운로드했습니다. 설치 패키지에는 모든 엔드포인트용 Microsoft Defender 구성 요소에 대한 설치 관리자가 포함되어 있습니다.

다음 옵션 중 원하는 옵션을 사용하여 에이전트를 설치할 수 있습니다.

• 명령줄을 사용하여 설치
• 스크립트를 사용하여 설치
• 그룹 정책 사용하여 설치 및 온보딩 패키지 적용

명령줄을 사용하여 엔드포인트용 Microsoft Defender 설치

이전 단계의 설치 패키지를 사용하여 엔드포인트용 Microsoft Defender 설치합니다.

다음 명령을 실행하여 엔드포인트용 Microsoft Defender 설치합니다.

Msiexec /i md4ws.msi /quiet

제거하려면 적절한 오프보딩 스크립트를 사용하여 컴퓨터가 먼저 오프보딩되었는지 확인합니다. 그런 다음 제어판 > 프로그램 > 프로그램 및 기능을 사용하여 제거를 수행합니다.

또는 다음 제거 명령을 실행하여 엔드포인트용 Microsoft Defender 제거합니다.

Msiexec /x md4ws.msi /quiet

위의 명령이 성공하려면 설치에 사용한 것과 동일한 패키지를 사용해야 합니다.

스위치는 /quiet 모든 알림을 표시하지 않습니다.

참고

Microsoft Defender 바이러스 백신은 자동으로 수동 모드로 전환되지 않습니다. 비 Microsoft 바이러스 백신/맬웨어 방지 솔루션을 실행하는 경우 수동 모드에서 실행되도록 Microsoft Defender 바이러스 백신을 설정할 수 있습니다. 명령줄 설치의 경우 선택적으로 FORCEPASSIVEMODE=1 Microsoft Defender 바이러스 백신 구성 요소를 수동 모드로 즉시 설정하여 간섭을 방지합니다. 그런 다음, EDR 블록과 같은 기능을 지원하기 위해 온보딩한 후에도 Defender 바이러스 백신이 수동 모드로 유지되도록 하려면 "ForceDefenderPassiveMode" 레지스트리 키를 설정합니다.

Windows Server에 대한 지원은 서버 활동, 커널 및 메모리 공격 검색에 대한 적용 범위에 대한 심층적인 인사이트를 제공하고 응답 작업을 사용하도록 설정합니다.

스크립트를 사용하여 엔드포인트용 Microsoft Defender 설치

설치 관리자 스크립트를 사용하여 설치, 제거 및 온보딩을 자동화할 수 있습니다. 자세한 내용은 그룹 정책 스크립트를 사용하려면 다음 섹션의 지침을 참조하세요.

그룹 정책을 사용하여 엔드포인트용 Microsoft Defender 설치 및 온보딩 패키지 적용

1. 그룹 정책을 만듭니다.
   GPMC(그룹 정책 관리 콘솔)를 열고 구성하려는 그룹 정책 개체 를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다. 표시되는 대화 상자에 새 GPO의 이름을 입력하고 확인을 클릭합니다.

2. GPMC(그룹 정책 관리 콘솔)를 열고 구성할 GPO(그룹 정책 개체)를 마우스 오른쪽 단추로 클릭하고 편집 을 클릭합니다.

3. 그룹 정책 관리 편집기 에서 컴퓨터 구성, 기본 설정, 제어판 설정 으로 차례로 이동합니다.

4. 예약된 작업을 마우스 오른쪽 단추로 클릭하고 새로 만들기 를 가리킨 다음 직접 작업(Windows 7 이상) 을 클릭합니다.

5. 열리는 작업 창에서 일반 탭으로 이동합니다. 보안 옵션 에서 사용자 또는 그룹 변경을 클릭하고 SYSTEM을 입력한 다음 이름 확인을 클릭한 다음 확인을 클릭합니다. NT AUTHORITY\SYSTEM은 태스크가 실행될 사용자 계정으로 표시됩니다.

6. 사용자가 로그온되었는지 여부에 관계없이 실행을 선택하고 가장 높은 권한으로 실행 확인란을 선택합니다.

7. 이름 필드에 예약된 작업에 대한 적절한 이름(예: 엔드포인트 배포용 Defender)을 입력합니다.

8. 작업 탭으로 이동하여 새로 만들기... 작업 필드에서 프로그램 시작 이 선택되어 있는지 확인합니다. 설치 관리자 스크립트는 설치를 처리하고 설치가 완료된 후 즉시 온보딩 단계를 수행합니다. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 선택한 다음 인수를 제공합니다.

    -ExecutionPolicy RemoteSigned \\servername-or-dfs-space\share-name\install.ps1 -OnboardingScript \\servername-or-dfs-space\share-name\windowsdefenderatponboardingscript.cmd
   

   참고

   권장되는 실행 정책 설정은 Allsigned. 이렇게 하려면 스크립트가 엔드포인트에서 SYSTEM으로 실행되는 경우 로컬 컴퓨터 신뢰할 수 있는 게시자 저장소로 스크립트의 서명 인증서를 가져와야 합니다.

   공유install.ps1 파일의 FQDN(정규화된 도메인 이름)을 사용하여 servername-or-dfs-space\share-name을 UNC 경로로 바꿉\니다. 설치 관리자 패키지 md4ws.msi 동일한 디렉터리에 배치해야 합니다. UNC 경로의 사용 권한이 패키지를 설치하는 컴퓨터 계정에 대한 쓰기 액세스를 허용하여 로그 파일 만들기를 지원하는지 확인합니다. 로그 파일 만들기를 사용하지 않도록 설정하려는 경우(권장되지 않음) -noETL -noETW 매개 변수를 사용할 수 있습니다.

   Microsoft Defender 바이러스 백신이 비 Microsoft 맬웨어 방지 솔루션과 공존하도록 하려는 시나리오의 경우 설치 중에 수동 모드를 설정하는 $Passive 매개 변수를 추가합니다.

9. 확인을 선택하고 열려 있는 GPMC 창을 닫습니다.

10. GPO를 OU(조직 구성 단위)에 연결하려면 마우스 오른쪽 단추를 클릭하고 기존 GPO 연결을 선택합니다. 표시되는 대화 상자에서 연결하려는 그룹 정책 개체를 선택합니다. 확인 을 클릭합니다.

추가 구성 설정은 샘플 컬렉션 설정 및 기타 권장 구성 설정 구성을 참조하세요.

3단계: 온보딩 단계 완료

다음 단계는 타사 맬웨어 방지 솔루션을 사용하는 경우에만 적용됩니다. 다음 Microsoft Defender 바이러스 백신 수동 모드 설정을 적용해야 합니다. 올바르게 구성되었는지 확인합니다.

1. 다음 레지스트리 항목을 설정합니다.

   • 경로: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
   • 이름: ForceDefenderPassiveMode
   • 형식: REG_DWORD
   • 값: 1

   

중요

• Microsoft Endpoint Manager 통해 Windows Server 2012 R2, 2016, 2019 및 2022용 온보딩 패키지는 현재 스크립트로 제공됩니다. Configuration Manager 프로그램 및 스크립트를 배포하는 방법에 대한 자세한 내용은 Configuration Manager 패키지 및 프로그램을 참조하세요.
• 로컬 스크립트는 개념 증명에 적합하지만 프로덕션 배포에 사용하면 안 됩니다. 프로덕션 배포의 경우 그룹 정책 또는 Microsoft 엔드포인트 Configuration Manager 사용하는 것이 좋습니다.

Windows Server Semi-Annual Enterprise 채널(SAC), Windows Server 2019 및 Windows Server 2022

패키지 다운로드

1. Microsoft 365 Defender 설정 > 장치 관리 > 온보딩으로 이동합니다.

2. Windows Server 1803 및 2019 를 선택합니다.

3. 패키지 다운로드 를 선택합니다. WindowsDefenderATPOnboardingPackage.zip 저장합니다.

4. 온보딩 단계 완료 섹션에 제공된 단계를 따릅니다.

온보딩 및 설치 확인

Microsoft Defender 바이러스 백신 및 엔드포인트용 Microsoft Defender 실행 중인지 확인합니다.

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

참고

Microsoft Defender 바이러스 백신을 실행할 필요는 없지만 권장됩니다. 다른 바이러스 백신 공급업체 제품이 기본 엔드포인트 보호 솔루션인 경우 수동 모드에서 Defender 바이러스 백신을 실행할 수 있습니다. sense(엔드포인트용 Microsoft Defender 센서)가 실행 중인지 확인한 후에만 수동 모드가 켜졌는지 확인할 수 있습니다.

1. 다음 명령을 실행하여 Microsoft Defender 바이러스 백신이 설치되어 있는지 확인합니다.

   참고

   이 확인 단계는 활성 맬웨어 방지 솔루션으로 Microsoft Defender 바이러스 백신을 사용하는 경우에만 필요합니다.

   sc.exe query Windefend
   

   결과가 '지정된 서비스가 설치된 서비스로 존재하지 않습니다.'인 경우 Microsoft Defender 바이러스 백신을 설치해야 합니다.

   그룹 정책 사용하여 Windows 서버에서 Microsoft Defender 바이러스 백신을 구성하고 관리하는 방법에 대한 자세한 내용은 그룹 정책 설정을 사용하여 Microsoft Defender 바이러스 백신을 구성하고 관리하는 방법을 참조하세요.

2. 다음 명령을 실행하여 엔드포인트용 Microsoft Defender 실행 중인지 확인합니다.

   sc.exe query sense
   

   결과는 실행 중임을 표시해야 합니다. 온보딩에 문제가 발생하는 경우 온보딩 문제 해결을 참조하세요.

검색 테스트 실행

새로 온보딩된 디바이스에서 검색 테스트 실행의 단계에 따라 서버가 엔드포인트 서비스를 위해 Defender에 보고하고 있는지 확인합니다.

다음 단계

디바이스를 서비스에 성공적으로 온보딩한 후에는 엔드포인트용 Microsoft Defender 개별 구성 요소를 구성해야 합니다. 채택 순서에 따라 다양한 구성 요소를 사용하도록 설정하는 방법을 안내합니다.

Windows 서버 오프보딩

Windows Server 2012 Windows 10 클라이언트 디바이스에 사용할 수 있는 동일한 방법으로 R2, Windows Server 2016, Windows Server(SAC), Windows Server 2019 및 Windows Server 2019 Core 버전을 오프보딩할 수 있습니다.

• 그룹 정책 사용하여 디바이스 오프보딩
• Configuration Manager 사용하여 디바이스 오프보딩
• 모바일 장치 관리 도구를 사용하여 디바이스 오프보딩
• 로컬 스크립트를 사용하여 디바이스 오프보딩

오프보딩 후 Windows Server 2012 R2 및 Windows Server 2016 통합 솔루션 패키지를 제거할 수 있습니다.

다른 Windows 서버 버전의 경우 서비스에서 Windows 서버를 오프보딩하는 두 가지 옵션이 있습니다.

• MMA 에이전트 제거
• 엔드포인트용 Defender 작업 영역 구성 제거

참고

다른 Windows 서버 버전에 대한 이러한 오프보딩 지침은 MMA가 필요한 Windows Server 2016 및 Windows Server 2012 R2에 대한 이전 엔드포인트용 Microsoft Defender 실행하는 경우에도 적용됩니다. 새 통합 솔루션으로 마이그레이션하는 지침은 엔드포인트용 Microsoft Defender 서버 마이그레이션 시나리오에 있습니다.

관련 항목

• 이전 버전의 Windows 온보딩
• 그룹 정책을 통한 Windows 10 장치 온보딩
• Windows가 아닌 장치 온보딩
• 프록시 및 인터넷 연결 설정 구성
• 새로 온보딩된 엔드포인트용 Defender 디바이스에서 검색 테스트 실행
• 엔드포인트용 Microsoft Defender 온보딩 문제 해결