제어된 폴더 액세스로 중요한 폴더 보호Protect important folders with controlled folder access

적용 대상:Applies to:

Endpoint용 Defender를 경험하고 싶나요?Want to experience Defender for Endpoint? 무료 평가판에 등록합니다.Sign up for a free trial.

제어된 폴더 액세스란?What is controlled folder access?

제어된 폴더 액세스는 랜섬웨어와 같은 악성 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다.Controlled folder access helps protect your valuable data from malicious apps and threats, such as ransomware. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록에서 앱을 확인하여 데이터를 보호합니다.Controlled folder access protects your data by checking apps against a list of known, trusted apps. Windows Server 2019 및 Windows 10 클라이언트에서 지원되는 제어된 폴더 액세스는 Windows 보안 App, Microsoft Endpoint Configuration Manager 또는 Intune(관리되는 디바이스의 경우)을 사용하여 켜져 있을 수 있습니다.Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App, Microsoft Endpoint Configuration Manager, or Intune (for managed devices).

참고

스크립팅 엔진은 신뢰할 수 없습니다. 제어된 보호된 폴더에 대한 액세스를 허용할 수 없습니다.Scripting engines are not trusted and you cannot allow them access to controlled protected folders. 예를 들어 인증서 및 파일 표시기를 사용하여 허용하는 경우에도 PowerShell은 제어된 폴더 액세스에서 신뢰되지 않습니다.For example, PowerShell is not trusted by controlled folder access, even if you allow with certificate and file indicators.

제어된 폴더 액세스는 제어된 폴더 액세스 이벤트에 대한 자세한 보고를 제공하고 일반적인 경고 조사 시나리오의 일부로 차단하는 끝점용 Microsoft Defender와가장 잘 작동합니다.Controlled folder access works best with Microsoft Defender for Endpoint, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

제어된 폴더 액세스 블록은 경고 큐에 경고를 생성하지 않습니다.Controlled folder access blocks don't generate alerts in the Alerts queue. 그러나 고급 헌팅을 사용하는 동안 또는 사용자 지정 검색 규칙과 함께 장치 타임라인 보기에서 제어된 폴더 액세스 블록에 대한 정보를 볼 수 있습니다.However, you can view information about controlled folder access blocks in the device timeline view, while using advanced hunting, or with custom detection rules.

제어된 폴더 액세스는 어떻게 작동하나요?How does controlled folder access work?

제어된 폴더 액세스는 신뢰할 수 있는 앱이 보호된 폴더에 액세스할 수만 있도록 허용하여 작동합니다.Controlled folder access works by only allowing trusted apps to access protected folders. 보호된 폴더는 제어된 폴더 액세스를 구성할 때 지정됩니다.Protected folders are specified when controlled folder access is configured. 일반적으로 일반적으로 문서, 그림, 다운로드 등에서 사용되는 폴더와 같이 일반적으로 사용되는 폴더는 제어된 폴더 목록에 포함됩니다.Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

제어된 폴더 액세스는 신뢰할 수 있는 앱 목록에서 작동합니다.Controlled folder access works with a list of trusted apps. 신뢰할 수 있는 소프트웨어 목록에 포함된 앱은 예상대로 작동됩니다.Apps that are included in the list of trusted software work as expected. 목록에 포함되지 않은 앱은 보호된 폴더 내부의 파일을 변경할 수 없습니다.Apps that are not included in the list are prevented from making any changes to files inside protected folders.

앱이 보전 및 신뢰도에 따라 목록에 추가됩니다.Apps are added to the list based upon their prevalence and reputation. 조직 전체에서 매우 만연하며 악의적인 것으로 간주되는 동작을 표시하지 않은 앱은 신뢰할 수 있는 앱으로 간주됩니다.Apps that are highly prevalent throughout your organization and that have never displayed any behavior deemed malicious are considered trustworthy. 이러한 앱은 목록에 자동으로 추가됩니다.Those apps are added to the list automatically.

Configuration Manager 또는 Intune을 사용하여 앱을 신뢰할 수 있는 목록에 수동으로 추가할 수도 있습니다.Apps can also be added manually to the trusted list by using Configuration Manager or Intune. 앱에 대한 파일 표시기 추가와 같은 추가 작업은 보안 센터 콘솔에서 수행할 수 있습니다.Additional actions, such as adding a file indicator for an app, can be performed from the Security Center Console.

제어된 폴더 액세스가 중요한 이유Why controlled folder access is important

제어된 폴더 액세스는 랜섬웨어로부터 문서 및 정보를 보호하는 데 특히 유용합니다.Controlled folder access is especially useful in helping to protect your documents and information from ransomware. 랜섬웨어 공격에서 파일은 암호화되고 인질로 보호될 수 있습니다.In a ransomware attack, your files can get encrypted and held hostage. 제어된 폴더 액세스가 적용된 경우 앱이 보호된 폴더의 파일을 변경하려고 시도한 컴퓨터에 알림이 표시됩니다.With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다.You can customize the notification with your company details and contact information. 또한 규칙을 개별적으로 사용하도록 설정하여 기능이 모니터링하는 기술을 사용자 지정할 수 있습니다.You can also enable the rules individually to customize what techniques the feature monitors.

보호된 폴더에는 일반적인 시스템 폴더(부팅 섹터 포함)가 포함되고 폴더를 더 추가할 수 있습니다.The protected folders include common system folders (including boot sectors), and you can add more folders. 앱에서 보호된 폴더에 대한 액세스 권한을 부여하도록 허용할 수도 있습니다.You can also allow apps to give them access to the protected folders.

감사 모드를 사용하여 제어된 폴더 액세스가 사용하도록 설정된 경우 조직에 어떤 영향을 미치는지 평가할 수 있습니다.You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. 또한 Windows Defender 테스트 demo.wd.microsoft.com 웹 사이트를 방문하여 기능이 작동하는지 확인하고 작동 방법을 확인할 수 있습니다.You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

제어된 폴더 액세스는 다음 버전의 폴더에서 Windows.Controlled folder access is supported on the following versions of Windows:

Windows 폴더는 기본적으로 보호됩니다.Windows system folders are protected by default

Windows 폴더는 기본적으로 몇 가지 다른 폴더와 함께 보호됩니다.Windows system folders are protected by default, along with several other folders:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

참고

추가 폴더를 보호된 폴더로 구성할 수는 있지만 기본적으로 보호되는 Windows 폴더는 제거할 수 없습니다.You can configure additional folders as protected, but you cannot remove the Windows system folders that are protected by default.

제어된 폴더 액세스에 대한 요구 사항Requirements for controlled folder access

제어된 폴더 액세스를 사용하려면 실시간 Microsoft Defender 바이러스 백신 활성화해야 합니다.Controlled folder access requires enabling Microsoft Defender Antivirus real-time protection.

Defender 포털에서 제어된 폴더 액세스 Microsoft 365 검토Review controlled folder access events in the Microsoft 365 Defender portal

Endpoint용 Defender는 이벤트에 대한 자세한 보고를 제공하며, Microsoft 365 Defender 포털에서 경고 조사 시나리오의 일부로 차단합니다.Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios in the Microsoft 365 Defender portal. (Defender의 끝점에 대한 Microsoft Defender를 Microsoft 365 참조).(See Microsoft Defender for Endpoint in Microsoft 365 Defender.)

고급 헌팅을 사용하여 Microsoft Defender에서 끝점 데이터를 쿼리할 수 있습니다.You can query Microsoft Defender for Endpoint data by using Advanced hunting. 감사 모드를 사용하는 경우 고급 헌팅을 사용하여 제어된 폴더 액세스 설정이 사용하도록 설정된 경우 환경에 어떤 영향을 주는지 볼 수 있습니다. If you're using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

쿼리 예제:Example query:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

이벤트 뷰어에서 제어된 폴더 액세스 Windows 검토Review controlled folder access events in Windows Event Viewer

제어된 Windows 로그를 검토하여 제어된 폴더 액세스가 앱을 차단(또는 감사)할 때 생성되는 이벤트를 볼 수 있습니다.You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

  1. 평가 패키지를 다운로드하고 디바이스에서cfa-events.xml쉽게 액세스할 수 있는 위치에 파일을 추출합니다.Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.
  2. 시작 메뉴에 이벤트 뷰어를 입력하여 이벤트 뷰어를 Windows 열 수 있습니다.Type Event viewer in the Start menu to open the Windows Event Viewer.
  3. 왼쪽 패널의 동작에서 사용자 지정 보기 가져오기... 를 선택합니다.On the left panel, under Actions, select Import custom view....
  4. 추출한 위치로 이동하여cfa-events.xml 선택합니다.Navigate to where you extracted cfa-events.xml and select it. 또는 XML을 직접 복사합니다.Alternatively, copy the XML directly.
  5. 확인 을 선택합니다.Select OK.

다음 표에는 제어된 폴더 액세스와 관련된 이벤트가 표시됩니다.The following table shows events related to controlled folder access:

이벤트 IDEvent ID 설명Description
50075007 설정이 변경될 때의 이벤트Event when settings are changed
11241124 감사된 제어된 폴더 액세스 이벤트Audited controlled folder access event
11231123 차단된 제어된 폴더 액세스 이벤트Blocked controlled folder access event

보호된 폴더 목록 보기 또는 변경View or change the list of protected folders

앱 앱을 Windows 보안 제어된 폴더 액세스로 보호되는 폴더 목록을 볼 수 있습니다.You can use the Windows Security app to view the list of folders that are protected by controlled folder access.

  1. 디바이스에서 Windows 10 앱을 Windows 보안 를 니다.On your Windows 10 device, open the Windows Security app.
  2. 바이러스 및 위협 방지 를 선택합니다.Select Virus & threat protection.
  3. 랜섬웨어 보호에서 랜섬웨어 보호 관리를 선택합니다.Under Ransomware protection, select Manage ransomware protection.
  4. 제어된 폴더 액세스가 꺼져 있는 경우 이를 켜야 합니다.If controlled folder access is turned off, you'll need to turn it on. 보호된 폴더를 선택합니다.Select protected folders.
  5. 다음 단계 중 하나를 실행합니다.Do one of the following steps:
    • 폴더를 추가하려면 + 보호된 폴더 추가를 선택합니다.To add a folder, select + Add a protected folder.
    • 폴더를 제거하려면 폴더를 선택하고 제거 를 선택합니다.To remove a folder, select it, and then select Remove.

참고

Windows 시스템 폴더는 기본적으로 보호되어 있으며 목록에서 제거할 수 없습니다.Windows system folders are protected by default, and you cannot remove them from the list.