제어된 폴더 액세스 사용자 지정

  • 아티클
  • 읽는 데 6분 걸림

적용 대상:

플랫폼

  • Windows

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스를 사용하면 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 귀중한 데이터를 보호할 수 있습니다. 제어된 폴더 액세스는 Windows Server 2019, Windows Server 2022, Windows 10 및 Windows 11 클라이언트에서 지원됩니다. 이 문서에서는 제어된 폴더 액세스 기능을 사용자 지정하는 방법을 설명하고 다음 섹션을 포함합니다.

중요

제어된 폴더 액세스는 악성으로 검색된 활동에 대한 앱을 모니터링합니다. 경우에 따라 합법적인 앱이 파일을 변경하지 못하도록 차단됩니다. 제어된 폴더 액세스가 조직의 생산성에 영향을 미치는 경우 감사 모드 에서 이 기능을 실행하여 영향을 완전히 평가하는 것이 좋습니다.

추가 폴더 보호

제어된 폴더 액세스는 문서, 사진동영상 과 같은 폴더를 포함하여 많은 시스템 폴더 및 기본 위치에 적용됩니다. 보호할 다른 폴더를 추가할 수 있지만 기본 목록에서 기본 폴더를 제거할 수는 없습니다.

제어된 폴더 액세스에 다른 폴더를 추가하는 것은 기본 Windows 라이브러리에 파일을 저장하지 않거나 라이브러리의 기본 위치를 변경한 경우에 유용할 수 있습니다.

네트워크 공유 및 매핑된 드라이브를 지정할 수도 있습니다. 환경 변수 및 와일드카드가 지원됩니다. 와일드카드 사용에 대한 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요.

Windows 보안 앱, 그룹 정책, PowerShell cmdlet 또는 모바일 디바이스 관리 구성 서비스 공급자를 사용하여 보호된 폴더를 추가 및 제거할 수 있습니다.

Windows 보안 앱을 사용하여 추가 폴더 보호

  1. 작업 표시줄에서 방패 아이콘을 선택하거나 시작 메뉴 보안을 검색하여 Windows 보안 앱을 엽니다.

  2. 바이러스 & 위협 방지 를 선택한 다음 랜섬웨어 보호 섹션까지 아래로 스크롤합니다.

  3. 랜섬웨어 보호 관리를 선택하여 랜섬웨어 보호 창을 엽니다.

  4. 제어된 폴더 액세스 섹션에서 보호된 폴더를 선택합니다.

  5. 사용자 Access Control 프롬프트에서 예를 선택합니다. 보호된 폴더 창이 표시됩니다.

  6. 보호된 폴더 추가를 선택하고 프롬프트에 따라 폴더를 추가합니다.

그룹 정책 사용하여 추가 폴더 보호

  1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다.

  2. 구성할 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집 을 선택합니다.

  3. 그룹 정책 관리 편집기 에서 컴퓨터 구성 > 정책 > 관리 템플릿으로 이동합니다.

  4. Windows Defender Exploit Guard 제어 폴더 액세스를 Microsoft Defender 바이러스 백신 > 구성 요소를 > Windows 트리를 > 확장합니다.
    참고: 이전 버전의 Windows Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신 표시될 수 있습니다.

  5. 구성된 보호된 폴더를 두 번 클릭한 다음 옵션을 사용 으로 설정합니다. 표시 를 선택하고 보호할 각 폴더를 지정합니다.

  6. 일반적으로 그룹 정책 개체를 배포합니다.

PowerShell을 사용하여 추가 폴더 보호

  1. 시작 메뉴 PowerShell 을 입력하고 Windows PowerShell 마우스 오른쪽 단추 로 클릭하고 관리자 권한으로 실행을 선택합니다.

  2. 다음 PowerShell cmdlet을 입력하고 폴더의 경로(예: )로 "c:\apps\"<the folder to be protected> 꿉다.

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"

  3. 보호할 각 폴더에 대해 2단계를 반복합니다. 보호되는 폴더는 Windows 보안 앱에 표시됩니다.

    cmdlet이 표시된 PowerShell 창

중요

목록에 Set-MpPreference앱을 추가하거나 추가하는 데 사용합니다Add-MpPreference. cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

MDM CSP를 사용하여 추가 폴더 보호

./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.

특정 앱이 제어되는 폴더를 변경할 수 있도록 허용

특정 앱이 항상 안전한 것으로 간주되는지 지정하고 보호된 폴더의 파일에 대한 쓰기 권한을 부여할 수 있습니다. 사용자가 알고 신뢰하는 특정 앱이 제어된 폴더 액세스 기능에 의해 차단되는 경우 앱 허용이 유용할 수 있습니다.

중요

기본적으로 Windows 허용 목록에 친숙한 것으로 간주되는 앱을 추가합니다. 자동으로 추가되는 이러한 앱은 Windows 보안 앱에 표시된 목록이나 연결된 PowerShell cmdlet을 사용하여 기록되지 않습니다. 대부분의 앱을 추가할 필요가 없습니다. 앱이 차단되고 있고 앱의 신뢰성을 확인할 수 있는 경우에만 앱을 추가합니다.

앱을 추가할 때 앱의 위치를 지정해야 합니다. 해당 위치의 앱만 보호된 폴더에 액세스할 수 있습니다. 이름이 같은 앱이 다른 위치에 있는 경우 허용 목록에 추가되지 않으며 제어된 폴더 액세스로 인해 차단될 수 있습니다.

허용되는 애플리케이션 또는 서비스는 시작된 후에 제어된 폴더에 대한 쓰기 액세스 권한만 줍니다. 예를 들어 업데이트 서비스는 중지되고 다시 시작될 때까지 허용된 후에도 이벤트를 계속 트리거합니다.

Windows Defender 보안 앱을 사용하여 특정 앱 허용

  1. 보안 에 대한 시작 메뉴를 검색하여 Windows 보안 앱을 엽니다.

  2. 바이러스 & 위협 방지 타일(또는 왼쪽 메뉴 모음의 방패 아이콘)을 선택한 다음 랜섬웨어 보호 관리를 선택합니다.

  3. 제어된 폴더 액세스 섹션에서 제어된 폴더 액세스를 통해 앱 허용 을 선택합니다.

  4. 허용된 앱 추가를 선택하고 프롬프트에 따라 앱을 추가합니다.

    허용되는 앱 추가 단추

그룹 정책 사용하여 특정 앱 허용

  1. 그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집 을 선택합니다.

  2. 그룹 정책 관리 편집기 에서 컴퓨터 구성 으로 이동하여 관리 템플릿 을 선택합니다.

  3. Windows Defender Exploit Guard 제어 폴더 액세스를 Microsoft Defender 바이러스 백신 > 구성 요소를 > Windows 트리를 > 확장합니다.

  4. 허용되는 애플리케이션 구성 설정을 두 번 클릭하고 옵션을 사용 으로 설정합니다. 표시 를 선택하고 각 앱을 입력합니다.

PowerShell을 사용하여 특정 앱 허용

  1. 시작 메뉴 PowerShell 을 입력하고 Windows PowerShell 마우스 오른쪽 단추 로 클릭하고 관리자 권한으로 실행을 선택합니다.

  2. 다음 cmdlet을 입력합니다.

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"

    예를 들어 C:\apps 폴더에 있는 실행 파일test.exe 추가하려면 cmdlet은 다음과 같습니다.

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

    계속 사용하여 Add-MpPreference -ControlledFolderAccessAllowedApplications 목록에 앱을 더 추가합니다. 이 cmdlet을 사용하여 추가된 앱은 Windows 보안 앱에 표시됩니다.

    애플리케이션을 허용하는 PowerShell cmdlet

중요

목록에 앱을 추가하거나 추가하는 데 사용합니다 Add-MpPreference . cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

MDM CSP를 사용하여 특정 앱 허용

./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.

서명된 실행 파일이 보호된 폴더에 액세스하도록 허용

엔드포인트용 Microsoft Defender 인증서 및 파일 표시기를 사용하면 서명된 실행 파일이 보호된 폴더에 액세스할 수 있습니다. 구현 세부 정보는 인증서를 기반으로 표시기 만들기를 참조하세요.

참고

Powershell을 비롯한 스크립팅 엔진에는 적용되지 않습니다.

알림 사용자 지정

규칙이 트리거되고 앱 또는 파일을 차단할 때 알림을 사용자 지정하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 경고 알림 구성을 참조하세요.

참고 항목