VDI(가상 데스크톱 인프라) 환경에서 Microsoft Defender 바이러스 백신의 배포 가이드

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

표준 온-프레미스 또는 하드웨어 구성 외에도 RDS(원격 데스크톱) 또는 비영구 VDI(가상 데스크톱 인프라) 환경에서 Microsoft Defender 바이러스 백신을 사용할 수 있습니다. VDI에서 실행되는 VM에 업데이트를 쉽게 배포할 수 있으므로 머신에서 쉽고 빠르게 업데이트를 받을 수 있습니다. 업데이트가 호스트 서버의 구성 요소 비트로 확장된 다음 VM이 켜지면 VM에 직접 다운로드되므로 더 이상 정기적으로 골든 이미지를 만들고 봉인할 필요가 없습니다.

이 가이드에서는 다음 방법을 포함하여 최적의 보호 및 성능을 위해 VM을 구성하는 방법을 설명합니다.

• 보안 인텔리전스 업데이트를 위한 전용 VDI 파일 공유 설정
• 예약된 검사 임의화
• 빠른 검사 사용
• 알림 방지
• 업데이트할 때마다 검색이 발생하지 않도록 설정
• 한동안 오프라인 상태였던 오래된 컴퓨터 또는 컴퓨터 검색
• 제외 적용

Microsoft 원격 데스크톱 Services 및 VDI 지원에 대한 자세한 내용은 Azure Virtual Desktop 설명서를 참조하세요.

Azure 기반 가상 머신의 경우 클라우드용 Microsoft Defender에서 Endpoint Protection 설치를 참조하세요.

중요

VDI는 Windows Server 2012 또는 Windows Server 2016 호스트할 수 있지만 이전 버전의 Windows에서 사용할 수 없는 보호 기술과 기능이 증가하여 VM(가상 머신)이 최소 Windows 10 1607을 실행해야 합니다. Microsoft Defender AV가 Windows 10 Insider Preview, 빌드 18323 이상에서 가상 머신에서 작동하는 방식에 성능 및 기능이 향상되었습니다. 참가자 미리 보기 빌드를 사용해야 하는 경우 이 가이드에서 확인할 수 있습니다. 지정되지 않은 경우 최상의 보호 및 성능에 필요한 최소 버전은 Windows 10 1607입니다.

전용 VDI 파일 공유 설정

Windows 10 버전 1903에서는 다운로드한 보안 인텔리전스 업데이트의 압축을 풀고 호스트 컴퓨터에 오프로드하여 개별 머신에 이전 CPU, 디스크 및 메모리 리소스를 저장하는 공유 보안 인텔리전스 기능을 도입했습니다. 이 기능은 백포트되었으며 이제 Windows 10 버전 1703 이상에서 작동합니다. 그룹 정책 또는 PowerShell을 사용하여 이 기능을 설정할 수 있습니다.

그룹 정책 사용하여 공유 보안 인텔리전스 기능을 사용하도록 설정합니다.

1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성할 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집 을 클릭합니다.

2. 그룹 정책 관리 편집기 에서 컴퓨터 구성 으로 이동합니다.

3. 관리 템플릿을 클릭합니다.

4. 트리를 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 보안 인텔리전스 업데이트 확장합니다.

5. VDI 클라이언트에 대한 보안 인텔리전스 위치 정의를 두 번 클릭한 다음 옵션을 사용 으로 설정합니다. 필드가 자동으로 나타납니다.

6. 이 값에 대한 도움말은 다운로드 및 압축 풀기 참조)를 입력 \\<sharedlocation\>\wdav-update 합니다.

7. 확인 을 클릭합니다.

8. 테스트하려는 VM에 GPO를 배포합니다.

PowerShell을 사용하여 공유 보안 인텔리전스 기능 사용

다음 cmdlet을 사용하여 기능을 사용하도록 설정합니다. 그런 다음 일반적으로 PowerShell 기반 구성 정책을 VM에 푸시하므로 이를 푸시해야 합니다.

Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update

다운로드 및 패키지 해제 섹션을 <shared location> 참조하세요.

최신 업데이트 다운로드 및 압축 풀기

이제 새 업데이트 다운로드 및 설치를 시작할 수 있습니다. 아래에서 샘플 PowerShell 스크립트를 만들었습니다. 이 스크립트는 새 업데이트를 다운로드하고 VM을 준비하는 가장 쉬운 방법입니다. 그런 다음 예약된 작업을 사용하여 관리 컴퓨터에서 특정 시간에 실행되도록 스크립트를 설정해야 합니다(또는 Azure, Intune 또는 SCCM에서 PowerShell 스크립트를 사용하는 데 익숙한 경우 해당 스크립트를 사용할 수도 있음).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

cmd /c "cd /d $vdmpath & mpam-fe.exe /x"

패키지를 다운로드하고 압축을 풀 때마다 VM이 새 업데이트를 받도록 예약된 작업을 하루에 한 번 실행하도록 설정할 수 있습니다. 하루에 한 번 시작하는 것이 좋지만 영향을 이해하기 위해 빈도를 늘리거나 줄이는 실험을 해야 합니다.

보안 인텔리전스 패키지는 일반적으로 3~4시간마다 한 번씩 게시됩니다. 4시간보다 짧은 빈도를 설정하는 것은 아무런 이점 없이 관리 머신의 네트워크 오버헤드를 증가시킬 수 있기 때문에 권장되지 않습니다.

VM을 대신하여 업데이트를 한 간격으로 가져와서 사용할 수 있도록 파일 공유에 배치하도록 단일 서버 또는 컴퓨터를 설정할 수도 있습니다. 이는 디바이스에 공유에 대한 읽기 액세스에 대한 공유 및 NTFS 권한이 있는 경우 업데이트를 받을 수 있습니다. 이렇게 하려면 다음을 수행합니다.

1. SMB/CIFS 파일 공유를 만듭니다.

2. 다음 예제를 사용하여 다음 공유 권한이 있는 파일 공유를 만듭니다.

   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   

   참고

   인증된 사용자:읽기: 에 대한 NTFS 권한이 추가됩니다.

   이 예제의 경우 파일 공유는 다음과 같습니다.

   \\fileserver.fqdn\mdatp$\wdav-update

PowerShell 스크립트를 실행하도록 예약된 작업 설정

1. 관리 컴퓨터에서 시작 메뉴를 열고 작업 스케줄러를 입력합니다. 이 옵션을 열고 사이드 패널에서 작업 만들기를 선택합니다.

2. 이름을 보안 인텔리전스 언패커 로 입력합니다. 트리거 탭으로 이동합니다. 새로 만들기 를 선택합니다... > 매일 확인을 선택합니다.

3. 작업 탭으로 이동합니다. 새로 만들기 를 선택합니다... 프로그램/스크립트 필드에 PowerShell 을 입력합니다. 인수 추가 필드에 입력 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 합니다. 확인 을 선택합니다.

4. 원하는 경우 추가 설정을 구성하도록 선택할 수 있습니다.

5. 확인을 선택하여 예약된 작업을 저장합니다.

작업을 마우스 오른쪽 단추로 클릭하고 실행을 클릭하여 업데이트를 수동으로 시작할 수 있습니다.

수동으로 다운로드 및 압축 풀기

모든 작업을 수동으로 수행하려는 경우 스크립트의 동작을 복제하기 위해 수행할 일은 다음과 같습니다.

1. 예를 들어, 인텔리전스 업데이트를 저장하기 위해 호출된 wdav_update 시스템 루트에 새 폴더 c:\wdav_update를 만듭니다.

2. GUID 이름을 사용하여 wdav_update 아래에 하위 폴더 만들기(예: {00000000-0000-0000-0000-000000000000}

   예제는 다음과 같습니다. c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   참고

   스크립트에서 GUID의 마지막 12자리가 파일이 다운로드된 연도, 월, 일 및 시간이 되도록 설정하여 매번 새 폴더를 만듭니다. 매번 파일이 동일한 폴더에 다운로드되도록 변경할 수 있습니다.

3. GUID 폴더로 https://www.microsoft.com/wdsi/definitions 보안 인텔리전스 패키지를 다운로드합니다. 파일의 이름을 mpam-fe.exe지정해야 합니다.

4. cmd 프롬프트 창을 열고 만든 GUID 폴더로 이동합니다. 예를 들어 mpam-fe.exe /X/X 추출 명령을 사용하여 파일을 추출합니다.

   참고

   VM은 추출된 업데이트 패키지로 새 GUID 폴더를 만들거나 기존 폴더가 추출된 새 패키지로 업데이트될 때마다 업데이트된 패키지를 선택합니다.

예약된 검사 임의화

예약된 검사는 실시간 보호 및 검사 외에 실행됩니다.

검사 자체의 시작 시간은 예약된 검사 정책(ScheduleDay, ScheduleTime 및 ScheduleQuickScanTime)을 기반으로 합니다. 임의화로 인해 Microsoft Defender 바이러스 백신은 예약된 검사에 대해 설정된 시간부터 4시간 이내에 각 컴퓨터에서 검사를 시작합니다.

예약 된 검사에 사용할 수 있는 다른 구성 옵션은 검사 예약을 참조하세요.

빠른 검사 사용

예약된 검사 중에 수행해야 하는 검사 유형을 지정할 수 있습니다. 빠른 검사는 맬웨어가 활성 상태여야 하는 모든 위치에서 확인하도록 설계되므로 선호되는 방법입니다. 다음 절차에서는 그룹 정책 사용하여 빠른 검사를 설정하는 방법을 설명합니다.

1. 그룹 정책 편집기에서 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 로 이동합니다.

2. 예약된 검사에 사용할 검사 유형 지정을 선택한 다음, 정책 설정을 편집합니다.

3. 정책을 사용 으로 설정한 다음 옵션 에서 빠른 검사를 선택합니다.

4. 확인 을 선택합니다.

5. 평소와 같이 그룹 정책 개체를 배포합니다.

알림 방지

경우에 따라 Microsoft Defender 바이러스 백신 알림을 여러 세션으로 보내거나 유지할 수 있습니다. 이 문제를 최소화하기 위해 Microsoft Defender 바이러스 백신 사용자 인터페이스를 잠글 수 있습니다. 다음 절차에서는 그룹 정책 사용하여 알림을 표시하지 않는 방법을 설명합니다.

1. 그룹 정책 편집기에서 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 클라이언트 인터페이스 로 이동합니다.

2. 모든 알림 표시 안 을 선택한 다음 정책 설정을 편집합니다.

3. 정책을 사용 으로 설정한 다음 확인을 선택합니다.

4. 평소와 같이 그룹 정책 개체를 배포합니다.

알림을 표시하지 않을 경우 검색이 수행되거나 수정 작업이 수행되면 microsoft Defender 바이러스 백신의 알림이 Windows 10 알림 센터에 표시되지 않습니다. 그러나 보안 운영 팀은 공격이 감지되고 중지되는 동안 검사 결과를 볼 수 있습니다. "초기 액세스 경고"와 같은 경고가 트리거되고 Microsoft 365 Defender 포털에 표시됩니다.

팁

Windows 10 또는 Windows 11 알림 센터를 열려면 다음 단계 중 하나를 수행합니다.

• 작업 표시줄의 오른쪽 끝에서 작업 센터 아이콘을 선택합니다.
• Windows 로고 키 단추 + A를 누릅니다.
• 터치 스크린 장치에서 화면의 오른쪽 가장자리에서 살짝 밉다.

업데이트 후 검사 사용 안 함

업데이트 후 검사를 사용하지 않도록 설정하면 업데이트를 받은 후 검색이 발생하지 않습니다. 빠른 검색을 실행한 경우 기본 이미지를 만들 때 이 설정을 적용할 수 있습니다. 이렇게 하면 새로 업데이트된 VM이 기본 이미지를 만들 때 이미 검사했기 때문에 다시 검사를 수행하지 못하도록 방지할 수 있습니다.

중요

업데이트 후 검사를 실행하면 VM이 최신 보안 인텔리전스 업데이트로 보호되는지 확인하는 데 도움이 됩니다. 이 옵션을 사용하지 않도록 설정하면 VM의 보호 수준이 줄어들고 기본 이미지를 처음 만들거나 배포할 때만 사용해야 합니다.

1. 그룹 정책 편집기에서 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 보안 인텔리전스 업데이트 이동합니다.

2. 보안 인텔리전스 업데이트 후 검사 켜기를 선택한 다음, 정책 설정을 편집합니다.

3. 정책을 사용 안 함으로 설정합니다.

4. 확인 을 선택합니다.

5. 평소와 같이 그룹 정책 개체를 배포합니다.

이 정책은 업데이트 직후에 검사가 실행되지 않도록 방지합니다.

옵션 사용 안 함 ScanOnlyIfIdle

다음 cmdlet을 사용하여 디바이스가 수동 모드인 경우 유휴 상태가 될 때마다 빠른 또는 예약된 검사를 중지합니다.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

로컬 또는 도메인 그룹 정책을 통해 구성하여 Microsoft Defender 바이러스 백신에서 옵션을 사용하지 않도록 설정할 ScanOnlyIfIdle 수도 있습니다. 이렇게 하면 고밀도 환경에서 상당한 CPU 경합이 방지됩니다.

자세한 내용은 컴퓨터가 켜졌지만 사용하지 않는 경우에만 예약된 검사 시작을 참조하세요.

오프라인 상태인 VM 검사

1. 그룹 정책 편집기에서 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 로 이동합니다.

2. 빠른 검색 캐치업 켜기를 선택한 다음, 정책 설정을 편집합니다.

3. 정책을 사용 으로 설정합니다.

4. 확인 을 선택합니다.

5. 일반적으로 그룹 정책 개체를 배포합니다.

이 정책은 VM이 두 개 이상의 연속 예약된 검사를 놓친 경우 검사를 강제로 수행합니다.

헤드리스 UI 모드 사용

1. 그룹 정책 편집기에서 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 클라이언트 인터페이스 로 이동합니다.

2. 헤드리스 UI 모드 사용을 선택하고 정책을 편집합니다.

3. 정책을 사용 으로 설정합니다.

4. 확인 을 클릭합니다.

5. 일반적으로 그룹 정책 개체를 배포합니다.

이 정책은 조직의 최종 사용자로부터 전체 Microsoft Defender 바이러스 백신 사용자 인터페이스를 숨깁니다.

제외

필요에 맞게 제외를 추가, 제거 또는 사용자 지정할 수 있습니다.

자세한 내용은 Windows Server에서 Microsoft Defender 바이러스 백신 제외 구성을 참조하세요.

팁

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

• macOS의 엔드포인트용 Microsoft Defender 기본 설정
• 엔드포인트용 Microsoft Defender(Mac용)
• Intune용 Microsoft Defender 바이러스 백신의 macOS 바이러스 백신 정책 설정
• Linux의 엔드포인트용 Microsoft Defender 기본 설정
• Microsoft Defender for Endpoint(Linux용)
• 엔드포인트용 Microsoft Defender(Android용) 기능 구성
• 엔드포인트용 Microsoft Defender(iOS용) 기능 구성

추가 리소스

• 기술 커뮤니티 블로그: 비영구 VDI 머신에 대한 Microsoft Defender 바이러스 백신 구성
• 원격 데스크톱 서비스 및 VDI에 대한 TechNet 포럼
• SignatureDownloadCustomTask PowerShell 스크립트