공격 노출 영역 축소 규칙 사용

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft 365 Defender
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

팁

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

ASR 규칙(공격 표면 감소 규칙)은 맬웨어가 종종 디바이스 및 네트워크를 손상시키기 위해 남용하는 작업을 방지하는 데 도움이 됩니다.

요구 사항

Windows 버전에서 공격 표면 감소 기능

다음 버전 및 Windows 버전을 실행하는 디바이스에 대한 공격 표면 감소 규칙을 설정할 수 있습니다.

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 10 Pro 버전 1709 이상
• Windows 10 Enterprise 버전 1709 이상
• Windows Server 버전 1803(반기 채널) 이상
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

공격 표면 감소 규칙의 전체 기능 집합을 사용하려면 다음이 필요합니다.

• 기본 AV로 Windows Defender 바이러스 백신(실시간 보호 켜짐)
• Cloud-Delivery Protection 켜기(일부 규칙에 따라 필요)
• Windows 10 Enterprise E5 또는 E3 라이선스

공격 노출 영역 축소 규칙에는 Windows E5 라이선스가 필요하지 않지만 Windows E5 라이선스를 사용하면 엔드포인트용 Defender에서 사용할 수 있는 모니터링, 분석 및 워크플로뿐만 아니라 Microsoft 365 Defender 포털의 보고 및 구성 기능을 비롯한 고급 관리 기능을 얻을 수 있습니다. 이러한 고급 기능은 E3 라이선스에서 사용할 수 없지만 이벤트 뷰어 사용하여 공격 표면 감소 규칙 이벤트를 검토할 수 있습니다.

각 ASR 규칙에는 다음 네 가지 설정 중 하나가 포함됩니다.

• 구성 | 되지 않음 사용 안 함: ASR 규칙 사용 안 함
• 블록: ASR 규칙 사용
• 감사: 사용하도록 설정된 경우 ASR 규칙이 조직에 미치는 영향 평가
• 경고: ASR 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 바이패스하도록 허용

Windows E5 라이선스(또는 유사한 라이선스 SKU)와 함께 ASR 규칙을 사용하여 엔드포인트용 Microsoft Defender(엔드포인트용 Defender)에서 사용할 수 있는 고급 모니터링 및 보고 기능을 활용하는 것이 좋습니다. 그러나 고급 모니터링 및 보고 기능을 포함하지 않는 Windows Professional 또는 Windows E3와 같은 다른 라이선스가 있는 경우 ASR 규칙이 트리거될 때 각 엔드포인트에서 생성되는 이벤트(예: 이벤트 전달)를 기반으로 고유한 모니터링 및 보고 도구를 개발할 수 있습니다.

팁

Windows 라이선싱에 대한 자세한 내용은 Windows 10 라이선스를 참조하고 Windows 10 볼륨 라이선싱 가이드를 확인하세요.

다음 방법 중 원하는 방법을 사용하여 공격 표면 감소 규칙을 사용하도록 설정할 수 있습니다.

• Microsoft Intune
• MDM(모바일 장치 관리)
• Microsoft Endpoint Configuration Manager
• 그룹 정책
• PowerShell

Intune 또는 Microsoft Endpoint Manager 같은 엔터프라이즈 수준 관리를 권장합니다. 엔터프라이즈 수준 관리는 시작 시 충돌하는 그룹 정책 또는 PowerShell 설정을 덮어씁니다.

ASR 규칙에서 파일 및 폴더 제외

대부분의 공격 표면 감소 규칙에 의해 평가되는 파일 및 폴더를 제외할 수 있습니다. 즉, ASR 규칙이 파일 또는 폴더에 악의적인 동작이 포함되어 있다고 판단하더라도 파일 실행을 차단하지 않습니다. 이로 인해 안전하지 않은 파일이 실행되고 디바이스가 감염될 수 있습니다.

지정된 엔드포인트용 Defender 파일 및 인증서 표시기를 허용하여 인증서 및 파일 해시에 따라 트리거에서 ASR 규칙을 제외할 수도 있습니다. ( 표시기 관리 참조)

중요

파일 또는 폴더를 제외하면 ASR 규칙에서 제공하는 보호를 심각하게 줄일 수 있습니다. 제외된 파일은 실행할 수 있으며 보고서 또는 이벤트는 기록되지 않습니다. ASR 규칙이 검색해서는 안 된다고 생각되는 파일을 검색하는 경우 먼저 감사 모드를 사용하여 규칙을 테스트해야 합니다.

개별 파일 또는 폴더(폴더 경로 또는 정규화된 리소스 이름 사용)를 지정할 수 있지만 제외가 적용되는 규칙을 지정할 수는 없습니다. 제외는 제외된 애플리케이션 또는 서비스가 시작될 때만 적용됩니다. 예를 들어 이미 실행 중인 업데이트 서비스에 대한 제외를 추가하는 경우 업데이트 서비스는 서비스가 중지되고 다시 시작될 때까지 이벤트를 계속 트리거합니다.

ASR 규칙은 환경 변수 및 와일드카드를 지원합니다. 와일드카드 사용에 대한 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요.

정책 충돌

1. 충돌하는 정책이 MDM 및 GP를 통해 적용되는 경우 MDM에서 적용된 설정이 우선 적용됩니다.

2. MEM 관리 디바이스에 대한 공격 표면 감소 규칙은 이제 각 디바이스에 대한 정책의 상위 집합을 만들기 위해 다양한 정책의 설정 병합 동작을 지원합니다. 충돌하지 않는 설정만 병합되지만 충돌하는 설정은 규칙의 상위 집합에 추가되지 않습니다. 이전에는 두 정책에 단일 설정에 대한 충돌이 포함된 경우 두 정책 모두 충돌하는 것으로 플래그가 지정되었으며 두 프로필의 설정이 배포되지 않았습니다. 공격 표면 감소 규칙 병합 동작은 다음과 같습니다.

   • 다음 프로필의 공격 표면 감소 규칙은 규칙이 적용되는 각 디바이스에 대해 평가됩니다.
     • 디바이스 > 구성 정책 > 엔드포인트 보호 프로필 > Microsoft Defender Exploit Guard > 공격 표면 감소.
     • 엔드포인트 보안 > 공격 표면 감소 정책 > 공격 표면 감소 규칙.
     • 엔드포인트 보안 > 보안 기준 > Microsoft Defender ATP 기준 > 공격 표면 감소 규칙
   • 충돌이 없는 설정은 디바이스에 대한 정책의 상위 집합에 추가됩니다.
   • 둘 이상의 정책에 충돌하는 설정이 있는 경우 충돌하는 설정은 결합된 정책에 추가되지 않고 충돌하지 않는 설정은 디바이스에 적용되는 상위 집합 정책에 추가됩니다.
   • 충돌하는 설정에 대한 구성만 보류됩니다.

구성 방법

이 섹션에서는 다음 구성 방법에 대한 구성 세부 정보를 제공합니다.

• Intune
• MEM
• MDM
• Microsoft Endpoint Configuration Manager
• 그룹 정책
• PowerShell

ASR 규칙을 사용하도록 설정하는 다음 절차에는 파일 및 폴더를 제외하는 방법에 대한 지침이 포함되어 있습니다.

Intune

디바이스 구성 프로필

1. 디바이스 구성 > 프로필을 선택합니다. 기존 엔드포인트 보호 프로필을 선택하거나 새 엔드포인트 보호 프로필을 만듭니다. 새 프로필을 만들려면 프로필 만들기 를 선택하고 이 프로필에 대한 정보를 입력합니다. 프로필 유형 에 대해 Endpoint Protection 을 선택합니다. 기존 프로필을 선택한 경우 속성을 선택한 다음 설정을 선택합니다.

2. 엔드포인트 보호 창에서 Windows Defender Exploit Guard 를 선택한 다음, 공격 표면 감소를 선택합니다. 각 ASR 규칙에 대해 원하는 설정을 선택합니다.

3. 공격 표면 감소 예외에서 개별 파일 및 폴더를 입력합니다. 가져오기 를 선택하여 ASR 규칙에서 제외할 파일 및 폴더가 포함된 CSV 파일을 가져올 수도 있습니다. CSV 파일의 각 줄은 다음과 같이 형식이 지정되어야 합니다.

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 세 개의 구성 창에서 확인을 선택합니다. 그런 다음, 새 엔드포인트 보호 파일을 만드는 경우 만들기 를 선택하거나 기존 엔드포인트 보호 파일을 편집하는 경우 저장 을 선택합니다.

엔드포인트 보안 정책

1. 엔드포인트 보안 > 공격 노출 영역 축소 를 선택합니다. 기존 ASR 규칙을 선택하거나 새 ASR 규칙을 만듭니다. 새 정책을 만들려면 정책 만들기 를 선택하고 이 프로필에 대한 정보를 입력합니다. 프로필 형식 의 경우 공격 표면 감소 규칙을 선택합니다. 기존 프로필을 선택한 경우 속성을 선택한 다음 설정을 선택합니다.

2. 구성 설정 창에서 공격 표면 감소를 선택한 다음 각 ASR 규칙에 대해 원하는 설정을 선택합니다.

3. 보호해야 하는 추가 폴더 목록, 보호된 폴더에 액세스할 수 있는 앱 목록 및 공격 표면 감소 규칙에서 파일 및 경로를 제외 하려면 개별 파일 및 폴더를 입력합니다. 가져오기 를 선택하여 ASR 규칙에서 제외할 파일 및 폴더가 포함된 CSV 파일을 가져올 수도 있습니다. CSV 파일의 각 줄은 다음과 같이 형식이 지정되어야 합니다.

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 세 개의 구성 창에서 다음 을 선택한 다음, 새 정책을 만드는 경우 만들기 를 선택하거나 기존 정책을 편집하는 경우 저장 을 선택합니다.

MEM

MEM(Microsoft Endpoint Manager) OMA-URI를 사용하여 사용자 지정 ASR 규칙을 구성할 수 있습니다. 다음 절차에서는 악용 된 취약한 서명된 드라이버의 남용 차단 규칙을 사용합니다.

1. MEM(Microsoft Endpoint Manager) 관리 센터를 엽니다. 홈 메뉴에서 디바이스 를 클릭하고 구성 프로필을 선택한 다음 프로필 만들기 를 클릭합니다.

   

2. 프로필 만들기 의 다음 두 드롭다운 목록에서 다음을 선택합니다.

   • 플랫폼에서 Windows 10 이상을 선택합니다.
   • 프로필 형식 에서 템플릿을 선택합니다 .
   • ASR 규칙이 엔드포인트 보안을 통해 이미 설정된 경우 프로필 유형 에서 설정 카탈로그 를 선택합니다.

   사용자 지정 을 선택한 다음 만들기 를 선택합니다.

   

3. 사용자 지정 템플릿 도구는 1단계 기본 사항 으로 열립니다. 1가지 기본 사항 에서 이름 에 템플릿의 이름을 입력하고 설명 에 설명을 입력할 수 있습니다(선택 사항).

   

4. 다음 을 클릭합니다. 2단계 구성 설정 이 열립니다. OMA-URI 설정의 경우 추가 를 클릭합니다. 이제 추가 및 내보내기 라는 두 가지 옵션이 표시됩니다.

   

5. 추가 를 다시 클릭합니다. 행 OMA-URI 추가 설정 이 열립니다. 행 추가 에서 다음을 수행합니다.

   • 이름 에 규칙의 이름을 입력합니다.

   • 설명 에 간단한 설명을 입력합니다.

   • OMA-URI 에서 추가하려는 규칙에 대한 특정 OMA-URI 링크를 입력하거나 붙여넣습니다. 이 예제 규칙에 사용할 OMA-URI는 이 문서의 MDM 섹션을 참조하세요. 공격 표면 감소 규칙 GUIDS의 경우 항목: 공격 표면 감소 규칙의 규칙별 설명을 참조하세요.

   • 데이터 형식 에서 문자열 을 선택합니다.

   • 값 에서 GUID 값, = 기호 및 상태 값을 공백 없이 입력하거나 붙여넣습니다(GUID=StateValue). 여기서,

     • 0 : 사용 안 함(ASR 규칙 사용 안 함)
     • 1: 차단(ASR 규칙 사용)
     • 2: 감사(사용하도록 설정된 경우 ASR 규칙이 조직에 미치는 영향 평가)
     • 6: 경고(ASR 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 바이패스하도록 허용)

   

6. 저장 을 선택합니다. 행 추가 닫기 사용자 지정 에서 다음 을 선택합니다. 3단계 범위 태그에서 범위 태그는 선택 사항입니다. 다음 중 하나를 수행합니다.

   • 범위 태그를 선택하고 범위 태그(선택 사항)를 선택한 다음 다음 을 선택합니다.
   • 또는 다음을 선택합니다 .

7. 4단계 할당 의 포함된 그룹에서 이 규칙을 적용하려는 그룹에 대해 다음 옵션 중에서 선택합니다.

   • 그룹 추가
   • 모든 사용자 추가
   • 모든 디바이스 추가

   

8. 제외된 그룹에서 이 규칙에서 제외할 그룹을 선택한 다음, 다음 을 선택합니다.

9. 다음 설정에 대한 5단계 적용 가능성 규칙 에서 다음을 수행합니다.

   • In Rule, select either Assign profile if, or Don't assign profile if
   • 속성 에서 이 규칙을 적용할 속성을 선택합니다.
   • 값 에 해당 값 또는 값 범위를 입력합니다.

   

10. 다음 을 선택합니다. 6단계 검토 + 만들기 에서 선택하고 입력한 설정 및 정보를 검토한 다음 만들기 를 선택합니다.

    

    참고

    규칙은 활성 상태이며 몇 분 내에 라이브로 진행됩니다.

참고

충돌 처리:

디바이스에 두 개의 다른 ASR 정책을 할당하는 경우 충돌이 처리되는 방식은 서로 다른 상태가 할당된 규칙이며, 충돌 관리가 없으며, 결과는 오류입니다.

충돌하지 않는 규칙은 오류가 발생하지 않으며 규칙이 올바르게 적용됩니다. 그 결과 첫 번째 규칙이 적용되고 충돌하지 않는 후속 규칙이 정책에 병합됩니다.

MDM

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules CSP(구성 서비스 공급자)를 사용하여 각 규칙에 대한 모드를 개별적으로 사용하도록 설정하고 설정합니다.

다음은 공격 표면 감소 규칙 참조에 GUID 값을 사용하는 참조 샘플입니다.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

감사 모드에서 사용(차단), 사용 안 함, 경고 또는 활성화할 값은 다음과 같습니다.

• 0 : 사용 안 함(ASR 규칙 사용 안 함)
• 1: 차단(ASR 규칙 사용)
• 2: 감사(사용하도록 설정된 경우 ASR 규칙이 조직에 미치는 영향 평가)
• 6: 경고(ASR 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 바이패스하도록 허용). 경고 모드는 대부분의 ASR 규칙에 사용할 수 있습니다.

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions CSP(구성 서비스 공급자)를 사용하여 제외를 추가합니다.

예제:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

참고

공백 없이 OMA-URI 값을 입력해야 합니다.

Microsoft Endpoint Configuration Manager

1. Microsoft Endpoint Configuration Manager에서 자산 및 규정 준수 > 엔드포인트 보호 > Windows Defender Exploit Guard 로 이동합니다.

2. 홈 > Exploit Guard 정책 만들기 를 선택합니다.

3. 이름 및 설명을 입력하고 공격 표면 축소 를 선택한 다음 다음 을 선택합니다.

4. 작업을 차단하거나 감사할 규칙을 선택하고 다음 을 선택합니다.

5. 설정을 검토하고 다음 을 선택하여 정책을 만듭니다.

6. 정책을 만든 후 닫기 를 선택합니다.

그룹 정책

경고

Intune, Configuration Manager 또는 기타 엔터프라이즈 수준 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어는 시작 시 충돌하는 그룹 정책 설정을 덮어씁니다.

1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집 을 선택합니다.

2. 그룹 정책 관리 편집기 에서 컴퓨터 구성 으로 이동하여 관리 템플릿 을 선택합니다.

3. 트리를 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 공격 노출 영역 축소 로 확장합니다.

4. 공격 표면 감소 규칙 구성 을 선택하고 [사용]을 선택합니다. 그런 다음 옵션 섹션의 각 규칙에 대한 개별 상태를 설정할 수 있습니다. [표시]를 선택하고 다음과 같이 값 이름 열에 규칙 ID를 입력하고 값 열에 선택한 상태를 입력합니다.

   • 0 : 사용 안 함(ASR 규칙 사용 안 함)
   • 1: 차단(ASR 규칙 사용)
   • 2: 감사(사용하도록 설정된 경우 ASR 규칙이 조직에 미치는 영향 평가)
   • 6: 경고(ASR 규칙을 사용하도록 설정하지만 최종 사용자가 블록을 바이패스하도록 허용)

   

5. ASR 규칙에서 파일 및 폴더를 제외하려면 공격 표면 감소 규칙 설정에서 파일 및 경로 제외 를 선택하고 옵션을 사용 으로 설정합니다. 표시 를 선택하고 값 이름 열에 각 파일 또는 폴더를 입력합니다. 각 항목의 값 열에 0 을 입력합니다.

   경고

   값 이름 열 또는 값 열에 대해 지원되지 않으므로 따옴표를 사용하지 마세요.

PowerShell

경고

Intune, Configuration Manager 또는 다른 엔터프라이즈 수준 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어는 시작 시 충돌하는 PowerShell 설정을 덮어씁니다. 사용자가 PowerShell을 사용하여 값을 정의할 수 있도록 하려면 관리 플랫폼의 규칙에 대해 "사용자 정의" 옵션을 사용합니다. "사용자 정의"를 사용하면 로컬 관리자 사용자가 규칙을 구성할 수 있습니다. 사용자 정의 옵션 설정은 다음 그림에 나와 있습니다.

1. 시작 메뉴에서 powershell 을 입력하고 Windows PowerShell 을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행 을 선택합니다.

2. 다음 cmdlet 중 하나를 입력합니다. (규칙 ID와 같은 자세한 내용은 공격 표면 감소 규칙 참조 를 참조하세요.)

   Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   

   감사 모드에서 ASR 규칙을 사용하도록 설정하려면 다음 cmdlet을 사용합니다.

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   

   경고 모드에서 ASR 규칙을 사용하도록 설정하려면 다음 cmdlet을 사용합니다.

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   

   악용된 취약한 서명된 드라이버의 ASR 차단 남용을 사용하도록 설정하려면 다음 cmdlet을 사용합니다.

   Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   

   ASR 규칙을 해제하려면 다음 cmdlet을 사용합니다.

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
   

   중요

   각 규칙에 대해 개별적으로 상태를 지정해야 하지만 쉼표로 구분된 목록에서 규칙과 상태를 결합할 수 있습니다.

   다음 예제에서는 처음 두 규칙을 사용하도록 설정하고, 세 번째 규칙을 사용하지 않도록 설정하고, 네 번째 규칙을 감사 모드에서 사용하도록 설정합니다.

   Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
   

   PowerShell 동사를 사용하여 Add-MpPreference 기존 목록에 새 규칙을 추가할 수도 있습니다.

   경고

   Set-MpPreference 는 항상 기존 규칙 집합을 덮어씁 수 있습니다. 기존 집합에 추가하려면 대신 사용합니다 Add-MpPreference . 를 사용하여 Get-MpPreference규칙 목록과 해당 현재 상태를 가져올 수 있습니다.

3. ASR 규칙에서 파일 및 폴더를 제외하려면 다음 cmdlet을 사용합니다.

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
   

   계속 사용하여 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 목록에 파일 및 폴더를 더 추가합니다.

   중요

   목록에 앱을 추가하거나 추가하는 데 사용합니다 Add-MpPreference . cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

관련 문서

• 공격 표면 감소 규칙 참조
• 공격 표면 감소 평가
• 공격 표면 감소 FAQ