제어된 폴더 액세스 사용

  • 아티클
  • 읽는 데 5분 걸림

적용 대상:

플랫폼

  • Windows

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스를 사용하면 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 귀중한 데이터를 보호할 수 있습니다. 제어된 폴더 액세스는 Windows 10, Windows 11 및 Windows Server 2019에 포함됩니다. 제어된 폴더 액세스는 Windows Server 2012R2 및 2016용 최신 통합 솔루션의 일부로도 포함됩니다.

다음 방법 중 원하는 방법을 사용하여 제어된 폴더 액세스를 사용하도록 설정할 수 있습니다.

감사 모드 를 사용하면 디바이스의 정상적인 사용에 영향을 주지 않고 기능이 작동하는 방식을 테스트하고 이벤트를 검토할 수 있습니다.

로컬 관리자 목록 병합을 사용하지 않도록 설정하는 그룹 정책 설정은 제어된 폴더 액세스 설정을 재정의합니다. 또한 제어된 폴더 액세스를 통해 로컬 관리자가 설정한 보호된 폴더 및 허용된 앱을 재정의합니다. 이러한 정책은 다음과 같습니다.

  • Microsoft Defender 바이러스 백신 목록에 대한 로컬 관리자 병합 동작 구성
  • System Center Endpoint Protection 사용자가 제외 및 재정의를 추가할 수 있도록 허용

로컬 목록 병합을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 사용자가 Microsoft Defender AV 정책 설정을 로컬로 수정하도록 방지 또는 허용을 참조하세요.

Windows 보안 앱

  1. 작업 표시줄에서 방패 아이콘을 선택하여 Windows 보안 앱을 엽니다. 시작 메뉴에서 Windows 보안 검색할 수도 있습니다.

  2. 바이러스 & 위협 방지 타일(또는 왼쪽 메뉴 모음의 방패 아이콘)을 선택한 다음 랜섬웨어 보호를 선택합니다.

  3. 제어된 폴더 액세스 에 대한 스위치를 기로 설정합니다.

참고

*이 메서드는 Windows Server 2012R2 또는 2016에서 사용할 수 없습니다.

제어된 폴더 액세스가 그룹 정책, PowerShell 또는 MDM CSP로 구성된 경우 디바이스를 다시 시작한 후 Windows 보안 앱에서 상태가 변경됩니다. 이러한 도구를 사용하여 기능이 감사 모드 로 설정된 경우 Windows 보안 앱은 상태를 기로 표시합니다. 사용자 프로필 데이터를 보호하는 경우 사용자 프로필이 기본 Windows 설치 드라이브에 있어야 합니다.

Endpoint Manager

  1. Endpoint Manager 로그인하고 Endpoint Security 를 엽니다.

  2. 공격 표면 감소 > 정책 으로 이동합니다.

  3. 플랫폼을 선택하고 , Windows 10 이상을 선택하고, 프로필 공격 표면 감소 규칙 > 만들기 를 선택합니다.

  4. 정책 이름을 지정하고 설명을 추가합니다. 다음 을 선택합니다.

  5. 아래로 스크롤하여 폴더 보호 사용 드롭다운을 선택하고 사용을 선택합니다.

  6. 보호해야 하는 추가 폴더 목록을 선택하고 보호 해야 하는 폴더를 추가합니다.

  7. 보호된 폴더에 액세스할 수 있는 앱 목록을 선택하고 보호된 폴더 에 액세스할 수 있는 앱을 추가합니다.

  8. 공격 표면 감소 규칙에서 파일 및 경로 제외를 선택하고 공격 표면 감소 규칙 에서 제외해야 하는 파일 및 경로를 추가합니다.

  9. 프로필 할당 을 선택하고 모든 & 모든 사용자에게 할당한 다음 저장 을 선택합니다.

  10. [다음]을 선택하여 열려 있는 각 블레이드를 저장한 다음 만들기를 선택합니다.

    참고

    와일드카드는 애플리케이션에 대해 지원되지만 폴더에는 지원되지 않습니다. 하위 폴더는 보호되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.

MDM(모바일 장치 관리)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.

Microsoft Endpoint Configuration Manager

  1. Microsoft Endpoint Configuration Manager Assets and Compliance > Endpoint Protection Windows Defender > Exploit Guard 로 이동합니다.

  2. Home > Create Exploit Guard 정책을 선택합니다.

  3. 이름 및 설명을 입력하고 , 제어된 폴더 액세스를 선택하고, 다음 을 선택합니다.

  4. 변경 내용 차단 또는 감사, 다른 앱 허용 또는 다른 폴더 추가 여부를 선택하고 다음 을 선택합니다.

    참고

    와일드카드는 애플리케이션에 대해 지원되지만 폴더에는 지원되지 않습니다. 하위 폴더는 보호되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.

  5. 설정을 검토하고 다음 을 선택하여 정책을 만듭니다.

  6. 정책을 만든 후 닫습니다.

그룹 정책

  1. 그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집 을 선택합니다.

  2. 그룹 정책 관리 편집기 에서 컴퓨터 구성 으로 이동하여 관리 템플릿 을 선택합니다.

  3. Exploit Guard > 제어된 폴더 액세스를 > Microsoft Defender 바이러스 백신 > Windows Defender 구성 요소를 Windows 트리를 확장합니다.

  4. 제어된 폴더 액세스 설정 구성을 두 번 클릭하고 옵션을 사용 으로 설정합니다. 옵션 섹션에서 다음 옵션 중 하나를 지정해야 합니다.

    • 사용 - 악성 및 의심스러운 앱은 보호된 폴더의 파일을 변경할 수 없습니다. Windows 이벤트 로그에 알림이 제공됩니다.
    • 사용 안 함(기본값) - 제어된 폴더 액세스 기능이 작동하지 않습니다. 모든 앱은 보호된 폴더의 파일을 변경할 수 있습니다.
    • 감사 모드 - 악의적이거나 의심스러운 앱이 보호된 폴더의 파일을 변경하려고 하면 변경이 허용됩니다. 그러나 조직에 미치는 영향을 평가할 수 있는 Windows 이벤트 로그에 기록됩니다.
    • 디스크 수정만 차단 - 신뢰할 수 없는 앱이 디스크 섹터에 쓰려는 시도는 Windows 이벤트 로그에 기록됩니다. 이러한 로그는 애플리케이션 및 서비스 로그 > Microsoft > Windows Windows Defender > > 운영 > ID 1123에서 찾을 수 있습니다.
    • 디스크 수정만 감사 - 보호된 디스크 섹터에 대한 쓰기 시도만 Windows 이벤트 로그에 기록됩니다(Applications and Services Logs > Microsoft > Windows Windows Defender > > 운영 > ID 1124). 보호된 폴더의 파일을 수정하거나 삭제하려는 시도는 기록되지 않습니다.

    그룹 정책 옵션 사용 및 감사 모드가 선택됨

중요

제어된 폴더 액세스를 완전히 사용하도록 설정하려면 그룹 정책 옵션을 사용 으로 설정하고 옵션 드롭다운 메뉴에서 차단 을 선택해야 합니다.

PowerShell

  1. 시작 메뉴 powershell 을 입력하고 Windows PowerShell 마우스 오른쪽 단추 로 클릭하고 관리자 권한으로 실행을 선택합니다.

  2. 다음 cmdlet을 입력합니다.

    Set-MpPreference -EnableControlledFolderAccess Enabled

대신 Enabled지정하여 AuditMode 감사 모드에서 기능을 사용하도록 설정할 수 있습니다.

기능을 해제하는 데 사용합니다 Disabled .

참고 항목