엔드포인트용 Microsoft Defender 디바이스 제어 디바이스 설치
적용 대상
엔드포인트용 Microsoft Defender 디바이스 제어 디바이스 설치를 사용하면 다음 작업을 수행할 수 있습니다.
- 사용자가 특정 디바이스를 설치하지 못하도록 방지합니다.
- 사용자가 특정 디바이스를 설치할 수 있지만 다른 디바이스를 방지할 수 있습니다.
참고
디바이스 설치와 이동식 스토리지 액세스 제어 간의 차이점을 찾으려면 엔드포인트용 Microsoft Defender Device Control 이동식 스토리지 보호를 참조하세요.
| 권한 | 사용 권한 |
|---|---|
| Access | 디바이스 설치 |
| 작업 모드 | 허용, 방지 |
| CSP 지원 | 예 |
| GPO 지원 | 예 |
| 사용자 기반 지원 | 아니오 |
| 컴퓨터 기반 지원 | 예 |
엔드포인트 준비하기
Windows 10, Windows 11 디바이스, Windows Server 2022에 디바이스 설치를 배포합니다.
장치 속성
다음 디바이스 속성은 디바이스 설치 지원에서 지원됩니다.
- 디바이스 ID
- 하드웨어 ID
- 호환 ID
- 디바이스 클래스
- '이동식 디바이스' 디바이스 유형: 일부 디바이스는 이동식 디바이스로 분류될 수 있습니다. 디바이스가 연결된 디바이스의 드라이버가 디바이스가 이동식임을 나타내는 경우 디바이스는 이동식으로 간주됩니다. 예를 들어 USB 디바이스는 디바이스가 연결된 USB 허브에 대한 드라이버에서 이동식으로 보고됩니다.
자세한 내용은 Windows에서 디바이스 설치를 참조하세요.
정책
이러한 디바이스 ID와 일치하는 디바이스 설치 허용
이 정책 설정을 사용하면 Windows에서 설치할 수 있는 디바이스에 대한 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정할 수 있습니다. 이 정책 설정은 모든 디바이스 일치 조건 정책 설정에서 허용 및 방지 디바이스 설치 정책에 대해 계층화된 평가 순서 적용 을 사용하는 경우에만 사용됩니다.
이 정책 설정이 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지에 대한 평가의 계층화된 적용 순서와 함께 사용하도록 설정된 경우, 계층 구조의 동일하거나 더 높은 계층에 있는 다른 정책 설정이 특별히 해당 설치를 차단하지 않는 한 Windows는 사용자가 만든 목록에 플러그 앤 플레이 하드웨어 ID 또는 호환 ID가 표시되는 모든 디바이스를 설치하거나 업데이트할 수 있습니다. 예: 다음 정책 설정:
- 이러한 디바이스 ID와 일치하는 디바이스의 설치를 방지합니다.
- 이러한 디바이스 인스턴스 ID와 일치하는 디바이스 설치를 방지합니다.
모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지에 대한 평가 계층화된 적용 순서 를 이 정책 설정에서 사용하도록 설정하지 않은 경우 설치를 방지하는 다른 정책 설정이 우선적으로 적용됩니다.
참고
다른 정책 설정 정책 설정에 설명되지 않은 디바이스 설치 방지 는 지원되는 대상 Windows 10 버전 및 Windows 11 대한 모든 디바이스 일치 조건 정책 설정에서 허용 및 방지 디바이스 설치 정책에 대한 계층화된 평가 순서 적용 으로 대체되었습니다. 가능한 경우 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 적용 순서 를 사용하는 것이 좋습니다.
이러한 디바이스 인스턴스 ID와 일치하는 디바이스 설치 허용
이 정책 설정을 사용하면 Windows에서 설치할 수 있는 디바이스에 대한 플러그 앤 플레이 디바이스 인스턴스 ID 목록을 지정할 수 있습니다. 이 정책 설정은 모든 디바이스 일치 조건 정책 설정에서 허용 및 방지 디바이스 설치 정책에 대해 계층화된 평가 순서 적용 을 사용하는 경우에만 사용됩니다.
이 정책 설정이 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지에 대한 평가의 계층화된 적용 순서와 함께 사용하도록 설정된 경우, 계층 구조의 동일하거나 높은 계층에 있는 다른 정책 설정이 해당 설치를 특별히 차단하지 않는 한, Windows는 사용자가 만든 목록에 플러그 앤 플레이 디바이스 인스턴스 ID가 표시되는 모든 디바이스를 설치하거나 업데이트할 수 있습니다. 예: 다음 정책 설정:
- 이러한 디바이스 인스턴스 ID와 일치하는 디바이스 설치 방지
모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지에 대한 평가 계층화된 적용 순서 를 이 정책 설정에서 사용하도록 설정하지 않은 경우 설치를 방지하는 다른 정책 설정이 우선적으로 적용됩니다.
이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 허용
이 정책 설정을 사용하면 Windows에서 설치할 수 있는 드라이버 패키지에 대한 디바이스 설정 클래스 GUID(Globally Unique Identifiers) 목록을 지정할 수 있습니다. 이 정책 설정은 모든 디바이스 일치 조건 정책 설정에서 허용 및 방지 디바이스 설치 정책에 대해 계층화된 평가 순서 적용 을 사용하는 경우에만 사용됩니다.
이 정책 설정이 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지에 대한 평가의 계층화된 적용 순서와 함께 사용하도록 설정된 경우, 계층 구조의 동일하거나 더 높은 계층에 있는 다른 정책 설정이 특별히 해당 설치를 차단하지 않는 한 Windows는 사용자가 만든 목록에 디바이스 설정 클래스 GUID가 표시되는 드라이버 패키지를 설치하거나 업데이트할 수 있습니다. 예: 다음 정책 설정:
- 이러한 디바이스 클래스에 대한 디바이스 설치 방지
- 이러한 디바이스 ID와 일치하는 디바이스 설치 방지
- 이러한 디바이스 인스턴스 ID와 일치하는 디바이스 설치 방지
모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지에 대한 평가 계층화된 적용 순서 를 이 정책 설정에서 사용하도록 설정하지 않은 경우 설치를 방지하는 다른 정책 설정이 우선적으로 적용됩니다.
모든 디바이스 일치 기준에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용
이 정책 설정은 지정된 디바이스에 둘 이상의 설치 정책 설정을 적용할 수 있는 경우 허용 및 방지 정책 설정이 적용되는 평가 순서를 변경합니다. 보다 구체적인 일치 조건이 덜 구체적인 일치 조건을 대체하는 설정된 계층 구조에 따라 겹치는 디바이스 일치 조건이 적용되도록 하려면 이 정책 설정을 사용합니다. 디바이스 일치 조건을 지정하는 정책 설정에 대한 계층적 평가 순서는 다음과 같습니다.
디바이스 인스턴스 ID > 디바이스 ID > 디바이스 설정 클래스 > 이동식 디바이스
디바이스 인스턴스 ID
- 이러한 디바이스 인스턴스 ID와 일치하는 드라이버를 사용하여 디바이스 설치를 방지합니다.
- 이러한 디바이스 인스턴스 ID와 일치하는 드라이버를 사용하여 디바이스 설치를 허용합니다.
디바이스 ID
- 이러한 디바이스 ID와 일치하는 드라이버를 사용하여 디바이스 설치를 방지합니다.
- 이러한 디바이스 ID와 일치하는 드라이버를 사용하여 디바이스 설치를 허용합니다.
디바이스 설정 클래스
- 이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치를 방지합니다.
- 이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치를 허용합니다.
이동식 장치
이동식 장치 설치 방지
참고
이 정책 설정은 다른 정책 설정 정책 설정에 설명되지 않은 디바이스 설치 방지 보다 더 세부적인 제어를 제공합니다. 충돌하는 정책 설정을 동시에 사용하도록 설정하면 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지 정책에 대한 계층화된 평가 순서 적용이 활성화되고 다른 정책 설정은 무시됩니다.
이러한 디바이스 ID와 일치하는 디바이스 설치 방지
이 정책 설정을 사용하면 Windows에서 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정할 수 있습니다. 기본적으로 이 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다.
참고
해당 디바이스에 대해 이 정책 설정을 대체하도록 이러한 디바이스 인스턴스 ID 정책 설정과 일치하는 디바이스의 설치를 허용하려면 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용 을 사용하도록 설정합니다.
이 정책 설정을 사용하면 Windows에서 만든 목록에 하드웨어 ID 또는 호환 ID가 표시되는 디바이스를 설치할 수 없습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정은 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 다른 정책 설정에 의해 허용되거나 차단된 대로 디바이스를 설치하고 업데이트할 수 있습니다.
이러한 디바이스 인스턴스 ID와 일치하는 디바이스 설치 방지
이 정책 설정을 사용하면 Windows에서 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 디바이스 인스턴스 ID 목록을 지정할 수 있습니다. 이 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다.
이 정책 설정을 사용하면 Windows에서 만든 목록에 디바이스 인스턴스 ID가 표시되는 디바이스를 설치할 수 없습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정은 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 다른 정책 설정에 의해 허용되거나 차단된 대로 디바이스를 설치하고 업데이트할 수 있습니다.
이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 방지
이 정책 설정을 사용하면 Windows에서 설치할 수 없는 드라이버 패키지에 대한 디바이스 설정 클래스 GUID(Globally Unique Identifiers) 목록을 지정할 수 있습니다. 기본적으로 이 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다.
참고
이러한 디바이스 ID와 일치하는 디바이스의 설치 허용 및 해당 디바이스에 대해 이 정책 설정을 대체하도록 이러한 디바이스 인스턴스 ID 정책 설정과 일치하는 디바이스의 설치를 허용 하려면 모든 디바이스 일치 조건 정책 설정에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용 을 사용하도록 설정합니다.
이 정책 설정을 사용하면 Windows에서 만든 목록에 디바이스 설정 클래스 GUID가 표시되는 드라이버 패키지를 설치하거나 업데이트할 수 없습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정은 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 Windows에서 허용되거나 다른 정책 설정에 의해 차단된 대로 디바이스를 설치하고 업데이트할 수 있습니다.
이동식 장치 설치 방지
이 정책 설정을 사용하면 Windows에서 이동식 디바이스를 설치하지 못하도록 방지할 수 있습니다. 디바이스가 연결된 디바이스의 드라이버가 디바이스가 이동식임을 나타내는 경우 디바이스는 이동식으로 간주됩니다. 예를 들어 USB(유니버설 직렬 버스) 디바이스는 디바이스가 연결된 USB 허브에 대한 드라이버에서 이동식으로 보고됩니다. 기본적으로 이 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다.
참고
이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 를 허용하려면 이러한 디바이스 ID와 일치하는 디바이스 설치를 허용 하고 이러한 디바이스 인스턴스 ID 정책 설정과 일치하는 디바이스 설치를 허용 하여 해당 디바이스에 대해 이 정책 설정을 대체하도록 허용하려면 모든 디바이스 일치 조건 정책 설정 에서 디바이스 설치 정책 허용 및 방지에 대해 계층화된 평가 순서 적용 을 사용하도록 설정합니다.
이 정책 설정을 사용하면 Windows에서 이동식 디바이스를 설치할 수 없으며 기존 이동식 디바이스는 드라이버를 업데이트할 수 없습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 이동식 디바이스의 리디렉션에 영향을 줍니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows는 다른 정책 설정에서 허용하거나 방지하는 이동식 디바이스용 드라이버 패키지를 설치하고 업데이트할 수 있습니다.
일반적인 이동식 스토리지 Access Control 시나리오
이동식 스토리지 Access Control 엔드포인트용 Microsoft Defender 익숙해지도록 하기 위해 따라야 할 몇 가지 일반적인 시나리오가 있습니다.
시나리오 1: 권한 있는 USB 썸 드라이브만 설치하도록 허용하면서 모든 USB 디바이스 설치 방지
이 시나리오에서는 다음 정책이 사용됩니다.
- 이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치를 방지합니다.
- 모든 디바이스 일치 기준에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서를 적용합니다.
- 이러한 디바이스 인스턴스 ID와 일치하는 디바이스 설치를 허용하거나 이러한 디바이스 ID와 일치하는 디바이스의 설치를 허용합니다.
Intune 통해 정책 배포 및 관리
디바이스 설치 기능을 사용하면 디바이스에 Intune 통해 정책을 적용할 수 있습니다.
라이선싱
디바이스 설치를 시작하기 전에 Microsoft 365 구독을 확인해야 합니다. 디바이스 설치에 액세스하고 사용하려면 Microsoft 365 E3 있어야 합니다.
사용 권한
Intune 정책 배포의 경우 계정에 디바이스 구성 프로필을 생성, 편집, 업데이트 또는 삭제할 수 있는 권한이 있어야 합니다. 사용자 지정 역할을 만들거나 다음 권한으로 기본 제공 역할을 사용할 수 있습니다.
- 정책 및 프로필 관리자 역할
- 또는 디바이스 구성 프로필에 대해 보고서 만들기/편집/업데이트/읽기/삭제/보기 권한이 켜져 있는 사용자 지정 역할
- 또는 전역 관리자
정책 배포
Microsoft Endpoint Manager https://endpoint.microsoft.com/
이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 방지를 구성합니다.
개방형 엔드포인트 보안 > 공격 노출 영역 축소 > 정책 플랫폼 만들기**: Windows 10(이상) & 프로필: 디바이스 제어** >
USB, 디바이스를 연결하면 다음과 같은 오류 메시지가 표시됩니다.
모든 디바이스 일치 기준에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용 을 사용하도록 설정합니다.
지금은 OMA-URI만 지원: 디바이스 > 구성 프로필 > 프로필 만들기 플랫폼 > : Windows 10(이상) & 프로필: 사용자 지정
허용되는 USB 인스턴스 ID 사용 및 추가 – 이러한 디바이스 ID와 일치하는 디바이스를 설치할 수 있습니다.
1단계에서 디바이스 제어 프로필을 업데이트합니다.
이전 이미지와 같이 추가하는
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB것은 단일 하드웨어 ID만 사용하도록 설정하여 단일 USB 썸 드라이브를 사용하도록 설정하는 것만으로는 충분하지 않기 때문입니다. 대상 앞에 있는 모든 USB 디바이스도 차단(허용)되지 않도록 해야 합니다. 장치 관리자 열고 연결을 통해 보기를 디바이스로 변경하여 디바이스가 PnP 트리에 설치되는 방식을 확인할 수 있습니다. 이 경우 대상 USB 엄지 드라이브도 허용될 수 있도록 다음 디바이스를 허용해야 합니다.- "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" -> PCI\CC_0C03
- "USB 루트 허브(USB 3.0)" -> USB\ROOT_HUB30
- "일반 USB 허브" -> USB\USB20_HUB
참고
시스템의 일부 디바이스는 시스템에 설치를 정의하기 위해 여러 계층의 연결이 있습니다. USB 엄지 드라이브는 이러한 장치입니다. 따라서 시스템에서 차단하거나 허용하려는 경우 각 디바이스에 대한 연결 경로를 이해하는 것이 중요합니다. 시스템에서 일반적으로 사용되며 이러한 경우 "허용 목록"을 빌드하기 위한 좋은 시작을 제공할 수 있는 몇 가지 일반 디바이스 ID가 있습니다. 다음은 한 가지 예입니다(모든 USB에 대해 항상 동일하지는 않습니다. 장치 관리자 통해 관리하려는 디바이스의 PnP 트리를 이해해야 합니다.)
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/특히 데스크톱 컴퓨터의 경우 키보드와 마우스가 위의 목록에서 연결된 모든 USB 디바이스를 나열하는 것이 중요합니다. 이렇게 하지 않으면 사용자가 HID 디바이스를 통해 컴퓨터에 액세스하지 못하도록 차단할 수 있습니다.
다른 PC 제조업체는 때때로 PnP 트리에 USB 장치를 중첩하는 다른 방법이 있지만 일반적으로 이것이 수행됩니다.
허용된 USB를 다시 연결합니다. 이제 허용되고 사용할 수 있음을 알 수 있습니다.
그룹 정책 통해 정책 배포 및 관리
디바이스 설치 기능을 사용하면 그룹 정책 통해 정책을 적용할 수 있습니다.
정책 배포
그룹 정책(Windows 10)를 사용하여 디바이스 설치 관리 - Windows 클라이언트를 참조하세요.
엔드포인트용 Microsoft Defender 디바이스 컨트롤 이동식 스토리지 Access Control 데이터 보기
Microsoft 365 Defender 포털에는 디바이스 제어 디바이스 설치에 의해 차단된 이동식 스토리지가 표시됩니다.
//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc
질문과 대답
디바이스가 배포된 정책을 가져오는지 확인할 어떻게 할까요? 있나요?
다음 쿼리를 사용하여 Microsoft 365 Defender 포털()에서 맬웨어 방지 클라이언트 버전을 가져올 수 있습니다.https://security.microsoft.com
//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc
허용 정책이 작동하지 않는 이유는 무엇인가요?
단일 하드웨어 ID만 사용하도록 설정하여 단일 USB 썸 드라이브를 사용하도록 설정하는 것만으로는 충분하지 않습니다. 대상 앞에 있는 모든 USB 디바이스도 차단(허용)되지 않는지 확인합니다.
