Windows에서 바이러스 백신 Microsoft Defender 개요
적용 대상:
- 엔드포인트용 Microsoft Defender 계획 1 및 2
- 비즈니스용 Microsoft Defender
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
Microsoft Defender 바이러스 백신은 Windows 10 및 Windows 11 및 Windows Server 버전에서 사용할 수 있습니다.
Windows Defender 바이러스 백신은 엔드포인트용 Microsoft Defender의 차세대 보호 구성 요소입니다. 이 기능은 기계 학습, 빅데이터 분석, 심층 위협 방지 연구, Microsoft 클라우드 인프라를 결합하여 조직의 장치(또는 엔드포인트)를 보호합니다. Microsoft Defender 바이러스 백신은 Windows에 기본 제공되며, 엔드포인트용 Microsoft Defender와 함께 작동하여 장치 및 클라우드를 보호합니다.
바이러스 백신 기능 Microsoft Defender
Microsoft Defender 바이러스 백신은 미리 정의된 패턴에 맞지 않는 맬웨어에 대한 보호 계층인 변칙 검색을 제공합니다. 변칙 검색은 인터넷에서 다운로드한 프로세스 생성 이벤트 또는 파일을 모니터링합니다. 기계 학습 및 클라우드 제공 보호를 통해 Microsoft Defender 바이러스 백신은 공격자보다 한 발 앞서 나갈 수 있습니다. 변칙 검색은 기본적으로 켜져 있으며 Electron Windows 앱에 대한 3CX 보안 경고와 같은 공격을 차단하는 데 도움이 될 수 있습니다. Microsoft Defender 바이러스 백신은 공격이 VirusTotal에 등록되기 4일 전에 이 맬웨어를 차단하기 시작했습니다.
최신 맬웨어에는 최신 솔루션이 필요합니다. 2015년, Microsoft Defender 바이러스 백신은 정적 서명 기반 엔진을 사용하는 것에서 기계 학습, 응용 과학 및 인공 지능과 같은 예측 기술을 사용하는 모델로 옮겨갔습니다. 이는 오늘날 진화하는 맬웨어 환경의 복잡성으로부터 사용자와 조직을 안전하게 유지하는 데 필요합니다.
Microsoft Defender 바이러스 백신은 즉각적으로 거의 모든 맬웨어를 밀리초 단위로 차단할 수 있습니다.
또한 온라인 및 오프라인 시나리오 모두에서 작동하도록 바이러스 백신 솔루션을 설계했습니다. 오프라인 시나리오의 경우 Intelligence Security Graph의 최신 동적 인텔리전스가 하루 종일 정기적으로 엔드포인트에 프로비전됩니다. 클라우드에 연결되면 지능형 보안 그래프에서 실시간 인텔리전스를 제공합니다.
Microsoft Defender 바이러스 백신은 해당 동작에 따라 위협을 중지하고 위협이 실행을 시작한 경우에도 트리를 처리할 수 있습니다. 이러한 종류의 공격의 일반적인 예는 파일 없는 맬웨어입니다. Microsoft의 차세대 보호 기능은 함께 작동하여 비정상적인 동작에 따라 맬웨어를 식별하고 차단합니다. 자세한 내용은 동작 차단 및 포함을 참조하세요.
다른 바이러스 백신 제품과의 호환성
장치에서 타사 바이러스 백신/맬웨어 방지 제품을 사용하는 경우 타사 바이러스 백신 솔루션과 함께 수동 모드에서 Microsoft Defender 바이러스 백신을 실행할 수 있습니다. 사용되는 운영 체제 및 장치가 엔드포인트용 Defender에 온보딩되었는지 여부에 따라 달라집니다. 자세한 내용은 Microsoft Defender 바이러스 백신 호환성을 참조하세요.
바이러스 백신 프로세스 및 서비스 Microsoft Defender
다음 표에는 바이러스 백신 프로세스 및 서비스에 Microsoft Defender 요약되어 있습니다. Windows의 작업 관리자에서 볼 수 있습니다.
| 프로세스 또는 서비스 | 해당 상태 볼 수 있는 위치 |
|---|---|
| 바이러스 백신 Core 서비스 Microsoft Defender ( MdCoreSvc) |
- 프로세스 탭: Antimalware Core Service - 세부 정보 탭: MpDefenderCoreService.exe - 서비스 탭: Microsoft Defender Core Service |
| 바이러스 백신 서비스 Microsoft Defender ( WinDefend) |
- 프로세스 탭: Antimalware Service Executable - 세부 정보 탭: MsMpEng.exe - 서비스 탭: Microsoft Defender Antivirus |
| Microsoft Defender 바이러스 백신 네트워크 실시간 검사 서비스 ( WdNisSvc) |
- 프로세스 탭: Microsoft Network Realtime Inspection Service - 세부 정보 탭: NisSrv.exe - 서비스 탭: Microsoft Defender Antivirus Network Inspection Service |
| 바이러스 백신 명령줄 유틸리티 Microsoft Defender | - 프로세스 탭: 해당/A - 세부 정보 탭: MpCmdRun.exe - 서비스 탭: 해당/A |
| Microsoft 보안 클라이언트 정책 구성 도구 | - 프로세스 탭: 해당/A - 세부 정보 탭: ConfigSecurityPolicy.exe - 서비스 탭: 해당/A |
엔드포인트 DLP( Microsoft 엔드포인트 데이터 손실 방지 )의 경우 다음 표에는 프로세스 및 서비스가 요약되어 있습니다. Windows의 작업 관리자에서 볼 수 있습니다.
| 프로세스 또는 서비스 | 해당 상태 볼 수 있는 위치 |
|---|---|
| Microsoft Endpoint DLP 서비스 ( MDDlpSvc) |
- 프로세스 탭: MpDlpService.exe - 세부 정보 탭: MpDlpService.exe - 서비스 탭: Microsoft Data Loss Prevention Service |
| Microsoft Endpoint DLP 명령줄 유틸리티 | - 프로세스 탭: 해당/A - 세부 정보 탭: MpDlpCmd.exe - 서비스 탭: 해당/A |
Microsoft Defender Core 서비스
엔드포인트 보안 환경을 개선하기 위해 Microsoft는 Microsoft Defender 바이러스 백신의 안정성과 성능을 돕기 위해 Microsoft Defender Core 서비스를 릴리스합니다. 중소기업 및 엔터프라이즈 비즈니스 부문에서 Microsoft 엔드포인트 데이터 손실 방지를 사용하는 고객의 경우 Microsoft는 코드베이스를 자체 서비스로 분할합니다.
Microsoft Defender Core 서비스는 Microsoft Defender 바이러스 백신 플랫폼 버전 4.18.23110.2009로 릴리스됩니다.
출시는 2023년 11월에 고객을 시험판으로 출시하기 시작하며, 향후 몇 달 내에 모든 엔터프라이즈 고객에게 릴리스할 계획입니다.
엔터프라이즈 고객은 다음 URL을 허용해야 합니다.
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
엔터프라이즈 미국 정부 고객은 다음 URL을 허용해야 합니다.
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Windows용 애플리케이션 제어를 사용하거나 Microsoft가 아닌 바이러스 백신 또는 엔드포인트 검색 및 응답 소프트웨어를 실행하는 경우 앞에서 언급한 프로세스를 허용 목록에 추가해야 합니다.
소비자는 준비하기 위해 어떤 조치도 취할 필요가 없습니다.
활성 모드, 수동 모드 및 사용 중지 모드 비교
다음 표에서는 Microsoft Defender 바이러스 백신 활성 모드, 수동 모드 또는 사용 중지 상태일 때 예상되는 사항에 대해 설명합니다.
| 모드 | 발생 작업 |
|---|---|
| 활성 모드 | 활성 모드에서 Microsoft Defender 바이러스 백신은 장치의 기본 바이러스 백신 앱으로 사용됩니다. 파일이 스캔되고, 위협이 수정되고, 검색된 위협이 조직의 보안 보고서 및 Windows 보안 앱에 나열됩니다. |
| 수동 모드 | 수동 모드에서 Microsoft Defender 바이러스 백신은 장치의 기본 바이러스 백신 앱으로 사용되지 않습니다. 파일이 스캔되고 검색된 위협이 보고되지만 위협이 Microsoft Defender 바이러스 백신에 의해 수정되지는 않습니다. 중요: Microsoft Defender 바이러스 백신은 엔드포인트용 Microsoft Defender에 온보딩된 엔드포인트에서만 수동 모드로 실행할 수 있습니다. Microsoft Defender 바이러스 백신을 수동 모드에서 실행하기 위한 요구 사항을 참조하세요. |
| 사용 중지 또는 제거됨 | 사용 중지하거나 제거하면 Microsoft Defender 바이러스 백신이 사용되지 않습니다. 파일이 스캔되지 않으며 위협은 수정되지 않습니다. 일반적으로 Microsoft Defender 바이러스 백신을 사용 중지하거나 제거하는 것은 권장되지 않습니다. |
자세한 내용은 Microsoft Defender 바이러스 백신 호환성을 참조하세요.
장치에서 Microsoft Defender 바이러스 백신 상태 확인
Windows 보안 앱, Windows PowerShell과 같은 여러 가지 방법을 사용하여 장치의 Microsoft Defender 바이러스 백신 상태를 확인할 수 있습니다.
중요
플랫폼 버전 4.18.2208.0 이상부터: 서버가 엔드포인트용 Microsoft Defender 온보딩된 경우 "Windows Defender 끄기" 그룹 정책 설정은 더 이상 Windows Defender 바이러스 백신을 완전히 사용하지 않도록 설정하지 않습니다Windows Server 2012 R2 이상. 대신 수동 모드로 전환됩니다. 또한 변조 방지 기능을 사용하면 활성 모드로 전환할 수 있지만 수동 모드로 전환할 수는 없습니다.
- 엔드포인트용 Microsoft Defender 온보딩하기 전에 "Windows Defender 끄기"가 이미 있는 경우 변경 내용이 없으며 Defender 바이러스 백신이 비활성화된 상태로 유지됩니다.
- 온보딩하기 전에 Defender 바이러스 백신을 수동 모드로 전환하려면 값이 인 ForceDefenderPassiveMode 구성 을
1적용할 수 있습니다. 활성 모드로 전환하려면 이 값을 로 전환합니다0.
변조 방지를 사용하는 경우에 대한 ForceDefenderPassiveMode 수정된 논리를 확인합니다. Microsoft Defender 바이러스 백신이 활성 모드로 전환되면 변조 방지는 가 로 설정된 1경우에도 ForceDefenderPassiveMode 수동 모드로 돌아가지 못하게 합니다.
Windows 보안 앱을 사용하여 Microsoft Defender 바이러스 백신 상태 확인
Windows 장치에서 시작 메뉴를 선택하고
Security을(를) 입력하기 시작합니다. 그런 다음 결과에서 Windows 보안 앱을 엽니다.바이러스 및 위협 방지를 선택합니다.
보안 공급자 확인에서 공급자 관리를 선택합니다.
보안 공급자 페이지에 바이러스 백신/맬웨어 방지 솔루션의 이름이 표시됩니다.
PowerShell을 사용하여 Microsoft Defender 바이러스 백신 상태 확인
시작 메뉴를 선택하고
PowerShell을(를) 입력하기 시작합니다. 그런 다음 결과에서 Windows PowerShell을 엽니다.Get-MpComputerStatus를 입력합니다.결과 목록에서 AMRunningMode 행을 확인합니다.
정상은 Microsoft Defender 바이러스 백신이 활성 모드에서 실행 중임을 의미합니다.
수동 모드는 Microsoft Defender 바이러스 백신이 실행 중이지만 장치의 기본 바이러스 백신/맬웨어 방지 제품이 아님을 의미합니다. 수동 모드는 엔드포인트용 Microsoft Defender에 온보딩되고 특정 요구 사항을 충족하는 장치에만 사용할 수 있습니다. 자세한 내용을 확인하려면 Microsoft Defender 바이러스 백신을 수동 모드에서 실행하기 위한 요구 사항을 참조하세요.
EDR 차단 모드는 Microsoft Defender 바이러스 백신이 실행 중이고 엔드포인트용 Microsoft Defender의 기능인 차단 모드의 EDR(엔드포인트 감지 및 응답)이 사용되고 있음을 의미합니다. ForceDefenderPassiveMode 레지스트리 키를 확인합니다. 값이 0이면 일반 모드에서 실행됩니다. 그렇지 않으면 수동 모드에서 실행됩니다.
SxS 수동 모드는 Microsoft Defender 바이러스 백신이 다른 바이러스 백신/맬웨어 방지 제품과 함께 실행되고 있으며 제한된 주기적 검사가 사용됨을 의미합니다.
팁
Get-MpComputerStatus PowerShell cmdlet에 대한 자세한 내용은 Get-MpComputerStatus 참조 문서를 확인하세요.
팁
성능 팁 다른 바이러스 백신 소프트웨어와 같이 바이러스 백신을 Microsoft Defender 다양한 요인(아래 나열된 예제)으로 인해 엔드포인트 디바이스에서 성능 문제가 발생할 수 있습니다. 경우에 따라 이러한 성능 문제를 완화하기 위해 Microsoft Defender 바이러스 백신의 성능을 조정해야 할 수 있습니다. Microsoft의 성능 분석기는 성능 문제를 일으킬 수 있는 파일, 파일 경로, 프로세스 및 파일 확장명을 결정하는 데 도움이 되는 PowerShell 명령줄 도구입니다. 몇 가지 예는 다음과 같습니다.
- 검사 시간에 영향을 주는 상위 경로
- 스캔 시간에 영향을 주는 상위 파일
- 검사 시간에 영향을 주는 주요 프로세스
- 스캔 시간에 영향을 주는 상위 파일 확장자
- 조합 – 예를 들면 다음과 같습니다.
- 확장 프로그램당 상위 파일 수
- 확장당 상위 경로
- 경로당 상위 프로세스
- 파일당 상위 검사
- 프로세스당 파일당 상위 검사
성능 분석기를 사용하여 수집된 정보를 사용하여 성능 문제를 더 잘 평가하고 수정 작업을 적용할 수 있습니다. Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요.
바이러스 백신 및 맬웨어 방지 업데이트 받기
Microsoft Defender 바이러스 백신(또는 바이러스 백신/맬웨어 방지 솔루션)은 항상 최신 상태로 유지해야 합니다. Microsoft는 장치가 새로운 맬웨어 및 공격 기술로부터 보호할 수 있는 최신 기술을 갖추도록 정기적인 업데이트를 릴리스합니다. 자세한 내용은 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요.
팁
다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.
참고 항목
- Microsoft Defender 바이러스 백신에 대한 성능 분석기
- Microsoft Defender 바이러스 백신 관리 및 구성
- Microsoft Defender 바이러스 백신 평가
- 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기