무단 보호를 사용하여 보안 설정 보호

  • 아티클
  • 읽는 데 13분 걸림

적용 대상:

플랫폼

  • Windows

변조 방지는 다음 버전의 Windows 중 하나를 실행하는 디바이스에서 사용할 수 있습니다.

  • Windows 11
  • Windows 11 Enterprise 다중 세션
  • Windows 10
  • Windows 10 엔터프라이즈 다중 세션
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 버전 1803 이상
  • Windows Server 2016
  • Windows Server 2012 R2

참고

Windows Server 2012 R2의 변조 방지는 최신 통합 솔루션 패키지를 사용하여 온보딩된 디바이스에 사용할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 서비스에 Windows 서버 온보딩을 참조하세요.

개요

일부 종류의 사이버 공격 중에 악의적인 행위자는 컴퓨터에서 바이러스 백신 보호와 같은 보안 기능을 사용하지 않도록 설정하려고 합니다. 악의적인 행위자는 데이터에 더 쉽게 액세스하거나, 맬웨어를 설치하거나, 데이터, ID 및 디바이스를 악용하기 위해 보안 기능을 사용하지 않도록 설정하는 것을 좋아합니다. 변조 방지를 사용하면 이러한 종류의 문제가 발생하지 않도록 방지할 수 있습니다. 변조 방지를 사용하면 악의적인 앱이 다음과 같은 작업을 수행할 수 없습니다.

  • 바이러스 및 위협 방지를 사용하지 않도록 설정
  • 실시간 보호 사용 안 림
  • 동작 모니터링 끄기
  • IOfficeAntivirus(IOAV)와 같은 바이러스 백신 보호 사용 안 함
  • 클라우드 제공 보호 사용 안 됨
  • 보안 인텔리전스 업데이트 제거
  • 검색된 위협에 대한 자동 작업 사용 안 됨
  • Windows 보안 앱에서 알림 표시 안 함
  • 보관 파일 및 네트워크 파일 검색 사용 안 림

작동 방식

변조 방지는 기본적으로 Microsoft Defender 바이러스 백신을 안전한 기본값으로 잠그고 다음과 같은 앱 및 메서드를 통해 보안 설정이 변경되지 않도록 합니다.

  • Windows 디바이스의 레지스트리 편집기에서 설정 구성
  • PowerShell cmdlet을 통해 설정 변경
  • 그룹 정책 통해 보안 설정 편집 또는 제거

변조 방지로 인해 보안 설정을 볼 수 없습니다. 또한 변조 방지는 타사 바이러스 백신 앱이 Windows 보안 앱에 등록하는 방식에 영향을 주지 않습니다. 조직에서 Windows 10 Enterprise E5를 사용하는 경우 개별 사용자는 변조 방지 설정을 변경할 수 없습니다. 이러한 경우 변조 방지는 보안 팀에서 관리합니다.

무슨 작업을 하고 싶으십니까?

이 작업을 수행하려면... 이 섹션을 참조하세요.
테넌트 전체에서 변조 방지 관리

Microsoft 365 Defender 포털을 사용하여 변조 방지 설정 또는 해제

 Microsoft 365 Defender 사용하여 조직의 변조 방지 관리
조직의 변조 방지 설정 미세 조정

Intune(Microsoft Endpoint Manager)를 사용하여 변조 방지를 켜거나 끕니다. 이 방법을 사용하여 일부 또는 모든 사용자에 대해 변조 방지를 구성할 수 있습니다.

 Microsoft Endpoint Manager 사용하여 조직의 변조 방지 관리
Configuration Manager 사용하여 조직에 대한 변조 방지 설정(또는 해제) Configuration Manager 버전 2006에서 테넌트 연결을 사용하여 조직에 대한 변조 방지 관리
개별 디바이스에 대한 변조 방지 설정(또는 해제) 개별 디바이스에서 변조 방지 관리
디바이스의 변조 시도에 대한 세부 정보 보기 변조 시도에 대한 정보 보기
보안 권장 사항 검토 보안 권장 사항 검토
FAQ(질문과 대답) 목록 검토 FAQ 찾아보기

클라우드 보호에 대한 잠재적 종속성

변조 방지를 사용하도록 설정하는 데 사용하는 방법 또는 관리 도구에 따라 클라우드 제공 보호 또는 클라우드 제공 보호 또는 MAPS(Microsoft Advanced Protection Service)라고도 하는 클라우드 제공 보호에 대한 종속성이 있을 수 있습니다.

다음 표에서는 메서드, 도구 및 종속성에 대한 세부 정보를 제공합니다.

변조 방지를 사용하는 방법 클라우드 보호에 대한 종속성
Microsoft Intune 아니오
테넌트 연결이 있는 Microsoft 엔드포인트 Configuration Manager 아니오
Microsoft 365 Defender 포털(https://security.microsoft.com)

Microsoft 365 Defender 포털을 사용하여 조직의 변조 방지 관리

Microsoft 365 Defender 포털(https://security.microsoft.com)을 사용하여 테넌트에 대해 변조 방지를 설정하거나 해제할 수 있습니다. 다음은 유의해야 할 몇 가지 사항입니다.

  • 현재 Microsoft 365 Defender 포털에서 변조 방지를 관리하는 옵션은 기본적으로 새 배포에 대해 설정됩니다. 기존 배포의 경우 변조 방지는 옵트인 기준으로 사용할 수 있습니다. 옵트인하려면 Microsoft 365 Defender 포털에서 설정 > 엔드포인트 고급 기능 > 변조 방지 를 > 선택합니다.
  • Microsoft 365 Defender 포털을 사용하여 변조 방지를 관리하는 경우 Intune 또는 테넌트 연결 방법을 사용할 필요가 없습니다.
  • Microsoft 365 Defender 포털에서 변조 방지를 관리하는 경우 설정이 테넌트 전체에 적용되어 Windows 10, Windows 10 Enterprise 다중 세션, Windows 11, Windows 11 Enterprise 실행 중인 모든 디바이스에 영향을 줍니다. 다중 세션, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 또는 Windows Server 2022. 변조 방지를 미세 조정하려면(예: 일부 디바이스에 대한 변조 방지를 사용하지만 다른 디바이스에 대해서는 해제) Microsoft Endpoint Manager 또는 테넌트 연결이 있는 Configuration Manager 사용합니다.
  • 하이브리드 환경이 있는 경우 Intune 구성된 변조 방지 설정이 Microsoft 365 Defender 포털에 구성된 설정보다 우선합니다.

Microsoft 365 Defender 포털에서 변조 방지를 관리하기 위한 요구 사항

  • 전역 관리자, 보안 관리자 또는 보안 작업과 같은 적절한 권한이 할당되어 있어야 합니다.

  • Windows 디바이스는 다음 버전의 Windows 중 하나를 실행해야 합니다.

    • Windows 11
    • Windows 11 Enterprise 다중 세션
    • Windows 10
    • Windows 10 엔터프라이즈 다중 세션
    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 버전 1803 이상
    • Windows Server 2016
    • Windows Server 2012 R2

릴리스에 대한 자세한 내용은 Windows 10 릴리스 정보를 참조하세요.

참고

Microsoft 365 Defender 포털을 통해 변조 방지를 사용하도록 설정하면 변조 방지의 사용 상태를 제어할 수 있도록 클라우드 제공 보호가 필요합니다.
2021년 11월 업데이트(플랫폼 버전4.18.2111.5)부터 디바이스에 대해 클라우드 제공 보호가 켜지지 않고 Microsoft 365 Defender 포털에서 변조 방지가 켜진 경우 변조 방지와 함께 해당 디바이스에 대해 클라우드 제공 보호가 자동으로 켜집니다.

Microsoft 365 Defender 포털에서 변조 방지 설정(또는 해제)

Microsoft 365 Defender 포털에서 변조 방지 설정

  1. Microsoft 365 Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.

  2. 설정 > 엔드포인트를 선택합니다.

  3. 일반 > 고급 기능 으로 이동한 다음 변조 방지를 켭니다.

Microsoft Endpoint Manager 사용하여 조직의 변조 방지 관리

조직에서 MEM(Microsoft Endpoint Manager)을 사용하는 경우 Microsoft Endpoint Manager 관리 센터()에서 조직에 대한 변조 방지를https://endpoint.microsoft.com 설정하거나 해제할 수 있습니다. 변조 방지 설정을 미세 조정하려는 경우 Intune 사용합니다. 예를 들어 일부 디바이스에서 변조 방지를 사용하도록 설정하려는 경우 전부는 아니지만 Intune 사용합니다.

Endpoint Manager 변조 방지를 관리하기 위한 요구 사항

Microsoft Endpoint Manager 변조 방지 설정(또는 해제)

Intune 변조 방지 켜기

  1. Microsoft Endpoint Manager 관리 센터에서 엔드포인트 보안 > 바이러스 백신 으로 이동한 다음 + 정책 만들기 를 선택합니다.

    • 플랫폼 목록에서 Windows 10 이상을 선택합니다.
    • 프로필 목록에서 Windows 보안 환경을 선택합니다.

  2. 다음 설정을 포함하는 프로필을 만듭니다.

    • 변조 방지를 사용하여 Microsoft Defender가 비활성화되지 않도록 설정: 사용

  3. 하나 이상의 그룹에 프로필을 할당합니다.

Configuration Manager 버전 2006을 사용하여 조직의 변조 방지 관리

Configuration Manager 버전 2006을 사용하는 경우 다중 세션, Windows 11 Windows 11 Enterprise 다중 세션 Windows 10 Windows 10 Enterprise 변조 방지 설정을 관리할 수 있습니다. 테넌트 연결 이라는 메서드를 사용하여 R2, Windows Server 2016, Windows Server 2019 및 Windows Server 2022를 Windows Server 2012. 테넌트 연결을 사용하면 온-프레미스 전용 Configuration Manager 디바이스를 Microsoft Endpoint Manager 관리 센터에 동기화한 다음, 온-프레미스 컬렉션 & 디바이스에 엔드포인트 보안 구성 정책을 제공할 수 있습니다.

참고

이 절차를 사용하여 다중 세션, Windows 11, Windows 11 Enterprise 다중 세션, Windows Server 2019 및 Windows Server 2022를 실행하는 Windows 10, Windows 10 Enterprise 디바이스로 변조 방지를 확장할 수 있습니다. 이 절차에서 언급한 리소스의 필수 구성 요소 및 기타 정보를 검토해야 합니다. 최신 통합 솔루션 버전 2203 Configuration Manager 실행하는 Windows Server 2012 R2가 필요합니다.

  1. 테넌트 연결을 설정합니다. 자세한 내용은 시작: 관리 센터에서 엔드포인트 보안 정책 만들기 및 배포를 참조하세요.

  2. Microsoft Endpoint Manager 관리 센터에서 엔드포인트 보안 > 바이러스 백신 으로 이동한 다음 + 정책 만들기 를 선택합니다.

    • 플랫폼 목록에서 Windows 10, Windows 11 및 Windows Server(ConfigMgr) 를 선택합니다.
    • 프로필 목록에서 Windows 보안 환경(미리 보기) 을 선택합니다.

  3. 디바이스 컬렉션에 정책을 배포합니다.

이 메서드에 대한 도움이 필요하세요?

다음 리소스를 참조하십시오.

개별 디바이스에서 변조 방지 관리

참고

변조 방지 블록은 레지스트리를 통해 Microsoft Defender 바이러스 백신 설정을 수정하려고 시도합니다. 변조 방지가 타사 보안 제품 또는 이러한 설정을 수정하는 엔터프라이즈 설치 스크립트를 방해하지 않도록 하려면 Windows 보안 이동하여 보안 인텔리전스 를 버전 1.287.60.0 이상으로 업데이트합니다. ( 보안 인텔리전스 업데이트를 참조하세요.) 이 업데이트를 수행한 후 변조 방지는 레지스트리 설정을 계속 보호하고 로그는 오류를 반환하지 않고 수정하려고 시도합니다.

홈 사용자이거나 보안 팀에서 관리하는 설정의 적용을 받지 않는 경우 Windows 보안 앱을 사용하여 변조 방지를 관리할 수 있습니다. 변조 방지와 같은 보안 설정을 변경하려면 디바이스에 적절한 관리자 권한이 있어야 합니다.

Windows 보안 앱에 표시되는 내용은 다음과 같습니다.

Windows 10 Home 변조 방지 설정

  1. 시작을 선택하고 보안 입력을 시작합니다. 검색 결과에서 Windows 보안 선택합니다.

  2. 바이러스 & 위협 방지 > 바이러스 & 위협 방지 설정을 선택합니다.

  3. 변조 방지 거나 끄도록 설정합니다.

Windows Server 2012 R2, 2016 또는 Windows 버전 1709, 1803 또는 1809를 사용하고 있나요?

최신 통합 솔루션인 Windows Server 2016, Windows 10 버전 1709, 1803 또는 1809를 사용하여 Windows Server 2012 R2를 사용하는 경우 Windows 보안 앱에 변조 방지 가 표시되지 않습니다. 대신 PowerShell을 사용하여 변조 방지가 사용되는지 여부를 확인할 수 있습니다.

Windows Server 2016 설정 앱은 변조 방지를 사용하는 경우 실시간 보호 상태를 정확하게 반영하지 않습니다.

PowerShell을 사용하여 변조 방지 및 실시간 보호가 켜져 있는지 확인

  1. Windows PowerShell 앱을 엽니다.

  2. Get-MpComputerStatus PowerShell cmdlet을 사용합니다.

  3. 결과 목록에서 찾 IsTamperProtected 거나 RealTimeProtectionEnabled. ( true 값은 변조 방지가 사용됨을 의미합니다.)

변조 시도에 대한 정보 보기

변조 시도는 일반적으로 더 큰 사이버 공격을 나타냅니다. 잘못된 행위자는 보안 설정을 유지하여 검색되지 않은 상태로 유지하려고 합니다. 조직의 보안 팀에 소속된 경우 이러한 시도에 대한 정보를 확인한 다음 적절한 조치를 취하여 위협을 완화할 수 있습니다.

변조 시도가 감지되면 Microsoft 365 Defender 포털(https://security.microsoft.com)에서 경고가 발생합니다.

보안 운영 팀은 엔드포인트용 Microsoft Defender 엔드포인트 검색 및 응답고급 헌팅 기능을 사용하여 이러한 시도를 조사하고 해결할 수 있습니다.

보안 권장 사항 검토

변조 방지는 위협 & 취약성 관리 기능과 통합됩니다. 보안 권장 사항에는 변조 방지가 켜져 있는지 확인하는 것이 포함됩니다. 예를 들어 변조 를 검색할 수 있습니다. 결과에서 변조 방지 켜기를 선택하여 자세히 알아보고 켤 수 있습니다.

위협 & 취약성 관리에 대한 자세한 내용은 대시보드 인사이트 - 위협 및 취약성 관리 참조하세요.

자주 묻는 질문

변조 방지를 구성할 수 있는 Windows 버전은 무엇인가요?

  • Windows 11
  • Windows 11 Enterprise 다중 세션
  • OS 1709, 1803, 1809 이상을 엔드포인트용 Microsoft Defender 함께 Windows 10.
  • Windows 10 엔터프라이즈 다중 세션

테넌트 연결과 함께 Configuration Manager 버전 2006을 사용하는 경우 변조 방지를 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 및 Windows Server 2022로 확장할 수 있습니다. 테넌트 연결: 관리 센터에서 엔드포인트 보안 바이러스 백신 정책 만들기 및 배포(미리 보기)를 참조하세요.

변조 방지는 Windows 보안 앱에서 타사 바이러스 백신 등록에 영향을 주나요?

아니요. 비 Microsoft 바이러스 백신 제품은 Windows 보안 애플리케이션에 계속 등록됩니다.

Microsoft Defender 바이러스 백신이 디바이스에서 활성화되지 않으면 어떻게 됩니까?

엔드포인트용 Microsoft Defender 온보딩된 디바이스에는 수동 모드로 실행되는 Microsoft Defender 바이러스 백신이 있습니다. 이러한 경우 변조 방지는 서비스와 해당 기능을 계속 보호합니다.

변조 방지를 켜거나 끌 어떻게 할까요? 있나요?

홈 사용자인 경우 개별 디바이스에서 변조 방지 관리를 참조하세요.

엔드포인트용 Microsoft Defender 사용하는 조직인 경우 다른 엔드포인트 보호 기능을 관리하는 방법과 유사하게 Intune 변조 방지를 관리할 수 있어야 합니다. 이 문서의 다음 섹션을 참조하세요.

Intune 변조 방지 구성은 그룹 정책 사용하여 Microsoft Defender 바이러스 백신을 관리하는 방법에 어떤 영향을 미치나요?

현재 Intune 사용하여 변조 방지를 구성하고 관리하는 경우 Intune 계속 사용해야 합니다.

그룹 정책은 변조 방지에 적용되지 않습니다. 그룹 정책 사용하여 Microsoft Defender 바이러스 백신 설정에 대한 변경 내용은 변조 방지가 켜지거나 변조 방지가 Intune 구성된 경우 무시됩니다.

Microsoft Intune 사용하여 변조 방지를 구성하는 경우 전체 조직에만 적용됩니까?

Intune 변조 방지를 유연하게 구성할 수 있습니다. 전체 조직을 대상으로 하거나 특정 디바이스 및 사용자 그룹을 선택할 수 있습니다.

Microsoft Endpoint Configuration Manager 변조 방지를 구성할 수 있나요?

테넌트 연결을 사용하는 경우 Microsoft Endpoint Configuration Manager 사용할 수 있습니다. 다음 리소스를 참조하십시오.

Windows E3 등록이 있습니다. Intune 변조 방지 구성을 사용할 수 있나요?

현재 Intune 변조 방지 구성은 엔드포인트용 Microsoft Defender 있는 고객만 사용할 수 있습니다.

저는 엔터프라이즈 고객입니다. 로컬 관리자가 디바이스에서 변조 방지를 변경할 수 있나요?

아니요. 로컬 관리자는 변조 방지 설정을 변경하거나 수정할 수 없습니다.

디바이스가 엔드포인트용 Microsoft Defender 온보딩된 후 보드가 없는 상태로 전환되면 어떻게 됩니까?

디바이스가 엔드포인트용 Microsoft Defender 오프보치된 경우 변조 방지가 설정되어 관리되지 않는 디바이스의 기본 상태입니다.

변조 방지 상태가 변경되면 Microsoft 365 Defender 포털에 경고가 표시되어 있나요?

예. 경고는 경고 아래에 표시됩니다 https://security.microsoft.com.

보안 운영 팀은 다음 예제와 같은 헌팅 쿼리를 사용할 수도 있습니다.

AlertInfo|where Title == "Tamper Protection bypass"

변조 시도에 대한 정보를 봅니다.

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

참고 항목