엔드포인트용 Microsoft Defender 전환 - 2단계: 설정

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft 365 Defender

1 단계: 준비	2 단계: 설정	3 단계: 온보딩
	당신은 여기 있습니다!

엔드포인트용 Defender로 전환하는 설정 단계를 시작 합니다. 이 단계에는 다음 단계가 포함됩니다.

1. 엔드포인트에서 Microsoft Defender 바이러스 백신을 다시 설치/사용하도록 설정합니다.
2. 엔드포인트용 Defender를 구성합니다.
3. 엔드포인트용 Defender를 기존 솔루션의 제외 목록에 추가합니다.
4. Microsoft Defender 바이러스 백신의 제외 목록에 기존 솔루션을 추가합니다.
5. 디바이스 그룹, 디바이스 컬렉션 및 조직 구성 단위를 설정합니다.

엔드포인트에서 Microsoft Defender 바이러스 백신 다시 설치/사용

특정 버전의 Windows에서는 비 Microsoft 바이러스 백신/맬웨어 방지 솔루션이 설치되었을 때 Microsoft Defender 바이러스 백신이 제거되거나 비활성화되었을 수 있습니다. Windows를 실행하는 엔드포인트가 엔드포인트용 Defender에 온보딩되면 Microsoft Defender 바이러스 백신은 비 Microsoft 바이러스 백신 솔루션과 함께 수동 모드로 실행할 수 있습니다. 자세한 내용은 엔드포인트용 Defender를 사용한 바이러스 백신 보호를 참조하세요.

엔드포인트용 Defender로 전환하는 동안 Microsoft Defender 바이러스 백신을 다시 설치하거나 사용하도록 설정하려면 특정 단계를 수행해야 할 수 있습니다. 다음 표에서는 Windows 클라이언트 및 서버에서 수행할 작업을 설명합니다.

엔드포인트 유형	수행할 작업
Windows 클라이언트(예: Windows 10 및 Windows 11 실행 중인 엔드포인트)	일반적으로 Windows 클라이언트에 대해 아무 작업도 수행할 필요가 없습니다(Microsoft Defender 바이러스 백신이 제거되지 않은 경우). 일반적으로 Microsoft Defender 바이러스 백신은 여전히 설치되어 있어야 하지만 마이그레이션 프로세스의 이 시점에서 사용하지 않도록 설정되었을 가능성이 큽 있습니다. 비 Microsoft 바이러스 백신/맬웨어 방지 솔루션이 설치되고 클라이언트가 엔드포인트용 Defender에 아직 온보딩되지 않은 경우 Microsoft Defender 바이러스 백신이 자동으로 비활성화됩니다. 나중에 클라이언트 엔드포인트가 엔드포인트용 Defender에 온보딩되면 해당 엔드포인트가 Microsoft가 아닌 바이러스 백신 솔루션을 실행하는 경우 Microsoft Defender 바이러스 백신이 수동 모드로 전환됩니다. Microsoft가 아닌 바이러스 백신 솔루션을 제거하면 Microsoft Defender 바이러스 백신이 자동으로 활성 모드로 전환됩니다.
Windows 서버	Windows Server에서 Microsoft Defender 바이러스 백신을 다시 설치하고 수동 모드로 수동으로 설정해야 합니다. Windows 서버에서 비 Microsoft 바이러스 백신/맬웨어 방지 프로그램이 설치된 경우 Microsoft Defender 바이러스 백신은 비 Microsoft 바이러스 백신 솔루션과 함께 실행할 수 없습니다. 이러한 경우 Microsoft Defender 바이러스 백신은 수동으로 사용하지 않도록 설정되거나 제거됩니다. Windows Server에서 Microsoft Defender 바이러스 백신을 다시 설치하거나 사용하도록 설정하려면 다음 작업을 수행합니다. - Windows Server 2016 Microsoft Defender 바이러스 백신 다시 설치 - Windows Server 버전 1803 이상에서 Microsoft Defender 바이러스 백신 다시 설치 - Windows Server에서 Microsoft Defender 바이러스 백신을 수동 모드로 설정 Windows Server에서 Microsoft Defender 바이러스 백신을 다시 설치하거나 다시 사용하도록 설정하는 데 문제가 발생하는 경우 문제 해결을 참조하세요. Microsoft Defender 바이러스 백신이 Windows Server에서 제거되고 있습니다.

팁

비 Microsoft 바이러스 백신 보호를 사용하는 Microsoft Defender 바이러스 백신 상태에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 호환성을 참조하세요.

Windows Server 2016 Microsoft Defender 바이러스 백신 다시 사용

맬웨어 보호 Command-Line 유틸리티를 사용하여 Windows Server 2016 Microsoft Defender 바이러스 백신을 다시 사용하도록 설정할 수 있습니다.

1. 서버에서 로컬 관리자로 명령 프롬프트를 엽니다.

2. 다음 명령을 실행합니다. MpCmdRun.exe -wdenable

3. 디바이스를 다시 시작합니다.

Windows Server 버전 1803 이상에서 Microsoft Defender 바이러스 백신 다시 사용

중요

다음 절차는 다음 버전의 Windows를 실행하는 엔드포인트 또는 디바이스에만 적용됩니다.

• Windows Server 2022
• Windows Server 2019
• Windows Server 버전 1803(코어 전용 모드)

1. 서버의 로컬 관리자로서 Windows PowerShell 엽니다.

2. 다음 PowerShell cmdlet을 실행합니다.

   # For Windows Server 2016
   Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Features
   Dism /Online /Enable-Feature /FeatureName:Windows-Defender
   Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Gui
   
   # For Windows Server 2019 and Windows Server 2022
   Dism /Online /Enable-Feature /FeatureName:Windows-Defender
   

   PowerShell을 실행하는 작업 순서 내에서 DISM 명령을 사용하는 경우 cmd.exe 다음 경로가 필요합니다. 예제:

   C:\Windows\System32\cmd.exe /c Dism /Online /Enable-Feature /FeatureName:Windows-Defender-Features
   C:\Windows\System32\cmd.exe /c Dism /Online /Enable-Feature /FeatureName:Windows-Defender
   

3. 디바이스를 다시 시작합니다.

Windows Server에서 Microsoft Defender 바이러스 백신을 수동 모드로 설정

팁

이제 Windows Server 2012 R2 및 2016에서 수동 모드에서 Microsoft Defender 바이러스 백신을 실행할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 설치하는 옵션을 참조하세요.

1. 레지스트리 편집기를 열고 .로 이동합니다 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

2. ForceDefenderPassiveMode 라는 DWORD 항목을 편집(또는 만들기)하고 다음 설정을 지정합니다.

   • DWORD 값을 1 로 설정합니다.

   • 밑 아래에서 16진수(16진수)를 선택합니다.

참고

엔드포인트용 Defender에 온보딩한 후 Windows Server에서 Microsoft Defender 바이러스 백신을 수동 모드로 설정해야 할 수 있습니다. 수동 모드가 예상대로 설정되었는지 확인하려면 Microsoft-Windows-Windows Defender 운영 로그(위치)에서 C:\Windows\System32\winevt\Logs이벤트 5007 을 검색하고 ForceDefenderPassiveMode 또는 PassiveMode 레지스트리 키가 0x1 설정되었는지 확인합니다.

Windows Server 2012 R2 또는 Windows Server 2016 사용하고 있나요?

이제 위의 방법을 사용하여 Windows Server 2012 R2 및 2016에서 수동 모드로 Microsoft Defender 바이러스 백신을 실행할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 설치하는 옵션을 참조하세요.

엔드포인트용 Defender 구성

마이그레이션 프로세스의 이 단계에는 엔드포인트에 대한 Microsoft Defender 바이러스 백신 구성이 포함됩니다. Intune 사용하는 것이 좋습니다. 그러나 다음 표에 나열된 메서드를 사용할 수 있습니다.

메서드	수행할 작업
Intune 참고: Intune 이제 Microsoft Endpoint Manager 일부입니다.	1. Microsoft Endpoint Manager 관리 센터로 이동하여 로그인합니다. 2. 디바이스 > 구성 프로필을 선택한 다음 구성하려는 프로필 유형을 선택합니다. 아직 디바이스 제한 프로필 유형을 만들지 않았거나 새 프로필 유형을 만들려는 경우 Microsoft Intune 디바이스 제한 설정 구성을 참조하세요. 3. 속성을 선택한 다음 구성 설정을 선택합니다. 편집 4. Microsoft Defender 바이러스 백신 을 확장합니다. 5. 클라우드 제공 보호를 사용하도록 설정합니다. 6. 샘플 제출 드롭다운 전에 프롬프트 사용자 에서 모든 샘플 보내기를 자동으로 선택합니다. 7. 잠재적으로 원치 않는 애플리케이션 검색 드롭다운에서 사용 또는 감사를 선택합니다. 8. 검토 + 저장 을 선택한 다음 저장 을 선택합니다. 팁: 설정을 만들고 구성하는 방법을 포함하여 Intune 디바이스 프로필에 대한 자세한 내용은 Microsoft Intune 디바이스 프로필이란?을 참조하세요.
Microsoft Endpoint Configuration Manager	Configuration Manager Endpoint Protection에 대한 맬웨어 방지 정책 만들기 및 배포를 참조하세요. 맬웨어 방지 정책을 만들고 구성할 때 실시간 보호 설정을 검토하고 즉각 적 차단을 사용하도록 설정해야 합니다.
Windows에서 제어판	다음 지침을 따르세요. Microsoft Defender 바이러스 백신을 켭니다. (일부 버전의 Windows에서는 Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신 표시될 수 있습니다.)
고급 그룹 정책 관리 또는 그룹 정책 관리 콘솔	1. 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 Microsoft Defender 바이러스 백신 으로 > 이동합니다. 2. Microsoft Defender 바이러스 백신 끄기 라는 정책을 찾습니다. 3. 정책 설정 편집 을 선택하고 정책을 사용하지 않도록 설정했는지 확인합니다. 이 작업을 통해 Microsoft Defender 바이러스 백신을 사용할 수 있습니다. (일부 버전의 Windows에서는 Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신 표시될 수 있습니다.)

팁

조직의 디바이스를 온보딩하기 전에 정책을 배포할 수 있습니다.

기존 솔루션의 제외 목록에 엔드포인트용 Microsoft Defender 추가

설치 프로세스의 이 단계에서는 기존 엔드포인트 보호 솔루션 및 조직에서 사용 중인 다른 보안 제품에 대한 제외 목록에 엔드포인트용 Defender를 추가하는 작업이 포함됩니다.

팁

제외 구성에 대한 도움말을 보려면 솔루션 공급자의 설명서를 참조하세요.

구성할 특정 제외는 엔드포인트 또는 디바이스가 실행 중인 Windows 버전에 따라 달라지며 다음 표에 나와 있습니다.

OS	제외
Windows 11 Windows 10 버전 1803 이상(Windows 10 릴리스 정보 참조) Windows 10, KB4493441이 설치된 버전 1703 또는 1709 Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 버전 1803	C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection 또한 최신 통합 솔루션을 실행하는 Windows Server 2012 R2 및 2016에서는 KB5005292를 사용하여 Sense EDR 구성 요소를 업데이트한 후 다음과 같은 제외가 필요합니다. C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe
Windows 8.1 Windows 7 Windows Server 2008 R2 SP1	C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe 참고: 호스트 임시 파일 6\45 모니터링은 번호가 매겨진 하위 폴더가 다를 수 있습니다. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Microsoft Defender 바이러스 백신에 대한 제외 목록에 기존 솔루션 추가

설치 프로세스의 이 단계에서는 Microsoft Defender 바이러스 백신 제외 목록에 기존 솔루션을 추가합니다. 다음 표에 나열된 대로 몇 가지 방법 중에서 선택하여 Microsoft Defender 바이러스 백신에 제외를 추가할 수 있습니다.

메서드	수행할 작업
Intune 참고: Intune 이제 Microsoft Endpoint Manager 일부입니다.	1. Microsoft Endpoint Manager 관리 센터로 이동하여 로그인합니다. 2. 디바이스 > 구성 프로필을 선택한 다음 구성할 프로필을 선택합니다. 3. 관리 에서 속성을 선택합니다. 4. 구성 설정 선택: 편집. 5. Microsoft Defender 바이러스 백신 을 확장한 다음 Microsoft Defender 바이러스 백신 제외를 확장합니다. 6. Microsoft Defender 바이러스 백신 검사에서 제외할 파일 및 폴더, 확장명 및 프로세스를 지정합니다. 참조는 Microsoft Defender 바이러스 백신 제외를 참조하세요. 7. 검토 + 저장 을 선택한 다음 저장 을 선택합니다.
Microsoft Endpoint Configuration Manager	1. Configuration Manager 콘솔을 사용하여 자산 및 규정 준수 > Endpoint Protection > 맬웨어 방지 정책 으로 이동한 다음 수정할 정책을 선택합니다. 2. Microsoft Defender 바이러스 백신 검사에서 제외할 파일 및 폴더, 확장명 및 프로세스에 대한 제외 설정을 지정합니다.
그룹 정책 개체	1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성할 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집 을 선택합니다. 2. 그룹 정책 관리 편집기 에서 컴퓨터 구성 으로 이동하여 관리 템플릿을 선택합니다. 3. 트리를 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 제외로 확장합니다. (일부 버전의 Windows에서는 Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신 표시될 수 있습니다.) 4. 경로 제외 설정을 두 번 클릭하고 제외를 추가합니다. 5. 옵션을 사용 으로 설정합니다. 6. 옵션 섹션에서 표시... 를 선택합니다. 7. 값 이름 열 아래에 있는 각 폴더를 자체 줄에 지정합니다. 파일을 지정하는 경우 드라이브 문자, 폴더 경로, 파일 이름 및 확장명을 포함하여 파일의 정규화된 경로를 입력해야 합니다. 값 열에 0 을 입력 합니다 . 8. 확인을 선택합니다. 9. 확장 제외 설정을 두 번 클릭하고 제외를 추가합니다. 10. 옵션을 사용 으로 설정합니다. 11. 옵션 섹션에서 표시... 를 선택합니다. 12. 값 이름 열 아래의 각 파일 확장명을 자체 줄에 입력합니다. 값 열에 0 을 입력 합니다 . 13. 확인을 선택합니다.
로컬 그룹 정책 개체	1. 엔드포인트 또는 디바이스에서 로컬 그룹 정책 편집기를 엽니다. 2. 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 제외로 이동합니다. (일부 버전의 Windows에서는 Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신 표시될 수 있습니다.) 3. 경로 및 프로세스 제외를 지정합니다.
레지스트리 키	1. 다음 레지스트리 키를 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions내보냅니다. . 2. 레지스트리 키를 가져옵니다. 다음은 이와 관련된 두 가지 예입니다. - 로컬 경로: regedit.exe /s c:\temp\MDAV_Exclusion.reg - 네트워크 공유: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

제외에 대해 다음 사항에 유의하세요.

Microsoft Defender 바이러스 백신 검사에 제외를 추가하는 경우 경로 및 프로세스 제외를 추가해야 합니다.

다음 사항에 유의하세요.

• 경로 제외는 특정 파일 및 해당 파일에 액세스하는 모든 파일을 제외합니다.
• 프로세스 제외는 프로세스와 접촉하는 모든 항목을 제외하지만 프로세스 자체를 제외하지는 않습니다.
• 이름만 사용하는 것이 아니라 전체 경로를 사용하여 프로세스 제외를 나열합니다. 이름 전용 메서드의 보안이 떨어집니다.
• 각 실행 파일(.exe)을 경로 제외 및 프로세스 제외로 나열하면 프로세스와 처리 대상은 제외됩니다.

디바이스 그룹, 디바이스 컬렉션 및 조직 구성 단위 설정

디바이스 그룹, 디바이스 컬렉션 및 조직 구성 단위를 사용하면 보안 팀이 보안 정책을 효율적이고 효과적으로 관리하고 할당할 수 있습니다. 다음 표에서는 이러한 각 그룹 및 이러한 그룹을 구성하는 방법을 설명합니다. 조직에서 세 가지 컬렉션 유형을 모두 사용하지 않을 수 있습니다.

컬렉션 유형	수행할 작업
디바이스 그룹 (이전 의 컴퓨터 그룹)을 사용하면 보안 운영 팀이 자동화된 조사 및 수정과 같은 보안 기능을 구성할 수 있습니다. 디바이스 그룹은 필요한 경우 보안 운영 팀이 수정 작업을 수행할 수 있도록 해당 디바이스에 대한 액세스를 할당하는 데에도 유용합니다. 디바이스 그룹은 공격이 감지되고 중지되는 동안 "초기 액세스 경고"와 같은 경고가 트리거되고 Microsoft 365 Defender 포털에 표시됩니다.	1. Microsoft 365 Defender 포털(https://security.microsoft.com)로 이동합니다. 2. 왼쪽 탐색 창에서 설정 > 엔드포인트 > 사용 권한 > 디바이스 그룹을 선택합니다. 3. + 디바이스 그룹 추가 를 선택합니다. 4. 디바이스 그룹의 이름과 설명을 지정합니다. 5. Automation 수준 목록에서 옵션을 선택합니다. ( 전체 - 위협을 자동으로 수정하는 것이 좋습니다.) 다양한 자동화 수준에 대해 자세히 알아보려면 위협 해결 방법을 참조하세요. 6. 디바이스 그룹에 속하는 디바이스를 결정하는 일치 규칙에 대한 조건을 지정합니다. 예를 들어 도메인, OS 버전을 선택하거나 디바이스 태그를 사용할 수도 있습니다. 7. 사용자 액세스 탭에서 디바이스 그룹에 포함된 디바이스에 대한 액세스 권한이 있어야 하는 역할을 지정합니다. 8. 완료 를 선택합니다.
디바이스 컬렉션을 사용하면 보안 운영 팀이 애플리케이션을 관리하거나, 규정 준수 설정을 배포하거나, 조직의 디바이스에 소프트웨어 업데이트를 설치할 수 있습니다. 디바이스 컬렉션은 Configuration Manager 사용하여 생성됩니다.	컬렉션 만들기의 단계를 따릅니다.
조직 구성 단위 를 사용하면 사용자 계정, 서비스 계정 또는 컴퓨터 계정과 같은 개체를 논리적으로 그룹화할 수 있습니다. 그런 다음 관리자를 특정 조직 구성 단위에 할당하고 그룹 정책을 적용하여 대상 구성 설정을 적용할 수 있습니다. 조직 구성 단위는 Azure Active Directory Domain Services 정의됩니다.	Azure Active Directory Domain Services 관리되는 도메인에서 조직 구성 단위 만들기의 단계를 수행합니다.

다음 단계

축하합니다! 엔드포인트용 Defender로 전환하는 설정 단계를 완료했습니다.

• 3단계 진행: 엔드포인트용 Defender에 온보딩