Microsoft Defender 바이러스 백신 네트워크 연결 구성 및 유효성 검사

아티클
04/26/2024

적용 대상:

플랫폼

Windows

Microsoft Defender 바이러스 백신 클라우드 제공 보호가 제대로 작동하는지 확인하려면 보안 팀이 엔드포인트와 특정 Microsoft 서버 간의 연결을 허용하도록 네트워크를 구성해야 합니다. 이 문서에서는 방화벽 규칙을 사용할 수 있어야 하는 연결을 나열합니다. 또한 연결의 유효성을 검사하기 위한 지침을 제공합니다. 보호를 올바르게 구성하면 클라우드 제공 보호 서비스에서 최상의 가치를 얻을 수 있습니다.

중요

이 문서에는 Microsoft Defender 바이러스 백신에 대해서만 네트워크 연결을 구성하는 방법에 대한 정보가 포함되어 있습니다. 엔드포인트용 Microsoft Defender 사용하는 경우(Microsoft Defender 바이러스 백신 포함) 엔드포인트용 Defender에 대한 디바이스 프록시 및 인터넷 연결 설정 구성을 참조하세요.

Microsoft Defender 바이러스 백신 클라우드 서비스에 대한 연결 허용

Microsoft Defender 바이러스 백신 클라우드 서비스는 엔드포인트에 대해 빠르고 강력한 보호를 제공합니다. 클라우드 제공 보호 서비스를 사용하도록 설정하는 것은 선택 사항입니다. Microsoft Defender 바이러스 백신 클라우드 서비스는 엔드포인트 및 네트워크의 맬웨어에 대한 중요한 보호를 제공하기 때문에 권장됩니다. 자세한 내용은 Windows 보안 앱에서 Intune, Microsoft Endpoint Configuration Manager, 그룹 정책, PowerShell cmdlet 또는 개별 클라이언트를 사용하여 서비스를 사용하도록 설정하기 위한 클라우드 제공 보호 사용을 참조하세요.

서비스를 사용하도록 설정한 후에는 네트워크와 엔드포인트 간의 연결을 허용하도록 네트워크 또는 방화벽을 구성해야 합니다. 보호는 클라우드 서비스이므로 컴퓨터는 인터넷에 액세스할 수 있어야 하며 Microsoft 클라우드 서비스에 도달해야 합니다. 모든 종류의 네트워크 검사에서 URL *.blob.core.windows.net 을 제외하지 마세요.

참고

Microsoft Defender 바이러스 백신 클라우드 서비스는 네트워크 및 엔드포인트에 업데이트된 보호를 제공합니다. 클라우드 서비스는 클라우드에 저장된 파일에 대한 보호로만 간주해서는 안 됩니다. 대신 클라우드 서비스는 분산 리소스 및 기계 학습을 사용하여 기존 보안 인텔리전스 업데이트보다 빠른 속도로 엔드포인트에 대한 보호를 제공합니다.

서비스 및 URL

이 섹션의 표에는 서비스 및 관련 웹 사이트 주소(URL)가 나열되어 있습니다.

이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인합니다. 그렇지 않으면 해당 URL에 대해 특별히 허용 규칙을 만들어야 합니다(URL *.blob.core.windows.net제외). 다음 표의 URL은 통신에 포트 443을 사용합니다. (다음 표에 나와 있는 것처럼 일부 URL에도 포트 80이 필요합니다.)

서비스 및 설명	URL
Microsoft Defender 바이러스 백신 클라우드 제공 보호 서비스를 MAPS(Microsoft Active Protection Service)라고 합니다. Microsoft Defender 바이러스 백신은 MAPS 서비스를 사용하여 클라우드 제공 보호를 제공합니다.	`.wdcp.microsoft.com` `.wdcpalt.microsoft.com` `*.wd.microsoft.com`
MU(Microsoft Update Service) 및 WU(Windows 업데이트 서비스) 이러한 서비스는 보안 인텔리전스 및 제품 업데이트를 허용합니다.	`.update.microsoft.com` `.delivery.mp.microsoft.com` `*.windowsupdate.com` `ctldl.windowsupdate.com` 자세한 내용은 Windows 업데이트 대한 연결 엔드포인트를 참조하세요.
보안 인텔리전스 업데이트 ADL(대체 다운로드 위치) 설치된 보안 인텔리전스가 만료된 경우(7일 이상 뒤) 바이러스 백신 보안 인텔리전스 업데이트를 Microsoft Defender 대체 위치입니다.	`.download.microsoft.com` `.download.windowsupdate.com` (포트 80이 필요합니다.) `go.microsoft.com` (포트 80이 필요합니다.) `https://www.microsoft.com/security/encyclopedia/adlpackages.aspx` `https://definitionupdates.microsoft.com/download/DefinitionUpdates/` `https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx`
맬웨어 제출 스토리지 제출 양식 또는 자동 샘플 제출을 통해 Microsoft에 제출된 파일의 업로드 위치입니다.	`ussus1eastprod.blob.core.windows.net` `ussus2eastprod.blob.core.windows.net` `ussus3eastprod.blob.core.windows.net` `ussus4eastprod.blob.core.windows.net` `wsus1eastprod.blob.core.windows.net` `wsus2eastprod.blob.core.windows.net` `ussus1westprod.blob.core.windows.net` `ussus2westprod.blob.core.windows.net` `ussus3westprod.blob.core.windows.net` `ussus4westprod.blob.core.windows.net` `wsus1westprod.blob.core.windows.net` `wsus2westprod.blob.core.windows.net` `usseu1northprod.blob.core.windows.net` `wseu1northprod.blob.core.windows.net` `usseu1westprod.blob.core.windows.net` `wseu1westprod.blob.core.windows.net` `ussuk1southprod.blob.core.windows.net` `wsuk1southprod.blob.core.windows.net` `ussuk1westprod.blob.core.windows.net` `wsuk1westprod.blob.core.windows.net`
CRL(인증서 해지 목록) Windows는 CRL을 업데이트하기 위해 MAPS에 대한 SSL 연결을 만드는 동안 이 목록을 사용합니다.	`http://www.microsoft.com/pkiops/crl/` `http://www.microsoft.com/pkiops/certs` `http://crl.microsoft.com/pki/crl/products` `http://www.microsoft.com/pki/certs`
유니버설 GDPR 클라이언트 Windows는 이 클라이언트를 사용하여 클라이언트 진단 데이터를 보냅니다. Microsoft Defender 바이러스 백신은 제품 품질 및 모니터링 목적으로 일반 데이터 보호 규정을 사용합니다.	이 업데이트는 SSL(TCP 포트 443)을 사용하여 매니페스트를 다운로드하고 다음 DNS 엔드포인트를 사용하는 Microsoft에 진단 데이터를 업로드합니다. `vortex-win.data.microsoft.com` `settings-win.data.microsoft.com`

네트워크와 클라우드 간의 연결 유효성 검사

나열된 URL을 허용한 후 Microsoft Defender 바이러스 백신 클라우드 서비스에 연결되어 있는지 테스트합니다. URL이 정보를 올바르게 보고하고 수신하는지 테스트하여 완전히 보호되었는지 확인합니다.

cmdline 도구를 사용하여 클라우드 제공 보호 유효성 검사

Microsoft Defender 바이러스 백신 명령줄 유틸리티(mpcmdrun.exe)와 함께 다음 인수를 사용하여 네트워크가 Microsoft Defender 바이러스 백신 클라우드 서비스와 통신할 수 있는지 확인합니다.

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

참고

명령 프롬프트를 관리자로 엽니다. 시작 메뉴에서 항목을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 클릭한 다음 권한 프롬프트에서 예를 클릭합니다. 이 명령은 Windows 10, 버전 1703 이상 또는 Windows 11만 작동합니다.

자세한 내용은 mpcmdrun.exe 명령줄 도구를 사용하여 Microsoft Defender 바이러스 백신 관리를 참조하세요.

아래 표를 사용하여 근본 원인 및 가능한 해결 방법에 대한 정보와 함께 발생할 수 있는 오류 메시지를 확인합니다.

오류 메시지 근본 원인

시작 시간: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection에서 MAPS에 대한 연결을 설정하지 못했습니다(hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006**

ValidateMapsConnection이 MAPS에 대한 연결을 설정하지 못했습니다(hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

ValidateMapsConnection이 MAPS에 대한 연결을 설정하지 못했습니다(hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE 이러한 오류 메시지의 근본 원인은 디바이스에 시스템 전체 WinHttp 프록시가 구성되어 있지 않기 때문입니다. 시스템 전체 WinHttp 프록시를 설정하지 않으면 운영 체제에서 프록시를 인식하지 못하고 CRL(운영 체제에서 엔드포인트용 Defender가 아님)을 가져올 수 없으므로 같은 http://cp.wd.microsoft.com/ URL에 대한 TLS 연결이 완전히 성공하지 못합니다. 엔드포인트에 대한 성공(응답 200) 연결이 표시되지만 MAPS 연결은 여전히 실패합니다.

오류 메시지	근본 원인
시작 시간: <Day_of_the_week> MM DD YYYY HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection에서 MAPS에 대한 연결을 설정하지 못했습니다(hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** ValidateMapsConnection이 MAPS에 대한 연결을 설정하지 못했습니다(hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F ValidateMapsConnection이 MAPS에 대한 연결을 설정하지 못했습니다(hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE	이러한 오류 메시지의 근본 원인은 디바이스에 시스템 전체 WinHttp 프록시가 구성되어 있지 않기 때문입니다. 시스템 전체 WinHttp 프록시를 설정하지 않으면 운영 체제에서 프록시를 인식하지 못하고 CRL(운영 체제에서 엔드포인트용 Defender가 아님)을 가져올 수 없으므로 같은 `http://cp.wd.microsoft.com/` URL에 대한 TLS 연결이 완전히 성공하지 못합니다. 엔드포인트에 대한 성공(응답 200) 연결이 표시되지만 MAPS 연결은 여전히 실패합니다.

해결 방법	설명
솔루션(기본 설정)	CRL 검사 허용하는 시스템 전체 WinHttp 프록시를 구성합니다.
해결 방법(기본 설정 2)	- 연결이 끊긴 환경에 대한 Microsoft 자동 업데이트 URL 리디렉션 설정 - CTL 파일을 검색하도록 인터넷에 액세스할 수 있는 서버 구성 - 연결이 끊긴 환경에 대한 Microsoft 자동 업데이트 URL 리디렉션 유용한 참조: - 컴퓨터 구성 > Windows 설정 보안 설정 >> 공개 키 정책 > 인증서 경로 유효성 검사 설정>네트워크 검색 탭>선택 다음 정책 설정> 정의선택을 선택하여 Microsoft 루트 인증서 프로그램(권장) 검사 상자에서 인증서 자동 업데이트의 선택을 취소합니다. - CRL(인증서 해지 목록) 확인 - 애플리케이션 선택 - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
해결 방법 솔루션(대안) 해지된 인증서 또는 인증서 고정에 대해 더 이상 검사 않으므로 모범 사례는 아닙니다.	SPYNET에 대해서만 CRL 검사 사용하지 않도록 설정합니다. 이 레지스트리 SSLOption을 구성하면 SPYNET 보고에 대해서만 CRL 검사 비활성화됩니다. 다른 서비스에는 영향을 주지 않습니다. 이를 위해 다음을 수행합니다. HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions(dword)를 0(16진수)으로 이동합니다. - 0 – 고정 및 해지 검사 사용 안 함 - 1 – 고정 사용 안 함 - 2 – 해지 검사만 사용하지 않도록 설정 - 3 – 해지 검사 및 고정 사용(기본값)

Microsoft에서 가짜 맬웨어 파일 다운로드 시도

Microsoft Defender 바이러스 백신이 클라우드에 제대로 연결되어 있으면 검색하고 차단하는 샘플 파일을 다운로드할 수 있습니다.

참고

다운로드한 파일은 정확히 맬웨어가 아닙니다. 클라우드에 제대로 연결되어 있는지 테스트하도록 설계된 가짜 파일입니다.

올바르게 연결된 경우 바이러스 백신 알림에 Microsoft Defender 경고가 표시됩니다.

Microsoft Edge를 사용하는 경우 알림 메시지도 표시됩니다.

인터넷 Explorer 사용하는 경우에도 비슷한 메시지가 발생합니다.

Windows 보안 앱에서 가짜 맬웨어 검색 보기

작업 표시줄에서 방패 아이콘을 선택하고 Windows 보안 앱을 엽니다. 또는 보안 시작을 검색합니다.
바이러스 & 위협 방지를 선택한 다음, 보호 기록을 선택합니다.
격리된 위협 섹션에서 전체 기록 보기를 선택하여 검색된 가짜 맬웨어를 확인합니다.

참고

버전 1703 이전의 Windows 10 버전에는 다른 사용자 인터페이스가 있습니다. Windows 보안 앱에서 Microsoft Defender 바이러스 백신을 참조하세요.

Windows 이벤트 로그에는 Windows Defender 클라이언트 이벤트 ID 1116도 표시됩니다.

팁

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

참고 항목

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.