Microsoft Defender 오프라인 검사의 결과 실행 및 검토

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender 바이러스 백신
• 비즈니스용 Microsoft Defender
• 개인용 Microsoft Defender

적용 대상	유형
플랫폼	Windows
보호 유형	하드웨어
펌웨어/루트킷	운영 체제 드라이버 메모리(힙) 응용 프로그램 ID 클라우드

[참고] 이 기능에 대한 보호는 펌웨어/루트킷에 중점을 둡니다.

Microsoft Defender 오프라인은 신뢰할 수 있는 환경에서 검사를 부팅하고 실행할 수 있는 맬웨어 방지 검사 도구입니다. 검사는 일반 Windows 커널 외부에서 실행되므로 MBR(master 부팅 레코드)을 감염시키거나 덮어쓰는 바이러스 및 루트킷과 같이 Windows 셸을 우회하려는 맬웨어를 대상으로 할 수 있습니다.

맬웨어 감염이 의심되는 경우 Microsoft Defender 오프라인 검사를 사용하거나 맬웨어가 발생한 후 엔드포인트의 철저한 클린 확인하려는 경우 사용할 수 있습니다.

필수 구성 요소 및 요구 사항

다음은 Windows에서 오프라인 검사를 Microsoft Defender 하드웨어 요구 사항입니다.

• x64 Windows 11
• x64/x86 Windows 10
• x64/x86 Windows 8.1
• x64/x86 Windows 7 서비스 팩 1

주의

Microsoft Defender 오프라인 검사는 다음에 적용되지 않습니다.

• ARM Windows 11
• ARM Windows 10
• Windows Server 스톡 키핑 단위(SKU)

Windows 10 및 Windows 11 요구 사항에 대한 자세한 내용은 다음 문서를 참조하세요.

• 최소 하드웨어 요구 사항
• 하드웨어 구성 요소 지침

오프라인 업데이트 Microsoft Defender

Microsoft Defender 오프라인 검사 업데이트를 받으려면 다음을 수행합니다.

• Microsoft Defender 바이러스 백신은 기본 바이러스 백신 소프트웨어여야 합니다(수동 모드가 아님).

• 일반적으로 엔드포인트에 업데이트를 배포하는 방법을 Microsoft Defender 바이러스 백신을 업데이트합니다. 지원되는 버전의 를 사용합니다.

  • 플랫폼 업데이트

  • 엔진 업데이트

  • 보안 인텔리전스 업데이트

    • Microsoft 맬웨어 보호 센터 최신 보호 업데이트를 수동으로 다운로드하여 설치할 수 있습니다.
    • 자세한 내용은 Microsoft Defender 바이러스 백신 보안 인텔리전스 업데이트 관리 문서를 참조하세요.

• 사용자는 로컬 관리자 권한으로 로그인해야 합니다.

• WinRE(Windows 복구 환경)를 사용하도록 설정해야 합니다.

참고

WinRE를 사용하지 않도록 설정하면 Windows Defender 오프라인 검사가 실행되지 않고 오류 메시지가 표시되지 않습니다. 컴퓨터를 수동으로 다시 시작하는 경우에도 아무 일도 발생하지 않습니다. 이 문제를 해결하려면 WinRE만 사용하도록 설정하면 됩니다.

• WinRE 상태 검사 명령줄reagentc /info을 실행할 수 있습니다.
• 상태 사용 안 함인 경우 명령줄 reagentc /enable를 실행하여 사용하도록 설정할 수 있습니다.

사용 시나리오

오프라인 검사를 Microsoft Defender 실행해야 합니다.

Microsoft Defender 바이러스 백신에서 오프라인으로 Microsoft Defender 실행해야 한다고 결정하면 디바이스에서 사용자에게 프롬프트가 표시됩니다. 프롬프트는 다음과 유사한 알림을 통해 발생할 수 있습니다.

사용자에게 Microsoft Defender 바이러스 백신 클라이언트 내에서도 알림이 표시됩니다. Intune 사용하여 디바이스를 관리하는 경우 Intune 알림을 볼 수 있습니다.

• 기본 제공 Windows 10, 버전 1607 이상 및 Windows 11 오프라인 검사를 수동으로 강제 적용할 수 있습니다. 또는 여기에 설명된 대로 부팅 가능한 미디어를 통해 이전 Windows OS를 검색할 수 있습니다.

Configuration Manager 모니터링 > 개요 > 보안 > 엔드포인트 보호 상태 System Center Endpoint Protection 상태로 > 이동하여 엔드포인트의 상태 식별할 수 있습니다.

Microsoft Defender 오프라인 검사는 오프라인 검사 필요로 맬웨어 수정 상태 표시됩니다.

알림 구성

Microsoft Defender 오프라인 알림은 다른 Microsoft Defender 바이러스 백신 알림과 동일한 정책 설정에서 구성됩니다.

Windows Defender 알림에 대한 자세한 내용은 엔드포인트에 표시되는 알림 구성을 참조하세요.

검사 실행

중요

Microsoft Defender 오프라인 검사를 사용하기 전에 파일을 저장하고 실행 중인 프로그램을 종료해야 합니다. Microsoft Defender 오프라인 검사를 실행하는 데 약 15분이 걸립니다. 검사가 완료되면 엔드포인트를 다시 시작합니다. 검사는 일반적인 Windows 운영 환경 외부에서 수행됩니다. 사용자 인터페이스는 Windows Defender 수행하는 일반 검사와 다르게 표시됩니다. 검사가 완료되면 엔드포인트가 다시 시작되고 Windows가 정상적으로 로드됩니다.

다음 방법으로 Microsoft Defender 오프라인 검사를 실행할 수 있습니다.

• Windows 보안 앱
• PowerShell
• WMI(Windows Management Instrumentation)

Windows Defender 보안 앱을 사용하여 오프라인 검사 실행

Windows 10 버전 1607 이상부터 Windows 11 Microsoft Defender 오프라인 검사를 Windows 보안 앱에서 직접 한 번의 클릭으로 실행할 수 있습니다. 이전 버전의 Windows에서는 사용자가 부팅 가능한 미디어에 Microsoft Defender 오프라인 검사를 설치하고, 엔드포인트를 다시 시작하고, 부팅 가능한 미디어를 로드해야 했습니다.

참고

Windows 10 버전 1607에서는 Windows 설정 > 업데이트 & 보안 > Windows Defender 또는 Windows Defender 클라이언트에서 오프라인 검사를 실행할 수 있습니다.

1. Windows 디바이스에서 Windows 보안 앱을 연 다음 검색 옵션을 엽니다.

2. 오프라인 검사를 Microsoft Defender 라디오 단추를 선택하고 지금 검사를 선택합니다.

   프로세스는 에서 C:\ProgramData\Microsoft\Windows Defender\Offline Scanner시작됩니다.

3. 다음 이미지와 유사하게 계속하기 전에 작업을 저장하라는 메시지가 표시됩니다.

   

   작업을 저장한 후 검사를 선택합니다.

4. 검사를 선택하면 다음 이미지와 유사하게 디바이스를 변경할 수 있는 권한을 요청하는 다른 프롬프트가 표시됩니다.

   

   예를 선택합니다.

5. 또 다른 프롬프트가 나타나서 로그아웃되고 Windows가 다음 이미지와 유사하게 1분 이내에 종료된다는 알림이 표시됩니다.

   

6. Microsoft Defender 바이러스 백신 검사(오프라인 검사)가 진행 중임을 알 수 있습니다.

   

   다음 이미지가 표시됩니다.

   

PowerShell cmdlet을 사용하여 오프라인 검사 실행

다음 cmdlet을 사용합니다.

Start-MpWDOScan

Microsoft Defender 바이러스 백신에서 PowerShell을 사용하는 방법에 대한 자세한 내용은 PowerShell cmdlet을 사용하여 Microsoft Defender 바이러스 백신 및 Defender 바이러스 백신 cmdlet 구성 및 실행을 참조하세요.

WMI(Windows Management Instruction)를 사용하여 오프라인 검사 실행

MSFT_MpWDOScan 클래스를 사용하여 오프라인 검사를 실행합니다.

다음 WMI 스크립트 조각은 즉시 Microsoft Defender 오프라인 검사를 실행하여 엔드포인트가 다시 시작되고 오프라인 검사를 실행한 다음 다시 시작되어 Windows로 부팅됩니다.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

자세한 내용은 WMIv2 API Windows Defender 참조하세요.

Windows 7 서비스 팩 1 및 Windows 8.1:

1. 오프라인으로 Windows Defender 다운로드하고 다음 링크를 사용하여 CD, DVD 또는 USB 플래시 드라이브에 설치합니다.

   • 64비트 버전 다운로드(msstool64.exe)
   • 32비트 버전 다운로드(msstool32.exe)

   다운로드할 버전을 잘 모르는 경우 내 PC에서 32비트 또는 64비트 버전의 Windows를 실행하고 있나요?를 참조하세요.

2. 시작하려면 250MB 이상의 여유 공간이 있는 빈 CD, DVD 또는 USB 플래시 드라이브를 찾은 다음 도구를 실행합니다. 이동식 미디어를 만드는 단계를 안내합니다.

   팁

   오프라인으로 Windows Defender 다운로드할 때 다음을 수행하는 것이 좋습니다.

   • 오프라인으로 Windows Defender 다운로드하고 맬웨어가 미디어 생성을 방해할 수 있으므로 맬웨어에 감염되지 않은 PC에서 CD, DVD 또는 USB 플래시 드라이브를 만듭니다.
   • USB 드라이브를 사용하는 경우 드라이브의 서식이 다시 지정되고 해당 드라이브의 모든 데이터가 지워집니다. 먼저 드라이브에서 중요한 데이터를 백업해야 합니다.

   

3. PC에서 바이러스 및 기타 맬웨어를 검사합니다.

   1. USB 드라이브, CD 또는 DVD를 만든 후에는 현재 컴퓨터에서 USB 드라이브를 제거하고 스캔하려는 컴퓨터로 가져 가라. USB 드라이브 또는 디스크를 다른 컴퓨터에 삽입하고 컴퓨터를 다시 시작합니다.

   2. USB 드라이브, CD 또는 DVD에서 부팅하여 검사를 실행합니다. 컴퓨터의 설정에 따라 다시 시작한 후 미디어에서 자동으로 부팅되거나 키를 눌러 "부팅 디바이스" 메뉴를 입력하거나 컴퓨터의 UEFI 펌웨어 또는 BIOS에서 부팅 순서를 수정해야 할 수 있습니다.

   3. 디바이스를 부팅하면 컴퓨터를 자동으로 검사하고 맬웨어를 제거하는 Microsoft Defender 도구가 표시됩니다.

   4. 검사가 완료되고 도구가 완료되면 컴퓨터를 다시 부팅하고 Microsoft Defender 오프라인 미디어를 제거하여 Windows로 다시 부팅할 수 있습니다.

4. PC에서 찾은 맬웨어를 제거합니다.

   오프라인 검사를 실행할 때 파란색 화면에서 중지 오류가 발생하는 경우 디바이스를 다시 시작하고 Microsoft Defender 오프라인 검사를 다시 실행해 보세요. 파란색 화면 오류가 다시 발생하면 Microsoft 지원 문의하세요.

검사 결과는 어디에서 찾을 수 있나요?

Microsoft Defender 오프라인 검색 결과를 보려면 Windows 10 및 Windows 11.

1. 시작을 선택한 다음 설정>업데이트 & 보안>Windows 보안>Virus & 위협 방지를 선택합니다.

2. 바이러스 & 위협 방지 화면의 현재 위협에서 검사 옵션을 선택한 다음 보호 기록을 선택합니다. 자세한 내용은 Windows 보안 앱에서 위협 탐지 기록 검토를 참조하세요.

Microsoft Defender 오프라인 검사가 시작되었는지 어떻게 확인할 수 있나요?

이벤트 뷰어애플리케이션 및 서비스 로그 > Microsoft > Windows > Windows Defender > 운영으로 이동합니다. 볼 거에요:

• 로그 이름: Microsoft-Windows-Windows Defender/운영
• 출처: Microsoft-Windows-Windows Defender
• 이벤트 ID: 2030
• 수준: 정보
• 설명: Microsoft Defender 바이러스 백신을 다운로드하고 다음 다시 부팅할 Microsoft Defender 바이러스 백신(오프라인 검사)을 구성했습니다.

2004년 Windows 10 이전 버전에서는 다음이 표시됩니다.

Windows Defender 다음 재부팅에서 실행되도록 오프라인으로 Windows Defender 바이러스 백신을 다운로드하고 구성했습니다.

• 로그 이름: Microsoft-Windows-Windows Defender/Operational
• 소스: Microsoft-Windows-Windows Defender
• 이벤트 ID: 5007
• 수준: Information
• 설명: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• 이전 값: N/A\Scan\OfflineScanRun =
• 새 값: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

관련 문서

• 검사 및 수정 결과 사용자 지정, 시작 및 검토
• Windows 10의 Microsoft Defender 바이러스 백신

팁

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

• macOS의 엔드포인트용 Microsoft Defender 기본 설정
• 엔드포인트용 Microsoft Defender(Mac용)
• Intune용 Microsoft Defender 바이러스 백신의 macOS 바이러스 백신 정책 설정
• Linux의 엔드포인트용 Microsoft Defender 기본 설정
• Microsoft Defender for Endpoint(Linux용)
• 엔드포인트용 Microsoft Defender(Android용) 기능 구성
• 엔드포인트용 Microsoft Defender(iOS용) 기능 구성

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.