제어된 폴더 액세스를 사용하여 중요한 폴더 보호

적용 대상:

적용 대상

  • Windows

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스란?

제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록으로부터 앱을 확인하여 데이터를 보호합니다. Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 및 Windows 11 클라이언트에서 지원되는 제어된 폴더 액세스는 Windows 보안 앱, Microsoft 엔드포인트를 사용하여 설정할 수 있습니다. Configuration Manager 또는 Intune(관리되는 디바이스의 경우).

참고

스크립팅 엔진은 신뢰할 수 없으며 제어된 보호된 폴더에 대한 액세스를 허용할 수 없습니다. 예를 들어 인증서 및 파일 표시기를 허용하더라도 제어된 폴더 액세스를 통해 PowerShell을 신뢰할 수 없습니다.

제어된 폴더 액세스는 일반적인 경고 조사 시나리오의 일부로 제어된 폴더 액세스 이벤트 및 블록에 대한 자세한 보고를 제공하는 엔드포인트용 Microsoft Defender 가장 잘 작동합니다.

제어된 폴더 액세스 블록은 경고 큐에서 경고를 생성하지 않습니다. 그러나 고급 헌팅을 사용하거나 사용자 지정 검색 규칙을 사용하여 디바이스 타임라인 보기에서 제어된 폴더 액세스 블록에 대한 정보를 볼 수 있습니다.

제어된 폴더 액세스는 어떻게 작동하나요?

제어된 폴더 액세스는 신뢰할 수 있는 앱이 보호된 폴더에 액세스할 수 있도록 허용하여 작동합니다. 보호된 폴더는 제어된 폴더 액세스가 구성될 때 지정됩니다. 일반적으로 문서, 사진, 다운로드 등에 사용되는 폴더와 같이 일반적으로 사용되는 폴더가 제어되는 폴더 목록에 포함됩니다.

제어된 폴더 액세스는 신뢰할 수 있는 앱 목록에서 작동합니다. 신뢰할 수 있는 소프트웨어 목록에 포함된 앱은 예상대로 작동합니다. 목록에 포함되지 않은 앱은 보호된 폴더 내의 파일을 변경할 수 없습니다.

앱은 해당 보급률 및 평판에 따라 목록에 추가됩니다. organization 전체에서 매우 널리 퍼져 있고 악의적인 것으로 간주되는 동작을 표시한 적이 없는 앱은 신뢰할 수 있는 것으로 간주됩니다. 이러한 앱은 목록에 자동으로 추가됩니다.

Configuration Manager 또는 Intune 사용하여 신뢰할 수 있는 목록에 앱을 수동으로 추가할 수도 있습니다. Microsoft Defender 포털에서 추가 작업을 수행할 수 있습니다.

제어된 폴더 액세스가 중요한 이유

제어된 폴더 액세스는 랜섬웨어로부터 문서와 정보를 보호하는 데 특히 유용합니다. 랜섬웨어 공격에서 파일은 암호화되어 인질로 잡을 수 있습니다. 제어된 폴더 액세스가 있으면 앱이 보호된 폴더의 파일을 변경하려고 시도한 컴퓨터에 알림이 표시됩니다. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다. 규칙을 개별적으로 사용하도록 설정하여 기능에서 모니터링하는 기술을 사용자 지정할 수도 있습니다.

보호된 폴더에는 일반적인 시스템 폴더(부팅 섹터 포함)가 포함되며 더 많은 폴더를 추가할 수 있습니다. 앱에서 보호된 폴더에 대한 액세스 권한을 부여하도록 허용할 수도 있습니다.

감사 모드를 사용하여 제어된 폴더 액세스가 사용하도록 설정된 경우 organization 미치는 영향을 평가할 수 있습니다.

제어된 폴더 액세스는 다음 버전의 Windows에서 지원됩니다.

Windows 시스템 폴더는 기본적으로 보호됩니다.

Windows 시스템 폴더는 기본적으로 다른 여러 폴더와 함께 보호됩니다.

보호된 폴더에는 일반적인 시스템 폴더(부팅 섹터 포함)가 포함되며 추가 폴더를 추가할 수 있습니다. 앱에서 보호된 폴더에 대한 액세스 권한을 부여하도록 허용할 수도 있습니다. 기본적으로 보호되는 Windows 시스템 폴더는 다음과 같습니다.

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

기본 폴더는 이 PC 아래의 사용자 프로필에 표시됩니다.

보호된 Windows 기본 시스템 폴더

참고

추가 폴더를 보호됨으로 구성할 수 있지만 기본적으로 보호되는 Windows 시스템 폴더는 제거할 수 없습니다.

제어된 폴더 액세스에 대한 요구 사항

제어된 폴더 액세스를 사용하려면 Microsoft Defender 바이러스 백신 실시간 보호를 사용하도록 설정해야 합니다.

Microsoft Defender 포털에서 제어된 폴더 액세스 이벤트 검토

엔드포인트용 Defender는 Microsoft Defender 포털에서 경고 조사 시나리오의 일부로 이벤트 및 블록에 대한 자세한 보고를 제공합니다. Microsoft Defender XDR 엔드포인트용 Microsoft Defender 참조하세요.

고급 헌팅을 사용하여 엔드포인트용 Microsoft Defender 데이터를 쿼리할 수 있습니다. 감사 모드를 사용하는 경우 고급 헌팅을 사용하여 제어된 폴더 액세스 설정이 사용하도록 설정된 경우 환경에 미치는 영향을 확인할 수 있습니다.

쿼리 예제:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Windows 이벤트 뷰어 제어된 폴더 액세스 이벤트 검토

Windows 이벤트 로그를 검토하여 제어된 폴더 액세스가 앱을 차단(또는 감사)할 때 생성되는 이벤트를 확인할 수 있습니다.

  1. 평가 패키지를 다운로드하고 파일 cfa-events.xml 디바이스에서 쉽게 액세스할 수 있는 위치로 추출합니다.
  2. 시작 메뉴에 이벤트 뷰어를 입력하여 Windows 이벤트 뷰어 엽니다.
  3. 왼쪽 패널의 작업에서 사용자 지정 보기 가져오기...를 선택합니다.
  4. cfa-events.xml 추출한 위치로 이동하여 선택합니다. 또는 XML을 직접 복사합니다.
  5. 확인을 선택합니다.

다음 표에서는 제어된 폴더 액세스와 관련된 이벤트를 보여 줍니다.

이벤트 ID 설명
5007 설정이 변경된 경우의 이벤트
1124 감사된 제어된 폴더 액세스 이벤트
1123 차단된 제어된 폴더 액세스 이벤트
1127 차단된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트
1128 감사된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트

보호된 폴더 목록 보기 또는 변경

Windows 보안 앱을 사용하여 제어된 폴더 액세스로 보호되는 폴더 목록을 볼 수 있습니다.

  1. Windows 10 또는 Windows 11 디바이스에서 Windows 보안 앱을 엽니다.
  2. 바이러스 및 위협 방지를 선택합니다.
  3. 랜섬웨어 보호에서 랜섬웨어 보호 관리를 선택합니다.
  4. 제어된 폴더 액세스가 꺼져 있으면 설정해야 합니다. 보호된 폴더를 선택합니다.
  5. 다음 단계 중 하나를 실행합니다.
    • 폴더를 추가하려면 + 보호된 폴더 추가를 선택합니다.
    • 폴더를 제거하려면 폴더를 선택한 다음 제거를 선택합니다.

참고

Windows 시스템 폴더는 기본적으로 보호되며 목록에서 제거할 수 없습니다. 목록에 새 폴더를 추가할 때 하위 폴더도 보호에 포함됩니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.