원격 데스크톱 또는 가상 데스크톱 인프라 환경에서 Microsoft Defender 바이러스 백신 구성

  • 아티클

적용 대상:

플랫폼

  • Windows

이 문서는 Microsoft Defender 바이러스 백신 기능만 사용하는 고객을 위해 설계되었습니다. 추가 디바이스 보호 기능과 함께 Microsoft Defender 바이러스 백신을 포함하는 엔드포인트용 Microsoft Defender 있는 경우 이 문서를 건너뛰고 Microsoft Defender XDR 비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩을 진행합니다.

RDS(원격 데스크톱) 또는 비영구 VDI(가상 데스크톱 인프라) 환경에서 Microsoft Defender 바이러스 백신을 사용할 수 있습니다. 이 문서의 지침에 따라 사용자가 로그인할 때 RDS 또는 VDI 환경에 직접 다운로드하도록 업데이트를 구성할 수 있습니다.

이 가이드에서는 다음 방법을 포함하여 최적의 보호 및 성능을 위해 VM에서 Microsoft Defender 바이러스 백신을 구성하는 방법을 설명합니다.

중요

VDI는 Windows Server 2012 또는 Windows Server 2016 호스트할 수 있지만 이전 버전의 Windows에서 사용할 수 없는 보호 기술 및 기능이 증가하여 VM(가상 머신)이 최소 Windows 10 버전 1607을 실행해야 합니다.

보안 인텔리전스용 전용 VDI 파일 공유 설정

Windows 10 버전 1903에서 Microsoft는 다운로드한 보안 인텔리전스 업데이트의 압축을 풀고 호스트 컴퓨터에 오프로드하는 공유 보안 인텔리전스 기능을 도입했습니다. 이 메서드는 개별 컴퓨터에서 CPU, 디스크 및 메모리 리소스의 사용을 줄입니다. 공유 보안 인텔리전스는 이제 Windows 10 버전 1703 이상에서 작동합니다. 다음 표에 설명된 대로 그룹 정책 또는 PowerShell을 사용하여 이 기능을 설정할 수 있습니다.

메서드 절차
그룹 정책 1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

2. 그룹 정책 관리 편집기 컴퓨터 구성으로 이동합니다.

관리 템플릿을 선택합니다.

트리를 Windows 구성 요소Microsoft Defender 바이러스 백신>보안 인텔리전스 업데이트 확장합니다>.

3. VDI 클라이언트에 대한 보안 인텔리전스 위치 정의를 두 번 클릭한 다음 옵션을 사용으로 설정합니다. 필드가 자동으로 나타납니다.

4. 를 입력합니다 \\<sharedlocation\>\wdav-update (이 값에 대한 도움말은 다운로드 및 압축 풀기 참조).

5. 확인을 선택합니다.

테스트하려는 VM에 GPO를 배포합니다.
PowerShell 1. 각 RDS 또는 VDI 디바이스에서 다음 cmdlet을 사용하여 기능을 Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update사용하도록 설정합니다.

2. 일반적으로 PowerShell 기반 구성 정책을 VM에 푸시하는 것처럼 업데이트를 푸시합니다. (공유 위치> 항목의 다운로드 및 패키지 해제 섹션을 <참조하세요.)

최신 업데이트 다운로드 및 압축 풀기

이제 새 업데이트 다운로드 및 설치를 시작할 수 있습니다. 아래에서 샘플 PowerShell 스크립트를 만들었습니다. 이 스크립트는 새 업데이트를 다운로드하고 VM을 준비하는 가장 쉬운 방법입니다. 그런 다음 예약된 작업을 사용하여 관리 컴퓨터에서 특정 시간에 스크립트를 실행하도록 설정해야 합니다(또는 Azure, Intune 또는 SCCM PowerShell 스크립트를 사용하는 데 익숙한 경우 해당 스크립트를 사용할 수도 있음).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

패키지가 다운로드되고 압축을 풀 때마다 VM이 새 업데이트를 받도록 예약된 작업을 하루에 한 번 실행하도록 설정할 수 있습니다. 하루에 한 번 시작하는 것이 좋지만 영향을 이해하기 위해 빈도를 늘리거나 줄이는 실험을 해야 합니다.

보안 인텔리전스 패키지는 일반적으로 3~4시간마다 한 번씩 게시됩니다. 4시간보다 짧은 빈도를 설정하는 것은 아무런 이점 없이 관리 컴퓨터의 네트워크 오버헤드를 증가하기 때문에 권장되지 않습니다.

VM을 대신하여 업데이트를 한 간격으로 가져오고 사용할 수 있도록 파일 공유에 배치하도록 단일 서버 또는 컴퓨터를 설정할 수도 있습니다. 이 구성은 디바이스가 공유에 대한 공유 및 읽기 액세스 권한(NTFS 권한)이 있는 경우 업데이트를 받을 수 있도록 할 수 있습니다. 이 구성을 설정하려면 다음 단계를 수행합니다.

  1. SMB/CIFS 파일 공유를 Create.

  2. 다음 예제를 사용하여 다음 공유 권한이 있는 파일 공유를 만듭니다.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    참고

    인증된 사용자:읽기:에 대한 NTFS 권한이 추가됩니다.

    이 예제의 경우 파일 공유는 다음과 같습니다.

    \\fileserver.fqdn\mdatp$\wdav-update

PowerShell 스크립트를 실행하도록 예약된 작업 설정

  1. 관리 컴퓨터에서 시작 메뉴를 열고 작업 스케줄러를 입력합니다. 이 옵션을 열고 측면 패널에서 Create 작업...을 선택합니다.

  2. 이름을 보안 인텔리전스 언패커로 입력합니다. 트리거 탭으로 이동합니다. 새로 만들기...>를 선택합니다.매일확인을 선택합니다.

  3. 작업 탭으로 이동합니다. 새로 만들기...를 선택합니다. 프로그램/스크립트 필드에 PowerShell을 입력합니다. 인수 추가 필드에 를 입력 -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 합니다. 확인을 선택합니다.

  4. 다른 설정을 적절하게 구성합니다.

  5. 확인을 선택하여 예약된 작업을 저장합니다.

작업을 마우스 오른쪽 단추로 클릭한 다음 실행을 선택하여 업데이트를 수동으로 시작할 수 있습니다.

수동으로 다운로드 및 압축 풀기

모든 작업을 수동으로 수행하려는 경우 스크립트의 동작을 복제하기 위해 수행할 작업은 다음과 같습니다.

  1. 인텔리전스 업데이트를 저장하기 위해 호출 wdav_update 된 시스템 루트에 새 폴더를 Create. 예를 들어 폴더c:\wdav_update를 만듭니다.

  2. WDAV_UPDATE 아래의 하위 폴더를 GUID 이름으로 Create.{00000000-0000-0000-0000-000000000000}

    예제는 다음과 같습니다. c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    참고

    스크립트에서 GUID의 마지막 12자리는 파일이 다운로드된 연도, 월, 일 및 시간이 되도록 설정하여 매번 새 폴더를 만듭니다. 매번 파일이 동일한 폴더에 다운로드되도록 변경할 수 있습니다.

  3. 에서 GUID 폴더로 보안 인텔리전스 패키지를 https://www.microsoft.com/wdsi/definitions 다운로드합니다. 파일의 이름은 mpam-fe.exe이어야 합니다.

  4. cmd 프롬프트 창을 열고 만든 GUID 폴더로 이동합니다. /X 추출 명령을 사용하여 파일(예mpam-fe.exe /X: )을 추출합니다.

    참고

    VM은 추출된 업데이트 패키지로 새 GUID 폴더를 만들거나 기존 폴더가 새 추출된 패키지로 업데이트될 때마다 업데이트된 패키지를 선택합니다.

예약된 검사 임의화

예약된 검사는 실시간 보호 및 검사 외에도 실행됩니다.

검사 자체의 시작 시간은 예약된 검사 정책(ScheduleDay, ScheduleTimeScheduleQuickScanTime)을 기반으로 합니다. 임의화로 인해 Microsoft Defender 바이러스 백신이 예약된 검사에 설정된 시간으로부터 4시간 이내에 각 컴퓨터에서 검사를 시작합니다.

예약 된 검사에 사용할 수 있는 다른 구성 옵션은 검사 예약을 참조하세요.

빠른 검사 사용

예약된 검사 중에 수행해야 하는 검사 유형을 지정할 수 있습니다. 빠른 검사는 맬웨어가 활성화되어야 하는 모든 위치에서 확인하도록 설계되어 있으므로 선호하는 방법입니다. 다음 절차에서는 그룹 정책 사용하여 빠른 검사를 설정하는 방법을 설명합니다.

  1. 그룹 정책 편집기 관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>검사로 이동합니다.

  2. 예약된 검사에 사용할 검사 유형 지정을 선택한 다음 정책 설정을 편집합니다.

  3. 정책을 사용으로 설정한 다음 옵션에서 빠른 검사를 선택합니다.

  4. 확인을 선택합니다.

  5. 평소와 같이 그룹 정책 개체를 배포합니다.

알림 방지

경우에 따라 Microsoft Defender 바이러스 백신 알림이 여러 세션으로 전송되거나 유지됩니다. 사용자 혼동을 방지하기 위해 Microsoft Defender 바이러스 백신 사용자 인터페이스를 잠글 수 있습니다. 다음 절차에서는 그룹 정책 사용하여 알림을 표시하지 않는 방법을 설명합니다.

  1. 그룹 정책 편집기 Windows 구성 요소>Microsoft Defender 바이러스 백신>클라이언트 인터페이스로 이동합니다.

  2. 모든 알림 표시 안 함을 선택한 다음 정책 설정을 편집합니다.

  3. 정책을 사용으로 설정한 다음 확인을 선택합니다.

  4. 평소와 같이 그룹 정책 개체를 배포합니다.

알림을 표시하지 않도록 설정하면 검색이 수행되거나 수정 작업이 수행되면 바이러스 백신이 Microsoft Defender 알림이 표시되지 않습니다. 그러나 보안 운영 팀은 공격이 감지되고 중지된 경우 검사 결과를 볼 수 있습니다. 초기 액세스 경고와 같은 경고가 생성되고 Microsoft Defender 포털에 표시됩니다.

업데이트 후 검사 사용 안 함

업데이트 후 검사를 사용하지 않도록 설정하면 업데이트를 받은 후 검색이 발생하지 않습니다. 빠른 검사를 실행한 경우 기본 이미지를 만들 때 이 설정을 적용할 수 있습니다. 이렇게 하면 새로 업데이트된 VM이 다시 검사를 수행하지 못하도록 할 수 있습니다(기본 이미지를 만들 때 이미 검사했기 때문에).

중요

업데이트 후 검사를 실행하면 VM이 최신 보안 인텔리전스 업데이트로 보호되는지 확인하는 데 도움이 됩니다. 이 옵션을 사용하지 않도록 설정하면 VM의 보호 수준이 줄어들고 기본 이미지를 처음 만들거나 배포할 때만 사용해야 합니다.

  1. 그룹 정책 편집기 Windows 구성 요소>Microsoft Defender 바이러스 백신>보안 인텔리전스 업데이트 이동합니다.

  2. 보안 인텔리전스 업데이트 후 검사 켜기를 선택한 다음, 정책 설정을 편집합니다.

  3. 정책을 사용 안 함으로 설정합니다.

  4. 확인을 선택합니다.

  5. 평소와 같이 그룹 정책 개체를 배포합니다.

이 정책은 업데이트 직후 검사가 실행되지 않도록 방지합니다.

옵션 사용 안 함 ScanOnlyIfIdle

다음 cmdlet을 사용하여 디바이스가 수동 모드인 경우 유휴 상태가 될 때마다 빠른 또는 예약된 검사를 중지합니다.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

로컬 또는 도메인 그룹 정책을 통해 구성을 통해 바이러스 백신을 Microsoft Defender 옵션을 사용하지 않도록 설정할 ScanOnlyIfIdle 수도 있습니다. 이 설정은 고밀도 환경에서 상당한 CPU 경합을 방지합니다.

자세한 내용은 컴퓨터가 켜졌지만 사용 중이 아닌 경우에만 예약된 검사 시작을 참조하세요.

오프라인 상태인 VM 검사

  1. 그룹 정책 편집기 Windows 구성 요소>Microsoft Defender 바이러스> 백신검사로 이동합니다.

  2. 캐치업 빠른 검사 켜기를 선택한 다음, 정책 설정을 편집합니다.

  3. 정책을 사용으로 설정합니다.

  4. 확인을 선택합니다.

  5. 일반적으로 그룹 정책 개체를 배포합니다.

이 정책은 VM이 두 개 이상의 연속 예약된 검사를 놓친 경우 검사를 강제합니다.

헤드리스 UI 모드 사용

  1. 그룹 정책 편집기 Windows 구성 요소>Microsoft Defender 바이러스 백신>클라이언트 인터페이스로 이동합니다.

  2. 헤드리스 UI 모드 사용을 선택하고 정책을 편집합니다.

  3. 정책을 사용으로 설정합니다.

  4. 확인을 선택합니다.

  5. 일반적으로 그룹 정책 개체를 배포합니다.

이 정책은 organization 최종 사용자로부터 전체 Microsoft Defender 바이러스 백신 사용자 인터페이스를 숨깁니다.

제외

제외를 추가해야 한다고 생각되는 경우 엔드포인트용 Microsoft Defender 대한 제외 관리 및 바이러스 백신 Microsoft Defender 참조하세요.

참고 항목

비 Windows 플랫폼에서 엔드포인트용 Defender에 대한 정보를 찾고 있는 경우 다음 리소스를 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.