이 문서에서는 엔드포인트용 Microsoft Defender ASR(공격 표면 감소) 규칙을 보여 주는 테스트 파일, 스크립트 및 절차를 제공합니다.
ASR 규칙은 공격자가 일반적으로 맬웨어를 통해 악용하는 Windows 디바이스의 위험한 소프트웨어 동작을 대상으로 합니다(예: 파일을 다운로드하는 스크립트 시작, 난독 처리된 스크립트 실행 및 다른 프로세스에 코드 삽입). ASR 규칙에 대한 자세한 내용은 ASR(공격 표면 감소) 규칙 개요를 참조하세요.
필수 구성 요소
- Windows 10 버전 1709(2017년 10월) 이상
- Windows Server 2012 R2 이상
- Windows Server 2012 R2 및 Windows Server 2016 최신 통합 솔루션의 기능이 필요합니다.
- Azure 로컬 (이전의 Azure Stack HCI(하이퍼 컨버지드 인프라)) OS 버전 23H2 이상
- 공격 표면 감소 PowerShell 스크립트 다운로드 및 추출
PowerShell 명령
사용 가능한 모든 ASR 규칙을 사용하도록 설정하려면 관리자 권한 PowerShell 창( 관리자 권한으로 실행을 선택한 후 연 PowerShell 창)에서 다음 명령을 실행합니다.
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode
ASR 규칙 이름 및 연결된 GUID 값은 테스트 파일 섹션에 나열됩니다.
구성 확인
ASR 규칙의 상태를 확인하려면 관리자 권한 PowerShell 창에서 다음 명령을 실행합니다.
$p = Get-MpPreference
$ids = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)
for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
[pscustomobject]@{
RuleId = $ids[$i]
Action = $actions[$i]
}
}
사용 가능한 규칙 상태는 다음 표에 설명되어 있습니다.
| 모드 | 텍스트 값 |
숫자 값 |
|---|---|---|
| 해제 | 사용 안 함 | 0 |
| 차단 모드에서 사용 | 사용 | 1 |
| 감사 모드에서 사용 | AuditMode | 2 |
| 구성되지 않음 | 구성되지 않음 | 5 |
| 경고 모드에서 사용 | 경고 | 6 |
파일 테스트
다음 표에서는 ASR 규칙 이름을 해당 GUID 값과 연결합니다.
팁
규칙 이름 링크는 사용 가능한 테스트 파일에 대한 링크입니다. 일부 테스트 파일에는 여러 ASR 규칙을 트리거하는 여러 익스플로잇이 포함되어 있습니다.
GUID 값 링크는 규칙 세부 정보에 대한 링크입니다.
시나리오
설정
관리자 권한 PowerShell 창에서 다음 명령을 실행하여 실행 정책을 무제한으로 설정합니다.
Set-ExecutionPolicy Unrestricted이 설치 스크립트를 다운로드, 추출 및 실행합니다.
또는 다음 수동 단계를 대신 수행할 수 있습니다.
- C:\Demo 폴더를 만듭니다.
- 이 클린 파일을 C:\Demo에 저장합니다.
- PowerShell 명령을 사용하여 모든 규칙을 사용하도록 설정합니다.
시나리오 1: 공격 표면 감소는 여러 취약성이 있는 테스트 파일을 차단합니다.
- PowerShell 명령을 사용하여 차단 모드에서 모든 규칙을 사용하도록 설정합니다.
- 테스트 파일/문서를 다운로드하여 엽니다. 메시지가 표시되면 편집 및 콘텐츠를 사용하도록 설정합니다.
예상 결과:
"작업 차단됨" 알림이 즉시 표시됩니다.
시나리오 2: ASR 규칙은 해당 취약성으로 테스트 파일을 차단합니다.
테스트하려는 개별 규칙을 구성합니다. 예를 들어 모든 Office 애플리케이션이 자식 프로세스 규칙을 만들지 못하도록 차단 규칙을 사용하도록 설정하려면 관리자 권한 PowerShell 창에서 다음 명령을 실행합니다.
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled테스트하려는 규칙에 대한 테스트 파일/문서를 다운로드하여 엽니다. 메시지가 표시되면 편집 및 콘텐츠를 사용하도록 설정합니다. 예시:
예상 결과:
"작업 차단됨" 알림이 즉시 표시됩니다.
시나리오 3: ASR 규칙은 신뢰할 수 없는 파일이 USB 드라이브에서 실행되지 않도록 차단합니다.
팁
이 ASR 규칙은 Windows 10 버전 1709(2017년 10월) 이상에서 사용할 수 있습니다.
관리자 권한 PowerShell 창에서 다음 명령을 실행하여 USB ASR 규칙 에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 을 사용하도록 설정합니다.
Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Enabled다음 파일을 USB 드라이브에 직접 다운로드하거나 다른 곳에서 다운로드한 후 USB 드라이브에 복사합니다.
USB 드라이브에서 파일을 실행합니다.
예상 결과:
"작업 차단됨" 알림이 즉시 표시됩니다.
시나리오 4: 공격 표면 감소 없이 발생하는 일
정리 섹션에서 PowerShell 명령을 사용하여 모든 공격 표면 감소 규칙을 끕니다.
테스트 파일/문서를 다운로드합니다. 메시지가 표시되면 편집 및 콘텐츠를 사용하도록 설정합니다.
예상 결과:
- C:\Demo의 파일은 암호화되며 경고 메시지가 표시됩니다.
- 테스트 파일을 다시 실행하여 파일의 암호를 해독합니다.
정리
이 클린 스크립트를 다운로드, 추출 및 실행합니다.
또는 관리자 권한 PowerShell 창에서 다음 명령을 실행하여 모든 ASR 규칙을 사용하지 않도록 설정할 수 있습니다.
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled
암호화/암호 해독 파일을 실행하여 C:\Demo 암호화를 정리합니다.