Windows 10 이상 및 Windows Server 2016 이상에서는 Microsoft Defender 바이러스 백신의 차세대 보호 기능을 익스플로잇 보호와 함께 사용할 수 있습니다.
이 문서에서는 익스플로잇 보호를 사용하여 바이러스 백신을 Microsoft Defender 주요 보호 기능을 사용하도록 설정하고 테스트하는 방법을 설명합니다.
평가 PowerShell 스크립트를 사용하여 이러한 기능을 구성하는 것이 좋지만 이 문서에 설명된 대로 각 기능을 개별적으로 사용하도록 설정할 수 있습니다.
엔드포인트 보호 제품 및 서비스에 대한 자세한 내용은 다음 리소스를 참조하세요.
- 차세대 보호 개요
- Windows의 Microsoft Defender 바이러스 백신
- Windows Server의 Microsoft Defender 바이러스 백신
- 악용으로부터 장치 보호
바이러스 백신을 Microsoft Defender 검색에 대한 질문이 있거나 누락된 검색을 발견한 경우 파일을 제출할 수 있습니다. 자세한 내용은 분석을 위한 파일 제출을 참조하세요.
PowerShell을 사용하여 기능 사용
이 가이드에서는 보호를 평가하는 데 사용해야 하는 기능을 구성하는 Microsoft Defender 바이러스 백신 cmdlet을 제공합니다.
관리자 권한 PowerShell 세션( 관리자 권한으로 실행을 선택하여 연 PowerShell 창)에서 이러한 cmdlet을 사용합니다.
변경하기 전에 다음 방법 중 하나 또는 둘 다를 사용하여 모든 설정의 현재 상태 보고 기록해야 합니다.
- Get-MpPreference cmdlet을 사용합니다.
- PowerShell 갤러리 DefenderEval 모듈을 설치한 다음 Get-DefenderEvaluationReport cmdlet을 사용합니다.
Microsoft Defender 바이러스 백신은 검색에 표준 Windows 알림을 사용합니다. Microsoft Defender 바이러스 백신 앱에서 검색을 검토할 수도 있습니다.
Windows 이벤트 로그는 검색 및 엔진 이벤트도 기록합니다. 자세한 내용은 이벤트 로그 및 오류 코드 검토를 참조하여 Microsoft Defender 바이러스 백신 문제를 해결합니다.
클라우드 보호 기능
Standard 정의 업데이트는 준비하고 제공하는 데 몇 시간이 걸릴 수 있습니다. 클라우드 제공 보호 서비스는 몇 초 만에 이 보호를 제공할 수 있습니다. 자세한 내용은 클라우드 보호 및 Microsoft Defender 바이러스 백신을 참조하세요.
Microsoft Defender Cloud를 사용하여 즉시 보호 및 보호 강화:
Set-MpPreference -MAPSReporting Advanced그룹 보호를 강화하기 위해 샘플을 자동으로 제출합니다.
Set-MpPreference -SubmitSamplesConsent Always항상 클라우드를 사용하여 몇 초 내에 새 맬웨어를 차단합니다.
Set-MpPreference -DisableBlockAtFirstSeen 0다운로드한 모든 파일 및 첨부 파일을 검사합니다.
Set-MpPreference -DisableIOAVProtection 0클라우드 블록 수준을 높음으로 설정합니다.
Set-MpPreference -CloudBlockLevel High클라우드 블록 제한 시간을 1분으로 설정합니다.
Set-MpPreference -CloudExtendedTimeout 50
상시 보호(실시간 검사)
Microsoft Defender 바이러스 백신은 Windows에서 볼 때 파일을 검사하고 실행 중인 프로세스에서 악의적인 동작(알려진 동작 또는 의심됨)을 모니터링합니다. 바이러스 백신 엔진이 악의적인 활동을 검색하는 경우 엔진은 프로세스 또는 파일의 실행을 즉시 차단합니다. 이러한 옵션에 대한 자세한 내용은 동작, 추론 및 실시간 보호 구성을 참조하세요.
알려진 맬웨어 활동에 대한 파일 및 프로세스를 지속적으로 모니터링합니다.
Set-MpPreference -DisableRealtimeMonitoring 0**위협으로 간주되지 않는 파일에서도 실행 중인 프로그램에서 알려진 맬웨어 동작을 지속적으로 모니터링합니다.
Set-MpPreference -DisableBehaviorMonitoring 0스크립트를 보거나 실행하는 즉시 검사합니다.
Set-MpPreference -DisableScriptScanning 0삽입되거나 탑재되는 즉시 이동식 드라이브를 스캔합니다.
Set-MpPreference -DisableRemovableDriveScanning 0
잠재적으로 원치 않는 애플리케이션 보호
잠재적으로 원치 않는 애플리케이션은 전통적으로 악성으로 분류되지 않은 파일 및 앱입니다. 이러한 유형의 앱은 다음과 같습니다.
- 비 Microsoft 설치 관리자.
- 광고 삽입을 수행하는 앱.
- 일부 유형의 브라우저 도구 모음.
그레이웨어, adware 및 기타 원치 않는 앱이 설치되지 않도록 방지합니다.
Set-MpPreference -PUAProtection Enabled
Email 및 보관 검사
Windows에서 볼 때 특정 유형의 전자 메일 파일 및 보관 파일(예: .zip 파일)을 자동으로 검색하도록 Microsoft Defender 바이러스 백신을 설정할 수 있습니다. 자세한 내용은 Microsoft Defender 관리되는 전자 메일 검사를 참조하세요.
이메일 파일 및 보관 파일 검사:
Set-MpPreference -DisableArchiveScanning 0 -DisableEmailScanning 0
제품 및 보호 업데이트 관리
일반적으로 Windows 업데이트에서 하루에 한 번 Microsoft Defender 바이러스 백신 업데이트를 받습니다. 다음 옵션을 설정하고 업데이트를 Microsoft Configuration Manager, 그룹 정책 또는 Microsoft Intune 관리하도록 하여 업데이트 빈도를 늘릴 수 있습니다.
매일 서명을 업데이트합니다(기본값).
Set-MpPreference -SignatureUpdateInterval예약된 검사를 실행하기 전에 서명을 업데이트합니다.
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
고급 위협 완화 및 방지
익스플로잇 보호는 알려진 악성 동작 및 취약한 기술에 대한 공격으로부터 디바이스를 보호하는 데 도움이 되는 기능을 제공합니다.
악성 및 의심스러운 앱(예: 랜섬웨어)이 제어된 폴더를 사용하여 보호된 폴더를 변경하지 못하도록 방지합니다.
Set-MpPreference -EnableControlledFolderAccess Enabled네트워크 보호를 사용하여 알려진 잘못된 IP 주소 및 기타 네트워크 연결에 대한 연결을 차단합니다.
Set-MpPreference -EnableNetworkProtection EnabledExploit Protection을 사용하여 표준 완화 집합을 적용합니다.
Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xmlASR(공격 표면 감소) 규칙을 사용하여 알려진 악성 공격 벡터를 차단합니다.
중요
일반적으로 테스트 없이 차단 또는 경고 모드에서 표준 보호 규칙을 사용하도록 설정할 수 있습니다. 차단 또는경고 모드로 전환하기 전에 감사 모드에서 다른 ASR 규칙을 테스트해야 합니다. 자세한 내용은 ASR 규칙 배포 가이드를 참조하세요.
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,26190899-1602-49e8-8b27-eb1d0a1ce869 ,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,a8f5898e-1dc8-49a9-9878-85004b8a61e6,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode
변조 방지 사용
자세한 내용은 변조 방지 구성 또는 관리를 어떻게 할까요? 참조하세요.
Cloud Protection 네트워크 연결 확인
다음 단계를 수행하여 침투 테스트 중에 Cloud Protection 네트워크 연결이 작동하는지 확인하는 것이 중요합니다.
관리자 권한 명령 프롬프트( 관리자 권한으로 실행을 선택하여 연 명령 프롬프트 창)에서 다음 명령을 실행합니다.
팁
첫 번째 명령은 디렉터리를 의 최신 버전의 <맬웨어 방지 플랫폼 버전> 으로 변경합니다 %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. 해당 경로가 없으면 으로 %ProgramFiles%\Windows Defender이동합니다.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
자세한 내용은 MpCmdRun 명령줄 도구를 사용하여 Microsoft Defender 바이러스 백신 구성 및 관리를 참조하세요.
오프라인 검사를 Microsoft Defender 한 가지 선택
Microsoft Defender 오프라인 검사는 컴퓨터를 일반 운영 체제 외부의 전용 환경으로 부팅할 수 있는 특수 도구입니다. 루트킷과 같은 강력한 맬웨어에 특히 유용합니다.
자세한 내용은 오프라인으로 Microsoft Defender 참조하세요.
알림을 통해 디바이스를 특수한 맬웨어 제거 환경으로 부팅할 수 있는지 확인합니다.
Set-MpPreference -UILockdown 0