일반적으로 Microsoft Defender 바이러스 백신에 대한 제외를 정의할 필요가 없습니다. 그러나 Microsoft Defender 바이러스 백신 검사에서 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다. 이러한 유형의 제외를 사용자 지정 제외라고 합니다. 이 문서에서는 Microsoft Intune 사용하여 Microsoft Windows에서 Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외를 정의하는 방법을 설명합니다.
사용자 지정 제외는 예약된 검사, 주문형 검사 및 항상 실시간 보호 및 모니터링에 적용됩니다. 프로세스에서 연 파일에 대한 제외는 실시간 보호에만 적용됩니다.
팁
- Microsoft Defender 바이러스 백신 및 엔드포인트용 Defender의 억제, 제출 및 제외에 대한 자세한 개요는 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외를 참조하세요.
- 다른 방법을 사용하여 Windows 디바이스에서 Microsoft Defender 바이러스 백신(예: Microsoft Configuration Manager 또는 그룹 정책)에 제외를 배포하거나 사용자 지정 제외에 대한 자세한 내용은 다음 문서를 참조하세요.
- 다음 메서드를 사용하여 디바이스에 구성된 제외를 보호할 수 있습니다.
- 바이러스 백신 제외에 대한 변조 방지.
-
HideExclusionsFromLocalAdmins:
- 디바이스에서 기존 제외를 제거하지 않습니다.
- 제외는 Get-MpPreference 또는 레지스트리 편집기에서 볼 수 없습니다.
- HideExclusionsFromLocalUsers: HideExclusionsFromLocalAdmins가 사용하도록 설정된 경우 암시적으로 사용하도록 설정됩니다.
- 제외된 파일은 여전히 Microsoft Defender 포털에서 바이러스 백신 경고를 생성할 수 있습니다. 예를 들어 제외된 파일은 동작 또는 추론 검색을 트리거할 수 있습니다.
필수 구성 요소
지원되는 운영 체제
- Windows
제외에 대한 중요 사항
-
주의
제외를 아끼고 사용합니다. 제외는 기술적으로 Microsoft Defender 바이러스 백신 보호를 낮추는 보호 격차입니다. 제외를 정의할 때 모든 옵션을 고려합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외 관리를 참조하세요.
제외는 Microsoft Defender 바이러스 백신이 제외된 파일, 폴더 또는 프로세스와 관련된 이벤트를 차단, 수정 또는 검사할 수 있는지 여부에 직접적인 영향을 줄 수 있습니다.
- 사용자 지정 제외는 바이러스 백신 엔진에 의존하는 기능에 영향을 줄 수 있습니다. 예시:
- 모든 플랫폼의 프로세스 제외는 네트워크 보호 및 공격 표면 감소 규칙이 트래픽을 검사하거나 제외된 프로세스에 대한 규칙을 적용하는 것을 방지합니다.
주기적으로 제외를 검토하고 감사합니다. 검토 프로세스의 일부로 완화를 다시 검사하고 다시 적용합니다. 혼동을 피하기 위해 보안 팀은 특정 제외가 필요한 이유에 대한 컨텍스트를 유지해야 합니다.
특정 문제(예: 성능 또는 앱 호환성)에 대해서만 제외를 사용합니다. 나중에 문제가 될 수 있다고 생각하기 때문에 무언가를 제외하지 마십시오.
Intune Microsoft Defender 바이러스 백신 제외 정책 만들기
Microsoft Defender 바이러스 백신 제외 프로필을 사용하여 Microsoft Intune 새 AV 정책을 만들려면 다음 단계를 수행합니다.
의 Microsoft Intune 관리 센터에서 https://intune.microsoft.com엔드포인트 보안으로 이동합니다.
엔드포인트 보안 | 개요 페이지에서 관리 섹션에서 바이러스 백신을 선택합니다. 또는 엔드포인트 보안으로 직접 이동하려면 | 바이러스 백신 페이지에서 를 사용합니다 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.
엔드포인트 보안의 요약 탭에서 | 바이러스 백신 페이지에서 AV 정책 섹션에서 정책 만들기를 선택합니다.
열리는 프로필 플라이아웃 만들기 에서 다음 설정을 구성합니다.
- 플랫폼: Windows를 선택합니다.
- 프로필: Microsoft Defender 바이러스 백신 제외를 선택합니다.
만들기를 선택합니다.
정책 만들기 마법사가 열립니다. 기본 사항 탭에서 다음 설정을 구성합니다.
- 이름: 정책을 설명하는 고유한 이름을 입력합니다.
- 설명: 선택적 설명을 입력합니다.
다음을 선택합니다.
구성 설정 탭에서 다음 설정의 일부 또는 전부를 구성합니다.
- 제외된 확장 섹션: 파일 형식 확장명별 제외. 제외는 위치에 관계없이 해당 확장이 있는 모든 파일에 적용됩니다. 자세한 내용은 ExcludedExtensions를 참조하세요.
- 제외된 경로 섹션: 위치별 제외(경로). 파일 및 폴더 제외라고도 합니다. 각 경로를 구분하고 줄당 하나의 경로를 입력합니다. 자세한 내용은 ExcludedPaths를 참조하세요.
- 제외된 프로세스 섹션: 지정된 프로세스에서 연 파일에 대한 제외입니다. 목록의 각 파일 형식을 한 줄당 하나의 파일 형식으로 구분합니다. 프로세스 자체는 제외되지 않습니다. 프로세스를 제외하려면 파일 및 폴더 제외를 사용할 수 있습니다. 자세한 내용은 ExcludedProcesses를 참조하세요.
제외를 추가하려면 추가를 선택한 다음 표시되는 상자에 값을 입력합니다. 필요한 만큼 이 단계를 반복합니다.
팁
Microsoft Defender 바이러스 백신 서비스는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다. 서비스는 사용자 환경 변수가 아닌 시스템 환경 변수에서 정보를 가져옵니다. 따라서 와 같은
%USERPROFILE%환경 변수는 예상과 다르게 해석될 수 있습니다. 자세한 내용은 시스템 환경 변수를 참조하세요.사용자 환경 변수를 폴더의 와일드카드로 사용하고 Microsoft Defender 바이러스 백신에서 제외를 처리하지 마세요. 다음 유형의 환경 변수만 와일드카드로 사용합니다.
시스템 환경 변수.
NT AUTHORITY\SYSTEM 계정으로 실행되는 프로세스에 적용되는 환경 변수입니다.
제외 또는 빈 상자를 제거하려면 항목 옆에 있는 검사 상자를 선택한 다음 제거를 선택합니다.
제외의 .csv 파일을 가져오려면 가져오기를 선택합니다.
구성 설정 탭을 마쳤으면 다음을 선택합니다.
범위 태그 탭에서 기본값이라는 scope 태그가 기본적으로 선택되어 있지만 이를 제거하고 다른 기존 scope 태그를 선택할 수 있습니다. 완료되면 다음을 선택합니다.
할당 탭에서 검색 상자를 클릭하거나 그룹 이름 입력을 시작한 다음 결과에서 선택합니다.
모든 사용자 또는 모든 디바이스를 선택할 수 있습니다.
사용자 지정 그룹을 선택하면 대상 유형 설정을 사용하여 그룹 구성원 을 포함 하거나 제외 할 수 있습니다.
필요한 만큼 이 단계를 반복합니다.
할당 탭을 마쳤으면 다음을 선택합니다.
검토 + 만들기 탭에서 설정을 검토합니다. 뒤로를 사용하거나 탭을 선택하여 변경합니다.
검토 + 만들기 탭을 마쳤으면 저장을 선택합니다.
엔드포인트 보안의 요약 탭으로 돌아가기 | 바이러스 백신 페이지, 새 AV 정책이 나열됩니다. 정책 형식 값은 바이러스 백신 제외를 Microsoft Defender.
Intune Microsoft Defender 바이러스 백신 제외 정책에서 제외 수정
Microsoft Defender 바이러스 백신 제외 프로필을 사용하는 Microsoft Intune 기존 AV 정책을 수정하려면 다음 단계를 수행합니다.
의 Microsoft Intune 관리 센터에서 https://intune.microsoft.com엔드포인트 보안으로 이동합니다.
엔드포인트 보안 | 개요 페이지에서 관리 섹션에서 바이러스 백신을 선택합니다. 또는 엔드포인트 보안으로 직접 이동하려면 | 바이러스 백신 페이지에서 를 사용합니다 https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.
엔드포인트 보안의 요약 탭에서 | 바이러스 백신 페이지에서 정책 유형 값이 바이러스 백신 제외를 Microsoft DefenderAV 정책 섹션에서 정책을 선택합니다.
열리는 정책 속성 페이지에서 구성 설정 옆에 있는 편집을 선택합니다.
열리는 정책 편집 페이지의 구성 설정 탭에서 제외를 추가하거나 제거합니다.
- 제외된 확장 섹션: 파일 형식 확장명별 제외. 제외는 위치에 관계없이 해당 확장이 있는 모든 파일에 적용됩니다. 자세한 내용은 ExcludedExtensions를 참조하세요.
- 제외된 경로 섹션: 위치별 제외(경로). 파일 및 폴더 제외라고도 합니다. 각 경로를 구분하고 줄당 하나의 경로를 입력합니다. 자세한 내용은 ExcludedPaths를 참조하세요.
- 제외된 프로세스 섹션: 지정된 프로세스에서 연 파일에 대한 제외입니다. 목록의 각 파일 형식을 한 줄당 하나의 파일 형식으로 구분합니다. 프로세스 자체는 제외되지 않습니다. 프로세스를 제외하려면 파일 및 폴더 제외를 사용할 수 있습니다. 자세한 내용은 ExcludedProcesses를 참조하세요.
제외를 추가하려면 추가를 선택한 다음 표시되는 상자에 값을 입력합니다. 필요한 만큼 이 단계를 반복합니다.
제외 또는 빈 상자를 제거하려면 항목 옆에 있는 검사 상자를 선택한 다음 제거를 선택합니다.
새 제외의 .csv 파일을 가져오려면 가져오기를 선택합니다.
기존 제외를 의 .csv 파일로 내보내려면 내보내기를 선택합니다.
구성 설정 탭을 마쳤으면 다음을 선택합니다.
검토 탭에서 설정을 검토합니다. 뒤로를 사용하거나 구성 설정 탭을 선택하여 변경합니다.
검토 탭을 마쳤으면 저장을 선택합니다.
정책 속성 페이지로 돌아가서 제외 목록에 대한 업데이트가 구성 설정>Defender 섹션에 표시됩니다.
Exchange 서버의 바이러스 백신 제외
Microsoft Exchange Server 2016 이상에서는 AMSI(맬웨어 방지 스캔 인터페이스)와의 통합을 지원합니다. 자세한 내용은 EXCHANGE SERVER AMSI 통합을 참조하세요.
많은 조직에서 성능상의 이유로 바이러스 백신 검사에서 Exchange Server 폴더를 제외합니다. Microsoft는 Exchange 서버에서 Microsoft Defender 바이러스 백신 제외를 감사하고 성능에 영향을 주지 않고 제외를 제거할 수 있는지 여부를 평가하는 것이 좋습니다. 그룹 정책, PowerShell 또는 Microsoft Intune 같은 시스템 관리 도구를 사용하여 제외를 관리할 수 있습니다.
Exchange Server Microsoft Defender 바이러스 백신 제외를 감사하려면 관리자 권한 PowerShell 프롬프트에서 Get-MpPreference cmdlet을 실행합니다.
Exchange 프로세스 및 폴더에 대한 제외를 제거할 수 없는 경우 Microsoft Defender 바이러스 백신의 빠른 검색은 제외에 관계없이 Exchange 디렉터리와 파일을 검색합니다.