다음을 통해 공유

제어된 폴더 액세스 평가

  • 아티클

적용 대상:

플랫폼

  • Windows

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스 는 의심스럽거나 악의적인 앱으로 문서 및 파일을 수정하지 못하도록 보호하는 기능입니다. 제어된 폴더 액세스는 Windows Server 2022, Windows Server 2019 및 Windows 10 또는 Windows 11을 실행하는 클라이언트 디바이스에서 지원됩니다.

파일을 암호화하고 인질로 잡으려는 랜섬웨어 로부터 보호하는 데 특히 유용합니다.

이 문서는 제어된 폴더 액세스를 평가하는 데 도움이 됩니다. 조직에서 직접 기능을 테스트할 수 있도록 감사 모드를 사용하도록 설정하는 방법을 설명합니다.

감사 모드를 사용하여 영향 측정

감사 모드에서 제어된 폴더 액세스를 사용하도록 설정하여 활성화된 경우 발생할 수 있는 항목에 대한 레코드를 확인합니다. 이 기능이 조직에서 작동하는 방식을 테스트하여 기간 업무 앱에 영향을 주지 않는지 확인합니다. 또한 특정 기간 동안 일반적으로 파일을 수정하려는 의심스러운 시도의 수를 파악할 수 있습니다.

감사 모드를 사용하도록 설정하려면 다음 PowerShell cmdlet을 사용합니다.

Set-MpPreference -EnableControlledFolderAccess AuditMode

참고

  • 조직에서 제어된 폴더 액세스가 어떻게 작동하는지 확인하려면 관리 도구를 사용하여 네트워크의 디바이스에 배포합니다. 제어된 폴더 액세스로 중요한 폴더 보호에 설명된 대로 그룹 정책, Intune, MDM(모바일 디바이스 관리) 또는 Microsoft Configuration Manager를 사용하여 설정을 구성하고 배포할 수도 있습니다.

  • 워크플로에 공유 네트워크 폴더 사용과 관련된 경우 제어된 폴더 액세스를 사용하도록 설정하면 특히 파일 공유 서버에 대한 쿼리가 많기 때문에 신뢰할 수 없는 프로세스에서 공유 네트워크 폴더에 액세스하는 경우 네트워크 성능이 크게 저하될 수 있습니다. 특히 오프라인 파일에 공유 네트워크 폴더를 사용하는 경우 파일 서버가 네트워크 트래픽 증가에 최적화되어 있는지 확인합니다.

  • 일부 유형의 엔드포인트 보안 또는 자산 관리 소프트웨어는 시스템에서 시작하는 모든 프로세스에 코드를 삽입합니다. 이로 인해 제어된 폴더 액세스가 더 이상 Office 프로그램과 같은 알려진 애플리케이션을 신뢰하지 않을 수 있습니다. MDEClientAnalyzer 도구의 인수를 사용하여 제어된 폴더 액세스 검색의 -cfa 이유를 확인할 수 있습니다. 영향을 받는 경우 삽입 프로세스에 대한 바이러스 백신 제외 를 추가하는 것이 좋습니다. 또는 모든 이진 파일에 서명하는 방법에 대해 관리 소프트웨어 공급업체에 문의하세요.

Windows 이벤트 뷰어에서 제어된 폴더 액세스 이벤트 검토

다음 제어된 폴더 액세스 이벤트는 Microsoft/Windows/Windows Defender/Operational 폴더 아래의 Windows 이벤트 뷰어에 표시됩니다.

이벤트 ID 설명
5007 설정이 변경된 경우의 이벤트
1124 감사된 제어된 폴더 액세스 이벤트
1123 차단된 제어된 폴더 액세스 이벤트

로그를 중앙에서 수집하도록 Windows 이벤트 전달 구독 을 구성할 수 있습니다.

보호된 폴더 및 앱 사용자 지정

평가 중에 보호된 폴더 목록에 추가하거나 특정 앱이 파일을 수정하도록 허용할 수 있습니다.

그룹 정책, PowerShell 및 MDM CSP(구성 서비스 공급자)를 비롯한 관리 도구를 사용하여 기능을 구성하려면 제어된 폴더 액세스 권한으로 중요한 폴더 보호를 참조하세요.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.