Exploit Protection 계산

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Exploit Protection은 다른 디바이스에서 확산 및 감염시키는 데 익스플로잇을 사용하는 맬웨어로부터 디바이스를 보호합니다. 운영 체제 또는 개별 앱에 완화를 적용할 수 있습니다. EMET(강화된 완화 환경 도구 키트)에 있던 다양한 기능들이 Exploit Protection에 포함되어 있습니다. (EMET는 지원이 종료되었습니다.)

감사에서 테스트 환경의 특정 앱에 대한 완화가 작동하는 방식을 확인할 수 있습니다. 여기서는 프로덕션 환경에서 Exploit Protection을 사용하도록 설정했다면 있었을 상황을 보여줍니다. 이를 통해 Exploit Protection이 LOB(기간 업무) 앱에 부정적인 영향을 주지 않음을 확인하고 어떤 의심스러운 이벤트나 악의적인 이벤트가 발생하는지 볼 수 있습니다.

테스트에 Exploit Protection 사용

Windows 보안 앱 또는 Windows PowerShell을 사용하여 특정 프로그램에 대한 테스트 모드에서 완화를 설정할 수 있습니다.

Windows 보안 앱

1. Windows 보안 앱을 엽니다. 작업 표시줄에서 방패 아이콘을 선택하거나 시작 메뉴에서 Windows 보안을 검색합니다.

2. 앱 및 브라우저 컨트롤 타일(또는 왼쪽 메뉴 모음의 앱 아이콘)을 선택한 후 Exploit Protection을 선택합니다.

3. 프로그램 설정으로 이동하여 보호를 적용할 앱을 선택합니다.

   1. 구성하려는 앱이 이미 나열된 경우 해당 앱을 선택한 다음 편집을 선택합니다.
   2. 앱이 목록 맨 위에 나열되지 않은 경우 사용자 지정할 프로그램 추가를 선택합니다. 그런 다음 앱을 추가할 방법을 선택합니다.
      • 프로그램 이름으로 추가를 사용해 해당 이름으로 실행 중인 모든 프로세스에 완화를 적용합니다. 확장명으로 파일을 지정합니다. 완화를 해당 위치에서 해당 이름의 앱으로만 제한하는 전체 경로를 입력할 수 있습니다.
      • 정확한 파일 경로 선택을 사용하여 표준 Windows 탐색기 파일 선택 창에서 원하는 파일을 찾아 선택합니다.

4. 앱을 선택하면 적용할 수 있는 모든 완화 기능 목록이 표시됩니다. 감사를 선택하면 테스트 모드에서만 완화가 적용됩니다. 프로세스, 앱 또는 Windows를 다시 시작해야 하는 경우 알림을 받게 됩니다.

5. 구성하려는 모든 앱 및 완화에 대해 이 절차를 반복합니다. 구성 설정이 완료되면 적용을 선택합니다.

PowerShell

앱 수준 완화를 테스트 모드로 설정하려면 감사 모드 cmdlet과 함께 를 사용합니다Set-ProcessMitigation.

각 완화를 다음 형식으로 구성합니다.

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

여기서,

• <범위>:
  • 완화를 특정 앱에 적용해야 함을 표시하는 -Name. 이 플래그 뒤에 앱의 실행 파일을 지정합니다.
• <작업>:
  • 완화를 사용하도록 설정하는 -Enable
    • 완화를 사용하지 않도록 설정하는 -Disable
• <완화>:
  • 다음 표에 정의된 완화 cmdlet. 각 완화는 쉼표로 구분됩니다.

완화	테스트 모드 cmdlet
ACG(임의 코드 가드)	AuditDynamicCode
낮은 무결성 이미지 차단	AuditImageLoad
신뢰할 수 없는 글꼴 차단	AuditFont, FontAuditOnly
코드 무결성 가드	AuditMicrosoftSigned, AuditStoreSigned
Win32k 시스템 호출 사용 안 함	AuditSystemCall
자식 프로세스 허용 안 함	AuditChildProcess

예를 들어 testing.exe이라는 앱 에 대해 테스트 모드에서 ACG(임의 Code Guard)를 사용하도록 설정하려면 다음 명령을 실행합니다.

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

-Enable을 -Disable로 대체하여 감사 모드를 사용하지 않도록 설정할 수 있습니다.

Exploit Protection 감사 이벤트 검토

차단된 앱을 검토하려면 이벤트 뷰어를 열고 보안 완화 로그에서 다음 이벤트를 필터링합니다.

기능	공급자/원본	이벤트 ID	설명
악용 방지	보안 완화(커널 모드/사용자 모드)	1	ACG 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	3	자식 프로세스 감사 허용 안 함
악용 방지	보안 완화(커널 모드/사용자 모드)	5	낮은 무결성 이미지 감사 차단
악용 방지	보안 완화(커널 모드/사용자 모드)	7	원격 이미지 감사 차단
악용 방지	보안 완화(커널 모드/사용자 모드)	9	win32k 시스템 호출 감사 사용 안 함
악용 방지	보안 완화(커널 모드/사용자 모드)	11	코드 무결성 가드 감사

참고 항목

• 악용 방지 사용
• 악용 방지 완화 구성 및 감사
• 악용 보호 구성 가져오기, 내보내기 및 배포하기
• 악용 방지 문제 해결

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.