변조 방지에 대한 FAQ(질문과 대답)

디바이스는 다음 요구 사항을 모두 충족해야 합니다.

• 디바이스는 특정 버전의 Windows 또는 macOS를 실행해야 합니다. 변 조 방지를 사용할 수 있는 디바이스는 무엇인가요?를 참조하세요.
• 디바이스는 엔드포인트용 Microsoft Defender에 온보딩되어야 합니다.
• 디바이스는 맬웨어 방지 플랫폼 버전 4.18.2010.7 (이상) 및 맬웨어 방지 엔진 버전 1.1.17600.5 (이상)을 사용해야 합니다. (Microsoft Defender 바이러스 백신 업데이트를 관리하고 기준을 적용합니다.)
• 클라우드 제공 보호를 켜야 합니다.

Microsoft Defender 포털(https://security.microsoft.com)에서 변조 보호를 관리하려면 보안 관리자와 같은 역할을 통해 할당된 적절한 권한이 있어야 합니다. ( Microsoft Defender XDR RBAC(역할 기반 액세스 제어)를 참조하세요.)

• Windows 11
• Windows 11 Enterprise 다중 세션
• Windows 10 OS 1709, 1803, 1809 이상은 엔드포인트용 Microsoft Defender와 함께 제공됩니다.
• Windows 10 엔터프라이즈 다중 세션

Configuration Manager 버전 2006을 테넌트 연결과 함께 사용하는 경우 변조 방지를 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 및 Windows Server 2022로 확장할 수 있습니다. 테넌트 연결: 관리 센터에서 엔드포인트 보안 바이러스 백신 정책 만들기 및 배포(미리 보기)를 참조하세요.

아니요. 비 Microsoft 바이러스 백신 제품은 Windows 보안 애플리케이션에 계속 등록됩니다.

비 Microsoft 바이러스 백신/맬웨어 방지 소프트웨어가 디바이스에 설치된 경우 해당 디바이스가 엔드포인트용 Microsoft Defender에 온보딩되면 Microsoft Defender 바이러스 백신은 기본적으로 수동 모드로 실행됩니다. 변조 방지는 서비스와 해당 기능을 보호합니다.

비 Microsoft 바이러스 백신/맬웨어 방지 소프트웨어가 제거되면 Microsoft Defender 바이러스 백신이 자동으로 활성 모드로 전환됩니다. 변조 방지는 서비스와 해당 기능을 계속 보호합니다.

Microsoft Intune을 사용하여 조직의 Microsoft Defender 바이러스 백신 설정을 관리하는 것이 좋습니다. Intune을 사용하면 정책을 통해 변조 방지를 사용하도록 설정(또는 비활성화)하는 위치를 제어할 수 있습니다. Microsoft Defender 바이러스 백신 제외를 보호할 수도 있습니다. 변조 방지: Microsoft Defender 바이러스 백신 제외를 참조하세요.

Microsoft Defender 포털 또는 Configuration Manager를 사용할 수도 있습니다.

홈 사용자인 경우 개별 디바이스에서 변조 방지 관리를 참조하세요.

변조 방지는 기본 제공 보호의 일부이며 사용하도록 설정해야 합니다.

예. 디바이스에서 Microsoft Defender 바이러스 백신 제외를 보호하려면 특정 조건을 충족해야 합니다. 예를 들어 Intune만 또는 Configuration Manager를 사용하여 디바이스를 관리해야 하며 Sense를 사용하도록 설정해야 합니다. Microsoft Defender 바이러스 백신 제외 보호를 참조하세요.

현재 Intune을 사용하여 변조 방지를 구성하고 관리하는 경우 Intune을 계속 사용해야 합니다. 변조 방지가 켜져 있고 그룹 정책을 사용하여 Microsoft Defender 바이러스 백신 설정을 변경하는 경우 변조 방지로 보호되는 모든 설정은 무시됩니다.

• 디바이스를 변경해야 하고 변조 방지로 인해 변경 내용이 차단되는 경우 문제 해결 모드를 사용하여 디바이스에서 변조 방지를 일시적으로 사용하지 않도록 설정할 수 있습니다. 문제 해결 모드가 종료되면 변조로 보호된 설정에 대한 변경 내용이 구성된 상태로 되돌아갑니다.
• Intune 또는 Configuration Manager를 사용하여 변조 방지에서 디바이스를 제외할 수 있습니다.
• Intune을 통해 변조 방지를 관리하고 다른 특정 조건이 충족되는 경우 변조로 보호되는 바이러스 백신 제외를 관리할 수 있습니다.

Intune을 사용하여 변조 방지를 구성하고 관리하는 경우 조직 전체에 변조 방지를 적용할 필요가 없습니다. Intune을 사용하면 전체 조직에 변조 보호를 적용하도록 선택하거나 특정 디바이스 또는 사용자 그룹을 선택하여 변조 방지를 받을 수 있습니다. 변조 방지에서 특정 디바이스를 제외할 수도 있습니다.

변조 방지가 켜져 있으면 다음 보안 설정이 변경되지 않도록 보호됩니다.

• 바이러스 및 위협 방지는 계속 활성화되어 있습니다.
• 실시간 보호는 켜져 있습니다.
• 동작 모니터링은 계속 켜져 있습니다.
• IOfficeAntivirus(IOAV)를 비롯한 바이러스 백신 보호는 계속 사용하도록 설정되어 있습니다.
• 클라우드 보호는 계속 사용하도록 설정되어 있습니다.
• 보안 인텔리전스 업데이트는 계속 발생합니다.
• 검색된 위협에 대해 자동 작업이 수행됩니다.
• 알림은 Windows 디바이스의 Windows 보안 앱에 표시됩니다.
• 보관된 파일이 검사됩니다.

자세한 내용은 변조 방지가 켜지면 어떻게 되나요?를 참조하세요.

Microsoft Defender 포털(https://security.microsoft.com)에서 변조 방지가 켜져 있으면 테넌트 전체에서 변조 방지가 설정됩니다. 그러나 Intune 또는 Configuration Manager에 정의된 정책은 Microsoft Defender 포털에서 설정을 재정의할 수 있습니다. 예를 들어 Intune 또는 Configuration Manager에서 특정 디바이스를 변조 방지에서 제외하는 정책을 정의할 수 있습니다.

Intune을 사용하여 DisableLocalAdminMerge를 배포합니다.

변조로 보호되는 바이러스 백신 제외 관리의 지침을 따릅니다.

아니요. 제외에 대한 변조 방지를 사용하는 경우 새 제외를 적용하기 위해 사용하지 않도록 설정할 필요가 없습니다.

예. Intune을 사용하는 것과 마찬가지로 조직 전체 또는 특정 사용자 및 디바이스에 변조 방지를 적용할 수 있습니다. 자세한 내용은 다음 리소스를 참조하세요.

• Intune을 사용하여 변조 방지 관리
• Configuration Manager 버전 2006에서 테넌트 연결을 사용하여 변조 방지 관리
• 기술 커뮤니티 블로그: Configuration Manager 테넌트 연결 클라이언트에 대한 변조 방지 발표

일반적으로 변조 방지는 사용자가 디바이스에서 직접 보안 설정을 변경할 수 로부터 보호하는 데 도움이 됩니다. 변조 방지는 표준 보호 공격 표면 감소 규칙을 포함하는 변조 방지 기능의 일부입니다. 커널에서 맬웨어가 실행되지 않도록 하려면 Windows용 애플리케이션 제어와 함께 드라이버 블록 규칙을 사용하는 것이 좋습니다.

디바이스가 엔드포인트용 Microsoft Defender에서 오프보치된 경우 변조 방지가 켜져 있으며, 이는 관리되지 않는 디바이스의 기본 상태입니다.

경고는 경고 아래의 Microsoft Defender 포털 에 나열되어야 합니다. 보안 운영 팀은 다음 예제와 같은 헌팅 쿼리를 사용할 수도 있습니다.

AlertInfo|where Title == "Tamper Protection bypass"

다음 방법 중 원하는 방법을 사용하여 변조 방지를 구성할 수 있습니다.

• Microsoft Defender 포털(테넌트 전체에서 변조 방지 설정 또는 해제)
• Intune (일부 또는 모든 사용자에 대한 변조 방지 설정 또는 해제 및/또는 변조 방지 구성)
• Configuration Manager (테넌트 연결이 있는 경우 Windows 보안 환경 프로필을 사용하여 일부 또는 모든 디바이스에 대한 변조 방지를 구성할 수 있습니다).
• Windows 보안 앱 (집에서 또는 보안 팀이 디바이스를 관리하지 않는 상황에서 사용되는 개별 디바이스의 경우)