Powershell을 사용하여 Microsoft Defender 바이러스 백신 평가
적용 대상:
- Microsoft Defender 바이러스 백신
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
Windows 10 이상 및 Windows Server 2016 이상에서는 MDAV(Microsoft Defender 바이러스 백신) 및 Microsoft Defender Exploit Guard(Microsoft Defender EG)에서 제공하는 차세대 보호 기능을 사용할 수 있습니다.
이 항목에서는 Microsoft Defender AV 및 Microsoft Defender EG에서 주요 보호 기능을 사용하도록 설정하고 테스트하는 방법을 설명하고 자세한 내용에 대한 지침과 링크를 제공합니다.
이 평가 PowerShell 스크립트를 사용하여 이러한 기능을 구성하는 것이 좋지만 이 문서의 나머지 부분에 설명된 cmdlet을 사용하여 각 기능을 개별적으로 사용하도록 설정할 수 있습니다.
EPP 제품에 대한 자세한 내용은 다음 제품 설명서 라이브러리를 참조하세요.
이 문서에서는 Windows 10 이상 및 Windows Server 2016 이상의 구성 옵션에 대해 설명합니다.
Microsoft Defender AV가 만드는 검색에 대한 질문이 있거나 누락된 검색을 발견한 경우 샘플 제출 도움말 사이트에서 파일을 제출할 수 있습니다.
PowerShell을 사용하여 기능 사용
이 가이드에서는 보호를 평가하는 데 사용해야 하는 기능을 구성하는 Microsoft Defender 바이러스 백신 cmdlet 을 제공합니다.
이러한 cmdlet을 사용하려면 다음을 수행합니다.
1. PowerShell의 관리자 권한 인스턴스를 엽니다(관리자 권한으로 실행 선택).
2. 이 가이드에 나열된 명령을 입력하고 Enter 키를 누릅니다.
Get-MpPreference PowerShell cmdlet을 사용하여 시작하기 전 또는 평가 중에 모든 설정의 상태를 확인할 수 있습니다.
Microsoft Defender AV는 표준 Windows 알림을 통한 검색을 나타냅니다. Microsoft Defender AV 앱에서 검색을 검토할 수도 있습니다.
Windows 이벤트 로그는 검색 및 엔진 이벤트도 기록합니다. 이벤트 ID 및 해당 작업의 목록은 Microsoft Defender 바이러스 백신 이벤트 문서를 참조하세요 .
클라우드 보호 기능
표준 정의 업데이트는 준비하고 제공하는 데 몇 시간이 걸릴 수 있습니다. 클라우드 제공 보호 서비스는 몇 초 만에 이 보호를 제공할 수 있습니다.
자세한 내용은 클라우드 제공 보호를 통해 Microsoft Defender 바이러스 백신의 차세대 기술 사용에서 확인할 수 있습니다.
설명 | PowerShell 명령 |
---|---|
거의 즉각적인 보호 및 향상된 보호를 위해 Microsoft Defender 클라우드를 사용하도록 설정 | Set-MpPreference -MAPSReporting Advanced |
그룹 보호를 강화하기 위해 샘플을 자동으로 제출합니다. | Set-MpPreference -SubmitSamplesConsent Always |
항상 클라우드를 사용하여 몇 초 내에 새 맬웨어 차단 | Set-MpPreference -DisableBlockAtFirstSeen 0 |
다운로드한 모든 파일 및 첨부 파일 검사 | Set-MpPreference -DisableIOAVProtection 0 |
클라우드 블록 수준을 '높음'으로 설정 | Set-MpPreference -CloudBlockLevel High |
높은 클라우드 블록 제한 시간을 1분으로 설정 | Set-MpPreference -CloudExtendedTimeout 50 |
상시 보호(실시간 검사)
Microsoft Defender AV는 Windows에서 표시되는 즉시 파일을 검사하고 실행 중인 프로세스에서 알려지거나 의심되는 악성 동작을 모니터링합니다. 바이러스 백신 엔진이 악의적인 수정을 검색하면 프로세스 또는 파일의 실행이 즉시 차단됩니다.
이러한 옵션에 대한 자세한 내용은 동작, 추론 및 실시간 보호 구성 을 참조하세요.
설명 | PowerShell 명령 |
---|---|
알려진 맬웨어 수정에 대한 파일 및 프로세스를 지속적으로 모니터링 | Set-MpPreference -DisableRealtimeMonitoring 0 |
'정리' 파일 및 실행 중인 프로그램에서도 알려진 맬웨어 동작을 지속적으로 모니터링합니다. | Set-MpPreference -DisableBehaviorMonitoring 0 |
스크립트를 보거나 실행하는 즉시 검사 | Set-MpPreference -DisableScriptScanning 0 |
이동식 드라이브가 삽입되거나 탑재되는 즉시 스캔 | Set-MpPreference -DisableRemovableDriveScanning 0 |
사용자 동의 없이 설치된 애플리케이션 보호
잠재적으로 원치 않는 애플리케이션은 전통적으로 악성으로 분류되지 않은 파일 및 앱입니다. 여기에는 일반적인 소프트웨어, 광고 삽입 및 브라우저의 특정 유형의 도구 모음에 대한 타사 설치 관리자가 포함됩니다.
설명 | PowerShell 명령 |
---|---|
그레이웨어, adware 및 기타 원치 않는 앱이 설치되지 않도록 방지 | Set-MpPreference -PUAProtection 사용 |
전자 메일 및 보관 검사
Windows에서 볼 수 있는 특정 유형의 전자 메일 파일 및 보관 파일(예: .zip 파일)을 자동으로 검사하도록 Microsoft Defender 바이러스 백신을 설정할 수 있습니다. 이 기능에 대한 자세한 내용은 Microsoft Defender의 전자 메일 검색 관리 문서에서 찾을 수 있습니다.
설명 | PowerShell 명령 |
---|---|
전자 메일 파일 및 보관 파일 검사 | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
제품 및 보호 업데이트 관리
일반적으로 하루에 한 번 Windows 업데이트에서 Microsoft Defender AV 업데이트를 받습니다. 그러나 다음 옵션을 설정하고 System Center Configuration Manager, 그룹 정책 또는 Intune에서 업데이트를 관리하도록 하여 해당 업데이트의 빈도를 늘릴 수 있습니다.
설명 | PowerShell 명령 |
---|---|
매일 서명 업데이트 | Set-MpPreference -SignatureUpdateInterval |
예약된 검사를 실행하기 전에 서명을 업데이트하도록 확인 | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
고급 위협 및 악용 완화 및 방지 제어된 폴더 액세스
Microsoft Defender Exploit Guard는 알려진 악성 동작 및 취약한 기술에 대한 공격으로부터 디바이스를 보호하는 데 도움이 되는 기능을 제공합니다.
설명 | PowerShell 명령 |
---|---|
악성 및 의심스러운 앱(예: 랜섬웨어)이 제어된 폴더 액세스를 사용하여 보호된 폴더를 변경하지 못하도록 방지 | Set-MpPreference -EnableControlledFolderAccess Enabled |
네트워크 보호를 사용하여 알려진 잘못된 IP 주소 및 기타 네트워크 연결에 대한 연결 차단 | Set-MpPreference -EnableNetworkProtection Enabled |
Exploit Protection을 사용하여 표준 완화 집합 적용 |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
공격 표면 감소로 알려진 악성 공격 벡터 차단 | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-2 4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions 사용 Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions 사용 Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions 사용 Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions 사용 |
일부 규칙은 조직에서 허용되는 동작을 차단할 수 있습니다. 이러한 경우 원치 않는 블록을 방지하기 위해 규칙을 사용에서 감사로 변경합니다.
한 번 클릭 Microsoft Defender 오프라인 검사
Microsoft Defender 오프라인 검사는 Windows 10 이상과 함께 제공되는 특수 도구이며, 컴퓨터를 일반 운영 체제 외부의 전용 환경으로 부팅할 수 있습니다. 루트킷과 같은 강력한 맬웨어에 특히 유용합니다.
이 기능의 작동 방식에 대한 자세한 내용은 Microsoft Defender 오프라인 을 참조하세요.
설명 | PowerShell 명령 |
---|---|
알림을 통해 PC를 특수한 맬웨어 제거 환경으로 부팅할 수 있는지 확인 | Set-MpPreference -UILockdown 0 |
리소스
이 섹션에서는 Microsoft Defender 바이러스 백신을 평가하는 데 도움이 될 수 있는 많은 리소스를 나열합니다.