엔드포인트용 Microsoft Defender 문제 해결 모드 시나리오
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
엔드포인트용 Microsoft Defender 문제 해결 모드를 사용하면 디바이스에서 사용하도록 설정하고 organization 정책에 의해 제어되는 경우에도 다양한 시나리오를 테스트하여 다양한 Microsoft Defender 바이러스 백신 기능을 해결할 수 있습니다. 문제 해결 모드는 기본적으로 사용하지 않도록 설정되며 제한된 시간 동안 디바이스(및/또는 디바이스 그룹)에 대해 설정해야 합니다. 이 기능은 엔터프라이즈 전용 기능이며 Microsoft Defender XDR 액세스가 필요합니다.
Microsoft Defender 바이러스 백신과 관련된 성능 관련 문제를 해결하려면 Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요.
팁
- 문제 해결 모드 중에 Windows 디바이스에서 PowerShell 명령을
Set-MPPreference -DisableTamperProtection $true
사용할 수 있습니다. -
변조 방지 상태를 검사 Get-MpComputerStatus PowerShell cmdlet을 사용할 수 있습니다. 결과 목록에서 또는
RealTimeProtectionEnabled
를IsTamperProtected
찾습니다. 값이 true 이면 변조 방지를 사용할 수 있습니다.
시나리오 1: 애플리케이션을 설치할 수 없음
애플리케이션을 설치하려고 하지만 바이러스 백신 및 변조 방지가 Microsoft Defender 오류 메시지가 표시되면 다음 절차를 사용하여 문제를 해결합니다.
보안 관리자에게 문제 해결 모드를 켜도록 요청합니다. 문제 해결 모드가 시작되면 Windows 보안 알림이 표시됩니다.
로컬 관리자 권한으로 디바이스에 연결합니다(예: 터미널 서비스 사용).
프로세스 모니터 시작(ProcMon). 실시간 보호와 관련된 성능 문제 해결에 설명된 단계를 참조하세요.
Windows 보안>위협 & 바이러스 보호>관리 설정>변조 방지>끄기로 이동합니다.
또는 문제 해결 모드 중에 Windows 디바이스에서 PowerShell 명령을
Set-MPPreference -DisableTamperProtection $true
사용할 수 있습니다.변조 방지 상태를 검사 Get-MpComputerStatus PowerShell cmdlet을 사용할 수 있습니다. 결과 목록에서 또는
RealTimeProtectionEnabled
를IsTamperProtected
찾습니다. 값이 true 이면 변조 방지를 사용할 수 있습니다.관리자 권한 PowerShell 명령 프롬프트를 시작하고 실시간 보호를 해제합니다.
- 를 실행
Get-MpComputerStatus
하여 실시간 보호의 상태 검사. - 를 실행
Set-MpPreference -DisableRealtimeMonitoring $true
하여 실시간 보호를 끕니다. - 다시 실행
Get-MpComputerStatus
하여 상태 확인합니다.
- 를 실행
애플리케이션을 설치해 보세요.
시나리오 2: Windows Defender(MsMpEng.exe)로 인한 높은 CPU 사용량
예약된 검사 중에 MsMpEng.exe 높은 CPU를 사용할 수 있는 경우가 있습니다.
작업 관리자>세부 정보 탭으로 이동하여 CPU 사용량이
MsMpEng.exe
많은 이유를 확인합니다. 또한 검사 예약된 검사가 현재 진행 중인지 확인합니다.CPU가 약 5분 동안 급증하는 동안 ProcMon( 프로세스 모니터 )을 실행한 다음 ProcMon 로그에서 단서를 확인합니다.
근본 원인이 확인되면 문제 해결 모드를 켭니다.
디바이스에 로그인하고 관리자 권한 PowerShell 명령 프롬프트를 시작합니다.
다음 명령 중 하나를 사용하여 ProcMon 결과에 따라 process/file/folder/extension 제외를 추가합니다(이 문서에 언급된 경로, 확장 및 프로세스 제외는 예제에만 해당).
Set-mppreference -ExclusionPath
(예:C:\DB\DataFiles
)Set-mppreference –ExclusionExtension
(예:.dbx
)Set-mppreference –ExclusionProcess
(예:C:\DB\Bin\Convertdb.exe
)제외를 추가한 후 검사 CPU 사용량이 감소했는지 확인합니다.
Microsoft Defender 바이러스 백신 검사 및 업데이트에 대한 cmdlet 구성 기본 설정에 Set-MpPreference
대한 자세한 내용은 Set-MpPreference를 참조하세요.
시나리오 3: 작업을 수행하는 데 더 오래 걸리는 애플리케이션
Microsoft Defender 바이러스 백신 실시간 보호가 켜져 있으면 애플리케이션이 기본 작업을 수행하는 데 더 오래 걸릴 수 있습니다. 실시간 보호를 해제하고 문제를 해결하려면 다음 절차를 따르세요.
보안 관리자에게 디바이스에서 문제 해결 모드를 켜도록 요청합니다.
이 시나리오에 대한 실시간 보호를 사용하지 않도록 설정하려면 먼저 변조 방지를 해제합니다. Windows 디바이스에서 PowerShell 명령을
Set-MPPreference -DisableTamperProtection $true
사용할 수 있습니다.변조 방지 상태를 검사 위해 Get-MpComputerStatus PowerShell cmdlet을 사용할 수 있습니다. 결과 목록에서 또는
RealTimeProtectionEnabled
를IsTamperProtected
찾습니다. 값이 true 이면 변조 방지를 사용할 수 있습니다.자세한 내용은 변조 방지를 사용하여 보안 설정 보호를 참조하세요.
변조 방지를 사용하지 않도록 설정하면 디바이스에 로그인합니다.
관리자 권한 PowerShell 명령 프롬프트를 시작하고 다음 명령을 실행합니다.
Set-mppreference -DisableRealtimeMonitoring $true
실시간 보호를 사용하지 않도록 설정하면 검사 애플리케이션이 느린지 확인합니다.
시나리오 4: 공격 표면 감소로 차단된 Microsoft Office 플러그 인
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 모드로 설정되어 있기 때문에 공격 표면 감소로 인해 Microsoft Office 플러그 인이 제대로 작동하지 않습니다.
문제 해결 모드를 켜고 디바이스에 로그인합니다.
관리자 권한 PowerShell 명령 프롬프트를 시작하고 다음 명령을 실행합니다.
Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
ASR 규칙을 사용하지 않도록 설정하면 이제 Microsoft Office 플러그 인이 작동하는지 확인합니다.
자세한 내용은 공격 표면 감소 개요를 참조하세요.
시나리오 5: 네트워크 보호에 의해 차단된 도메인
네트워크 보호는 Microsoft 도메인을 차단하여 사용자가 액세스하지 못하도록 차단합니다.
문제 해결 모드를 켜고 디바이스에 로그인합니다.
관리자 권한 PowerShell 명령 프롬프트를 시작하고 다음 명령을 실행합니다.
Set-MpPreference -EnableNetworkProtection Disabled
네트워크 보호를 사용하지 않도록 설정하면 도메인이 이제 허용되는지 확인하기 위해 검사.
자세한 내용은 네트워크 보호를 사용하여 잘못된 사이트에 대한 연결 방지를 참조하세요.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.