Microsoft Intune 정책을 사용하여 공격 표면 감소 규칙 관리

아티클
06/17/2024

Windows 10 및 Windows 11 디바이스에서 Defender 바이러스 백신을 사용하는 경우 공격 표면 감소 에 Microsoft Intune 엔드포인트 보안 정책을 사용하여 디바이스에서 이러한 설정을 관리할 수 있습니다.

ASR(공격 표면 감소) 정책을 사용하여 조직이 사이버 위협 및 공격에 취약한 위치를 최소화하여 디바이스의 공격 노출 영역을 줄일 수 있습니다. Intune ASR 정책은 다음 프로필을 지원합니다.

공격 표면 감소 규칙: 이 프로필을 사용하여 맬웨어 및 악성 앱이 컴퓨터를 감염시키는 데 일반적으로 사용하는 동작을 대상으로 지정합니다. 이러한 동작의 예로는 Office 앱에서 실행 파일 및 스크립트 사용, 파일 다운로드 또는 실행을 시도하는 웹 메일, 일반적인 일상적인 작업 중에 앱이 일반적으로 시작하지 않는 난독화되거나 의심스러운 스크립트 동작이 있습니다.
디바이스 제어: 이 프로필을 사용하여 무단 주변 장치의 위협이 디바이스를 손상시키는 것을 모니터링하고 방지할 수 있는 컨트롤을 통해 이동식 미디어를 허용, 차단 및 보호합니다. 및 제어 기능을 통해 권한이 없는 주변 장치의 위협이 디바이스를 손상시키는 것을 방지할 수 있습니다.

자세한 내용은 Windows 위협 방지 설명서 의 공격 표면 감소 개요 를 참조하세요.

공격 표면 감소 정책은 Microsoft Intune 관리 센터의엔드포인트 보안 노드에서 찾을 수 있습니다.

적용 대상:

Windows 10
Windows 11
Windows Server ( 엔드포인트용 Microsoft Defender 보안 설정 관리 시나리오를 통해)

공격 표면 감소 프로필의 필수 구성 요소

디바이스는 Windows 10 또는 Windows 11을 실행해야 합니다.
Defender 바이러스 백신은 디바이스의 기본 바이러스 백신이어야 합니다.

엔드포인트용 Microsoft Defender에 대한 보안 관리 지원:

엔드포인트용 Microsoft Defender용 보안 관리를 사용하여 Intune에 등록하지 않고 Defender에 온보딩한 디바이스를 지원하는 경우 Windows 10, Windows 11 및 Windows Server를 실행하는 디바이스에 공격 노출 영역 감소가 적용됩니다. 자세한 내용은 Windows 위협 방지 설명서의 ASR 규칙 지원 운영 체제 를 참조하세요.

Configuration Manager 클라이언트 지원:

이 시나리오는 미리 보기 상태이며 Configuration Manager 현재 분기 버전 2006 이상을 사용해야 합니다.

Configuration Manager 디바이스에 대한 테넌트 연결 설정 - Configuration Manager 에서 관리하는 디바이스에 공격 표면 감소 정책 배포를 지원하려면 테넌트 연결을 구성합니다. 테넌트 연결 설정에는 Intune의 엔드포인트 보안 정책을 지원하도록 Configuration Manager 디바이스 컬렉션을 구성하는 것이 포함됩니다.

테넌트 연결을 설정하려면 엔드포인트 보호 정책을 지원하도록 테넌트 연결 구성을 참조하세요.

RBAC(역할 기반 액세스 제어)

Intune 공격 표면 감소 정책을 관리할 수 있는 적절한 수준의 권한 및 권한을 할당하는 방법에 대한 지침은 Assign-role-based-access-controls-for-endpoint-security-policy를 참조하세요.

공격 표면 감소 프로필

공격 노출 영역 감소 정책에 사용할 수 있는 프로필은 선택한 플랫폼에 따라 달라집니다.

참고

2022년 4월부터 공격 표면 감소 정책에 대한 새로운 프로필이 출시되기 시작했습니다. 새 프로필을 사용할 수 있게 되면 대체되는 프로필의 이름과 동일한 이름을 사용하고 이전 프로필과 동일한 설정을 포함하지만 설정 카탈로그에 표시된 대로 최신 설정 형식으로 포함됩니다. 이러한 프로필의 이전에 만든 인스턴스는 사용 및 편집할 수 있지만 새로 만든 모든 인스턴스는 새 형식이 됩니다. 다음 프로필이 업데이트되었습니다.

공격 표면 감소 규칙(2022년 4월 5일)
악용 방지(2022년 4월 5일)
디바이스 제어(2022년 5월 23일)
앱 및 브라우저 격리(2023년 4월 18일)

Intune에서 관리하는 디바이스

플랫폼: Windows 10, Windows 11 및 Windows Server:

이 플랫폼의 프로필은 Intune에 등록된 Windows 10 및 Windows 11 디바이스에서 지원됩니다.

공격 표면 감소 규칙

이 플랫폼에 사용할 수 있는 프로필은 다음과 같습니다.

공격 표면 감소 규칙 – 다음을 포함하여 맬웨어 및 악성 앱이 컴퓨터를 감염시키는 데 일반적으로 사용하는 동작을 대상으로 하는 공격 표면 감소 규칙에 대한 설정을 구성합니다.
- 파일을 다운로드하거나 실행하려는 Office 앱 또는 웹 메일에 사용되는 실행 파일 및 스크립트
- 난독 제거되거나 의심스러운 스크립트
- 일반적으로 일상적인 작업 중에 앱이 시작되지 않는 동작
공격 노출 영역을 줄이면 공격자에게 공격을 수행할 수 있는 방법이 줄어듭니다.

Intune의 공격 표면 감소 규칙에 대한 병합 동작:

공격 표면 감소 규칙은 각 디바이스에 대한 정책의 상위 집합을 만들기 위해 다양한 정책의 설정 병합을 지원합니다. 충돌하지 않는 설정은 병합되지만 충돌하는 설정은 규칙의 상위 집합에 추가되지 않습니다. 이전에는 두 정책에 단일 설정에 대한 충돌이 포함된 경우 두 정책 모두 충돌하는 것으로 플래그가 지정되었으며 두 프로필의 설정이 배포되지 않았습니다.

공격 표면 감소 규칙 병합 동작은 다음과 같습니다.
- 다음 프로필의 공격 표면 감소 규칙은 규칙이 적용되는 각 디바이스에 대해 평가됩니다.
  - 디바이스 > 구성 정책 > 엔드포인트 보호 프로필 > Microsoft Defender Exploit Guard >공격 표면 감소
  - 엔드포인트 보안 > 공격 표면 감소 정책 >공격 표면 감소 규칙
  - 엔드포인트 보안 > 기준 > 엔드포인트용 Microsoft Defender 기준 >공격 표면 감소 규칙.
- 충돌이 없는 설정은 디바이스에 대한 정책의 상위 집합에 추가됩니다.
- 두 개 이상의 정책에 충돌하는 설정이 있는 경우 충돌하는 설정은 결합된 정책에 추가되지 않고 충돌하지 않는 설정은 디바이스에 적용되는 상위 집합 정책에 추가됩니다.
- 충돌하는 설정에 대한 구성만 보류됩니다.
디바이스 제어 – 디바이스 제어에 대한 설정을 사용하여 이동식 미디어를 보호하기 위한 계층화된 접근 방식을 위해 디바이스를 구성할 수 있습니다. 엔드포인트용 Microsoft Defender는 권한이 없는 주변 장치의 위협이 디바이스를 손상시키는 것을 방지하는 데 도움이 되는 여러 모니터링 및 제어 기능을 제공합니다.

디바이스 제어 지원을 위한 Intune 프로필:
- USB 디바이스 ID에 대한 정책 병합.
- 재사용 가능한 설정
엔드포인트용 Microsoft Defender 디바이스 제어에 대한 자세한 내용은 Defender 설명서의 다음 문서를 참조하세요.

플랫폼: Windows 10 이상:

이 플랫폼의 프로필은 Intune에 등록된 Windows 10 및 Windows 11 디바이스에서 지원됩니다. 프로필에는 다음이 포함됩니다.

앱 및 브라우저 격리 – 엔드포인트용 Defender의 일부로 Windows Defender Application Guard(Application Guard)에 대한 설정을 관리합니다. Application Guard는 이전 및 새로 발생하는 공격을 방지하는 데 도움이 되며 신뢰할 수 있는 사이트, 클라우드 리소스 및 내부 네트워크를 정의하면서 엔터프라이즈 정의 사이트를 신뢰할 수 없는 사이트로 격리할 수 있습니다.

자세한 내용은 엔드포인트용 Microsoft Defender 설명서의 Application Guard 를 참조하세요.
애플리케이션 제어 - 애플리케이션 제어 설정은 사용자가 실행할 수 있는 애플리케이션과 System Core(커널)에서 실행되는 코드를 제한하여 보안 위협을 완화하는 데 도움이 될 수 있습니다. 서명되지 않은 스크립트 및 MSI를 차단할 수 있는 설정을 관리하고 제한된 언어 모드에서 Windows PowerShell을 실행하도록 제한합니다.

자세한 내용은 엔드포인트용 Microsoft Defender 설명서의 애플리케이션 제어 를 참조하세요.

참고

이 설정을 사용하는 경우 AppLocker CSP 동작은 현재 정책이 배포될 때 최종 사용자에게 컴퓨터를 다시 부팅하라는 메시지를 표시합니다.
Exploit Protection - Exploit Protection 설정은 익스플로잇을 사용하여 디바이스를 감염시키고 확산하는 맬웨어로부터 보호하는 데 도움이 될 수 있습니다. 익스플로잇 보호는 운영 체제 또는 개별 앱에 적용할 수 있는 많은 완화로 구성됩니다.
웹 보호(Microsoft Edge 레거시) – 엔드포인트용 Microsoft Defender에서 웹 보호를 위해 관리할 수 있는 설정은 웹 위협 방지를 위해 컴퓨터를 보호하도록 네트워크 보호를 구성합니다. Microsoft Edge 또는 Chrome 및 Firefox와 같은 타사 브라우저를 통합하면 웹 보호는 웹 프록시 없이 웹 위협을 중지하고 컴퓨터가 떨어져 있거나 온-프레미스에 있는 동안 컴퓨터를 보호할 수 있습니다. 웹 보호는 다음 에 대한 액세스를 중지합니다.
- 피싱 사이트
- 맬웨어 벡터
- 익스플로잇 사이트
- 신뢰할 수 없거나 평판이 낮은 사이트
- 사용자 지정 표시기 목록을 사용하여 차단한 사이트입니다.
자세한 내용은 엔드포인트용 Microsoft Defender 설명서의 웹 보호를 참조하세요.

엔드포인트용 Defender 보안 설정 관리에서 관리하는 디바이스

엔드포인트용 Microsoft Defender용 보안 관리 시나리오를 사용하여 Intune에 등록되지 않은 Defender에서 관리하는 디바이스를 지원하는 경우 Windows 10, Windows 11 및 Windows Server 플랫폼을 사용하여 Windows 10, Windows 11 및 Windows Server를 실행하는 디바이스에서 설정을 관리할 수 있습니다. 자세한 내용은 Windows 위협 방지 설명서의 ASR 규칙 지원 운영 체제 를 참조하세요.

이 시나리오에서 지원되는 프로필은 다음과 같습니다.

공격 표면 감소 규칙 - 다음을 포함하여 맬웨어 및 악성 앱이 컴퓨터를 감염시키는 데 일반적으로 사용하는 동작을 대상으로 하는 공격 표면 감소 규칙에 대한 설정을 구성합니다.
- 파일을 다운로드하거나 실행하려는 Office 앱 또는 웹 메일에서 사용되는 실행 파일 및 스크립트입니다.
- 난독 제거되거나 의심스러운 스크립트입니다.
- 일반적으로 일상적인 작업 중에 앱이 시작되지 않는 동작은 공격 노출 영역을 줄이면 공격자에게 공격을 수행할 수 있는 더 적은 방법을 제공하는 것을 의미합니다.

중요

엔드포인트용 Microsoft Defender에 대한 보안 관리에서 공격 표면 감소 규칙 프로필만 지원됩니다. 다른 모든 공격 표면 감소 프로필은 지원되지 않습니다.

Configuration Manager에서 관리하는 디바이스

공격 표면 감소

Configuration Manager에서 관리하는 디바이스에 대한 지원은 미리 보기로 제공됩니다.

테넌트 연결을 사용하는 경우 Configuration Manager 디바이스에 대한 공격 표면 감소 설정을 관리합니다.

정책 경로:

엔드포인트 보안 > Surface 축소 > Windows 10 이상 연결(ConfigMgr)

프로필:

앱 및 브라우저 격리(ConfigMgr)
공격 표면 감소 규칙(ConfigMgr)
Exploit Protection(ConfigMgr)(미리 보기)
웹 보호(ConfigMgr)(미리 보기)

Configuration Manager의 필수 버전:

Configuration Manager 현재 분기 버전 2006 이상

지원되는 Configuration Manager 디바이스 플랫폼:

Windows 10 이상(x86, x64, ARM64)
Windows 11 이상(x86, x64, ARM64)

디바이스 제어 프로필에 재사용 가능한 설정 그룹

공개 미리 보기에서 디바이스 제어 프로필은 재사용 가능한 설정 그룹을 사용하여 Windows 10, Windows 11 및 Windows Server 플랫폼의 디바이스에서 다음 설정 그룹에 대한 설정을 관리할 수 있도록 지원합니다.

프린터 디바이스: 프린터 디바이스에 사용할 수 있는 디바이스 제어 프로필 설정은 다음과 같습니다.
- PrimaryId
- PrinterConnectionID
- VID_PID
프린터 디바이스 옵션에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 설명서의 프린터 보호 개요 를 참조하세요.
이동식 스토리지: 다음 디바이스 제어 프로필 설정은 에서 이동식 스토리지에 사용할 수 있습니다.
- 디바이스 클래스
- 디바이스 ID
- 하드웨어 ID
- 인스턴스 ID
- 기본 ID
- 제품 ID
- 일련 번호
- 공급업체 ID
- 공급업체 ID 및 제품 ID
이동식 스토리지 옵션에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 설명서의 엔드포인트용 Microsoft Defender 디바이스 제어 이동식 스토리지 액세스 제어 를 참조하세요.

디바이스 제어 프로필과 함께 재사용 가능한 설정 그룹을 사용하는 경우 해당 그룹의 설정을 사용하는 방법을 정의하도록 작업을 구성합니다.

프로필에 추가하는 각 규칙에는 재사용 가능한 설정 그룹과 규칙에 직접 추가된 개별 설정이 모두 포함될 수 있습니다. 그러나 재사용 가능한 설정 그룹에 대해 각 규칙을 사용하거나 규칙에 직접 추가하는 설정을 관리하는 것이 좋습니다. 이러한 분리는 향후 구성 또는 변경 내용을 간소화하는 데 도움이 될 수 있습니다.

재사용 가능한 그룹을 구성한 다음 이 프로필에 추가하는 방법에 대한 지침은 Intune 정책에서 재사용 가능한 설정 그룹 사용을 참조하세요.

공격 표면 감소 규칙에 대한 제외

Intune은 공격 표면 감소 규칙에 따라 평가에서 특정 파일 및 폴더 경로를 제외하기 위해 다음 두 가지 설정을 지원합니다.

전역: 공격 표면 축소 전용 제외를 사용합니다.

디바이스에 공격 표면 감소만 제외를 구성하는 하나 이상의 정책이 할당되면 구성된 제외는 해당 디바이스를 대상으로 하는 모든 공격 표면 감소 규칙에 적용됩니다. 이 동작은 디바이스가 적용 가능한 모든 정책에서 공격 표면 감소 규칙 설정의 상위 집합을 수신하고 개별 설정에 대해 설정 제외를 관리할 수 없기 때문에 발생합니다. 디바이스의 모든 설정에 제외를 적용하지 않으려면 이 설정을 사용하지 마세요. 대신 개별 설정에 대한 ASR 전용 규칙 제외를 구성합니다 .

자세한 내용은 Defender CSP: Defender/AttackSurfaceReductionOnlyExclusions에 대한 설명서를 참조하세요.
개별 설정: 규칙 제외당 ASR만 사용

$ASR 전용 \Per Rule Exclusions 설정의 화면 캡처$

공격 표면 감소 규칙 프로필에서 적용 가능한 설정을 구성되지 않음 이외의 다른 설정으로 설정하면 Intune은 해당 개별 설정에 대해 ASR 전용 규칙 제외를 사용하는 옵션을 제공합니다. 이 옵션을 사용하면 개별 설정으로 격리된 파일 및 폴더 제외를 구성할 수 있습니다. 이는 디바이스의 모든 설정에 제외를 적용하는 전역 설정 공격 표면 축소 전용 제외 를 사용하는 것과는 대조적입니다.

기본적으로 ASR만 규칙 제외는구성되지 않음으로 설정됩니다.

중요

ASR 정책은 ASR 전용 규칙 제외 에 대한 병합 기능을 지원하지 않으며, 동일한 디바이스에 대해 ASR만 규칙 제외 를 구성하는 여러 정책이 충돌하는 경우 정책 충돌이 발생할 수 있습니다. 충돌을 방지하려면 ASR 규칙별 제외 에 대한 구성을 단일 ASR 정책으로 결합합니다. 향후 업데이트에서 ASR 전용 규칙 제외에 대한 정책 병합을 추가하는 방법을 조사하고 있습니다.

설정에 대한 정책 병합

정책 병합은 동일한 디바이스에 적용되는 여러 프로필이 서로 다른 값으로 동일한 설정을 구성하여 충돌을 발생시키는 경우 충돌을 방지하는 데 도움이 됩니다. 충돌을 방지하기 위해 Intune은 디바이스에 적용되는 각 프로필에서 적용 가능한 설정을 평가합니다. 그런 다음 이러한 설정은 단일 설정 상위 집합으로 병합됩니다.

공격 표면 감소 정책의 경우 다음 프로필은 정책 병합을 지원합니다.

디바이스 제어

디바이스 제어 프로필에 대한 정책 병합

디바이스 제어 프로필은 USB 디바이스 ID에 대한 정책 병합을 지원합니다. 디바이스 ID를 관리하고 정책 병합을 지원하는 프로필 설정은 다음과 같습니다.

디바이스 식별자에 의한 하드웨어 디바이스 설치 허용
디바이스 식별자에 의한 하드웨어 디바이스 설치 차단
설치 클래스를 통해 하드웨어 디바이스 설치 허용
설치 클래스를 사용하여 하드웨어 디바이스 설치 차단
디바이스 인스턴스 식별자별로 하드웨어 디바이스 설치 허용
디바이스 인스턴스 식별자에 의한 하드웨어 디바이스 설치 차단

정책 병합은 해당 특정 설정을 디바이스에 적용하는 여러 프로필에서 각 설정의 구성에 적용됩니다. 결과는 디바이스에 적용되는 지원되는 각 설정에 대한 단일 목록입니다. 예:

정책 병합은 디바이스에 적용되는 설정 클래스 를 통해 하드웨어 디바이스 설치 허용 의 각 인스턴스에 구성된 설정 클래스 목록을 평가합니다. 목록은 중복 설정 클래스가 제거되는 단일 허용 목록에 병합됩니다.

목록에서 중복 항목을 제거하여 일반적인 충돌 원인을 제거합니다. 결합된 허용 목록이 디바이스에 전달됩니다.

정책 병합은 다른 설정의 구성을 비교하거나 병합하지 않습니다. 예:

설치 클래스에 의한 하드웨어 디바이스 설치 허용의 여러 목록이 단일 목록에 병합된 첫 번째 예제에서 확장하면 동일한 디바이스에 적용되는 설치 클래스를 통해 하드웨어 디바이스 설치 차단의 여러 인스턴스가 있습니다. 모든 관련 차단 목록은 디바이스에 배포되는 디바이스의 단일 차단 목록에 병합됩니다.
- 설치 클래스에 대한 허용 목록은 설정 클래스의 차단 목록과 비교되거나 병합되지 않습니다.
- 대신 디바이스는 두 가지 고유 설정에서 두 목록을 모두 받습니다. 그런 다음, 디바이스는 설치 클래스에 의해 설치에 가장 제한적인 설정을 적용합니다.
이 예제에서는 차단 목록에 정의된 설치 클래스가 허용 목록에 있는 경우 동일한 설치 클래스를 재정의합니다. 그 결과 디바이스에서 설정 클래스가 차단됩니다.

다음 단계

엔드포인트 보안 정책을 구성합니다.

공격 표면 감소 프로필의 프로필에서 설정에 대한 세부 정보를 봅니다.

다음을 통해 공유