영어로 읽기

다음을 통해 공유


Essential Eight 사용자 애플리케이션 강화

악의적 사용자는 중요한 정보를 추출하기 위해 악의적인 웹 사이트, 이메일 또는 이동식 미디어를 사용하여 워크스테이션을 대상으로 하는 경우가 많습니다. 워크스테이션에서 애플리케이션을 강화하는 것은 이러한 위험을 줄이는 데 중요한 부분입니다. 그 효과로 인해 사용자 앱 강화는 ACSC의 사이버 보안 인시던트 완화 전략의 필수 8 중 하나입니다.

악의적 사용자는 지원되지 않는 이전 버전의 애플리케이션에서 발견된 취약성을 악용하려고 자주 시도합니다. 최신 버전의 Microsoft 제품은 보안 기능, 기능을 크게 향상시키고 향상된 안정성을 제공합니다. 악의적 사용자가 이전 버전의 애플리케이션을 쉽게 손상할 수 있도록 하는 향상된 보안 기능이 없는 경우가 많습니다. 이러한 위험을 줄이려면 지원되는 최신 버전의 Microsoft 제품을 사용해야 합니다.

리소스 및 참조

참조의 용이성을 위해 Intune 연결된 컨트롤에 대해 다음 정책을 배포해야 합니다.

  • OfficeMacroHardening-PreventActivationofOLE.ps1
  • UserApplicationHardening-RemoveFeatures.ps1
    • 이 PowerShell 스크립트는 다음 컨트롤을 충족하는 데 사용됩니다.
      • 인터넷 Explorer 사용하지 않도록 설정되거나 제거되었습니다.
      • .NET Framework 3.5(.NET 2.0 및 3.0 포함)는 사용하지 않도록 설정되거나 제거됩니다.
      • Windows PowerShell 2.0은 사용하지 않도록 설정되거나 제거됩니다.
  • ACSC Microsoft Edge 강화 지침
    • 이 Intune 디바이스 구성 프로필은 다음 컨트롤을 충족하는 데 사용됩니다.
      • 웹 브라우저는 인터넷에서 웹 광고를 처리하지 않습니다.
      • 웹 브라우저에 대한 ACSC 또는 공급업체 강화 지침이 구현됩니다.
  • ACSC Windows 강화 지침 – 공격 표면 감소 규칙
    • 이 Intune 엔드포인트 보안 공격 표면 감소 규칙 프로필은 다음 컨트롤을 충족하는 데 사용됩니다.
      • Microsoft Office가 자식 프로세스를 만들지 못하도록 차단됩니다.
      • Microsoft Office에서 실행 파일 콘텐츠를 만들 수 없습니다.
      • Microsoft Office가 다른 프로세스에 코드를 삽입하지 못하도록 차단됩니다.

웹 브라우저가 인터넷에서 Java를 처리하지 않음

Java는 기본적으로 Windows 10 또는 Windows 11 설치되지 않습니다.

ISM 컨트롤 2024년 9월 완화
1486 Java는 기본적으로 Windows 10 또는 Windows 11 설치되지 않습니다.

웹 브라우저는 인터넷에서 웹 광고를 처리하지 않습니다.

Microsoft Edge에서 보급 알림을 사용하지 않도록 설정하는 데 사용할 수 있는 모든 구성 옵션은 Microsoft Edge용 Microsoft Edge 보안 기준 및 ACSC 강화를 배포할 때 구성됩니다.

Microsoft Edge용 타사 확장, 게이트웨이에서 네트워크 필터링 또는 보호된 DNS 서비스 사용을 사용하여 더 많은 차단을 수행할 수 있습니다. 그러나 이러한 항목을 구현하는 것은 이 문서의 scope 바깥에 있습니다.

ISM 컨트롤 2024년 9월 완화
1485 '침입 광고가 있는 사이트에 대한 광고 설정' 정책이 사용으로 구성되었습니다.

인터넷 Explorer 11이 비활성화되거나 제거됨

인터넷 Explorer 11은 Windows 11 없습니다.

2022년 6월 15일에 Microsoft는 인터넷 Explorer 11을 사용 중지했습니다. 레거시 호환성을 위해 인터넷 Explorer 여전히 필요한 organization 경우 Microsoft Edge의 IE 모드(인터넷 Explorer 모드)는 원활한 단일 브라우저 환경을 제공합니다. 사용자는 인터넷 Explorer 11로 다시 전환하지 않고도 Microsoft Edge 내에서 레거시 애플리케이션에 액세스할 수 있습니다.

관리자가 IE 모드를 구성한 후 조직은 독립 실행형 브라우저로 인터넷 Explorer 11을 사용하지 않도록 설정할 수 있습니다. 시작 메뉴와 작업 표시줄의 인터넷 Explorer 11개 아이콘이 제거됩니다. 사용자는 인터넷 Explorer 11을 사용하는 바로 가기 또는 파일 연결을 시작하거나 iexplore.exe 이진 파일을 직접 호출할 때 Microsoft Edge로 리디렉션됩니다.

특정 웹 사이트에 대해 Microsoft Edge 내에서 직접 열리도록 인터넷 Explorer 구성하려면 IE 모드 정책을 구성합니다. 자세한 내용은 IE 모드 정책 구성을 참조하세요.

인터넷 Explorer 11을 사용하지 않도록 설정하기 위한 구현 세부 정보

Intune 사용하여 Windows 10 디바이스에 대한 독립 실행형 브라우저로 인터넷 Explorer 11을 사용하지 않도록 설정하려면 다음을 수행합니다.

  1. 새 설정 카탈로그 정책을 만듭니다.
  2. 범주별로 찾아보고 검색: 독립 실행형 브라우저(사용자)로 인터넷 Explorer 11을 사용하지 않도록 설정합니다.
  3. *관리 템플릿\Windows 구성 요소\인터넷 Explorer 이동하여 독립 실행형 브라우저로 인터넷 Explorer 11 사용 안 함(사용자) 설정을 선택합니다.
  4. 독립 실행형 브라우저(사용자)로 인터넷 Explorer 11 사용 안 함 설정을 사용하도록 설정합니다.
  5. 디바이스 또는 사용자 집합에 정책을 배포합니다.

또한 인터넷 Explorer 11을 완전히 제거하려면 다음을 수행합니다.

  1. 다음 옵션을 사용하여UserApplicationHardening-RemoveFeatures.ps1PowerShell 스크립트로 추가합니다.
  • 로그온한 자격 증명을 사용하여 이 스크립트 실행: 아니요
  • 스크립트 서명 검사 적용: 아니요
  • 64비트 PowerShell 호스트에서 스크립트 실행: 아니요
  1. 배포 그룹에 스크립트를 할당합니다.

참고

또한 이 스크립트는 .NET Framework 3.5(.NET 2.0 및 3.0 포함) 및Windows PowerShell 2.0을 사용하지 않도록 설정합니다.

ISM 컨트롤 2024년 9월 완화
1666 '엔터프라이즈 모드 사이트 목록 구성' 정책은 organization 특정 웹 사이트 목록으로 구성됩니다. 인터넷 Explorer 11은 사용으로 구성되거나 스크립트를 사용하여 제거된 '독립 실행형 브라우저로 인터넷 Explorer 11 사용 안 함' 정책에 의해 제거되었습니다.

Microsoft Office가 자식 프로세스를 만들지 못하도록 차단됨

microsoft Office에서 자식 프로세스를 만들지 못하도록 차단하는 작업은 Intune 통해 배포된 ASR(공격 표면 감소) 엔드포인트 보안 정책을 통해 수행할 수 있습니다.

Microsoft는 GitHub에서 ACSC Windows 강화 지침의 Intune 구현을 제공했습니다. Microsoft Office에서 자식 프로세스를 만들지 못하도록 차단하는 ASR 규칙은 이 지침에 포함되어 있습니다.

자식 프로세스 생성을 차단하기 위한 구현 세부 정보

자식 프로세스의 차단 생성을 구현하려면 다음을 수행합니다.

  1. 그래프 Explorer 이동하여 인증합니다.
  2. 공격 표면 감소 정책 엔드포인트https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance대한 베타 스키마를 사용하여 POST 요청을 만듭니다.
  3. ACSC Windows 강화 Guidelines-Attack Surface 축소 정책에서 JSON을 복사하여 요청 본문에 붙여넣습니다.
  4. (선택 사항) 필요한 경우 이름 값을 수정합니다.

이 ASR 엔드포인트 보안 정책에는 특정 ASR 규칙이 포함되어 있습니다. 모든 Office 애플리케이션이 자식 프로세스를 만들지 못하도록 차단합니다(D4F940AB-401B-4EFC-AADC-AD5F3C50688A).

참고

이 ASR 규칙 프로필을 가져오면 Microsoft Office에서 실행 파일 콘텐츠(3B576869-A4EC-4529-8536-B80A7769E899)를 만들고 다른 프로세스에 코드를 삽입할 수 없습니다(75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).

참고

이 ASR(공격 표면 감소) 정책은 감사 모드에서 ACSC에서 권장하는 각 ASR 규칙을 구성합니다. 적용하기 전에 모든 환경에서 호환성 문제에 대해 ASR 규칙을 테스트해야 합니다.

ISM 컨트롤 2024년 9월 완화
1667 ASR 규칙 '모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단'이 사용하도록 설정되었습니다.

Microsoft Office에서 실행 파일 콘텐츠 만들기가 차단됨

Microsoft Office에서 자식 프로세스를 만들지 못하도록 차단(3B576869-A4EC-4529-8536-B80A7769E899)은 Intune 통해 배포된 ASR(공격 표면 감소) 엔드포인트 보안 정책을 통해 수행할 수 있습니다.

ISM 컨트롤 2024년 9월 완화
1668 ASR 규칙 'Office 응용 프로그램이 실행 가능한 콘텐츠를 만들지 못하도록 차단'이 사용하도록 설정되었습니다.

Microsoft Office가 다른 프로세스에 코드를 삽입하지 못하도록 차단됨

Microsoft Office에서 자식 프로세스를 만들지 못하도록 차단(75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)은 Intune 통해 배포된 ASR(공격 표면 감소) 엔드포인트 보안 정책을 통해 수행할 수 있습니다.

ISM 컨트롤 2024년 9월 완화
1669 ASR 규칙 'Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단'이 사용하도록 설정되었습니다.

Microsoft Office는 OLE 패키지의 정품 인증을 방지하도록 구성되었습니다.

OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell 스크립트를 배포하여 Excel, PowerPoint 및 Word OLE 패키지의 활성화를 차단하는 레지스트리 키를 가져옵니다.

OLE 패키지의 활성화를 방지하기 위한 구현 세부 정보

OLE 패키지의 활성화 방지를 구현하려면 다음을 수행합니다.

  1. 다음 옵션을 사용하여OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell 스크립트로 추가합니다.
  • 로그온한 자격 증명을 사용하여 이 스크립트를 실행 합니다. 예
  • 스크립트 서명 검사 적용: 아니요
  • 64비트 PowerShell 호스트에서 스크립트 실행: 아니요
  1. 배포 그룹에 스크립트를 할당합니다.

참고

이 PowerShell 스크립트는 특히 Office 2016 이상용입니다. Office 2013용 OLE 정품 인증을 방지하는 스크립트는 OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1에서 제공됩니다.

스크립트가 서명되지 않았습니다. 스크립트 서명이 필요한 경우 다음 설명서를 검토하여 Windows 디바이스에서 스크립트를 실행할 수 있도록 스크립트에 서명합니다. 스크립트 서명 방법스크립트 서명 적용 검사 예로 변경합니다.

ISM 컨트롤 2024년 9월 완화
1542 스크립트를 통해 OLE 패키지의 활성화가 방지되었습니다.

PDF 소프트웨어가 자식 프로세스를 만들지 못하도록 차단됨

Microsoft Edge는 Windows 10 및 Windows 11 기본 PDF 뷰어로 구성됩니다. 웹 브라우저에 대한 ACSC 또는 공급업체 강화 지침에 포함된 정책으로 PDF 보기를 더욱 강화할 수 있습니다.

또는 organization Adobe Reader를 기본 PDF 소프트웨어로 사용하는 경우 다음 단계를 사용하여 Adobe Reader가 자식 프로세스를 만들지 못하도록 차단하는 적절한 공격 표면 감소 규칙을 구성합니다.

  1. Intune 엔드포인트 보안>공격 표면 감소로 이동합니다.
  2. 새 공격 표면 감소 엔드포인트 보안 정책을 만들거나 수정합니다.
  3. Adobe Reader 차단에서 자식 프로세스 만들기를 사용으로 설정합니다.
  4. 공격 표면 감소 규칙 정책을 그룹에 할당합니다.
ISM 컨트롤 2024년 9월 완화
1670 ASR 규칙 'Adobe Reader가 자식 프로세스를 만들지 못하도록 차단'이 사용하도록 설정되었습니다.

웹 브라우저, Microsoft Office 및 PDF 소프트웨어에 대한 강화 지침

Microsoft Edge를 사용하는 웹 브라우저 및 PDF 소프트웨어

Microsoft Edge는 기본적으로 Windows 10 및 Windows 11 설치되며 권장되는 웹 브라우저입니다. Microsoft Edge는 달리 구성되지 않는 한 기본 브라우저 및 PDF 뷰어입니다.

Microsoft 및 ACSC는 Microsoft Edge를 강화하기 위한 지침 및 특정 정책을 제공했습니다. 두 지침 집합을 동시에 배포해야 합니다.

Microsoft Edge 보안 기준을 사용한 구현 세부 정보

보안 기준을 구현하려면 다음을 수행합니다.

  1. 엔드포인트 보안 보안>기준>Microsoft Edge 기준으로 이동합니다.
  2. 프로필 만들기를 선택하여 새 Microsoft Edge 기준을 만듭니다.
  3. 구성을 검토하고 보안 기준을 그룹에 할당합니다.

Microsoft Edge 강화 지침에 대한 구현 세부 정보

강화 지침을 구현하려면 다음을 수행합니다.

  1. ACSC Microsoft Edge 강화 지침 정책을 로컬 디바이스에 저장합니다.
  2. Microsoft Intune 콘솔로 이동합니다.
  3. 디바이스 > Windows > 구성 프로필 > 에서 정책 가져오기 가져오기 정책 만들기 >
  4. 정책 이름을 지정하고 정책 파일에서 파일 찾아보기를 선택하고 1단계에서 저장된 정책으로 이동합니다.
  5. 저장을 선택합니다.

참고

Microsoft는 또한 조직이 호주 ACSC(사이버 보안 센터) Windows 10 강화 지침을 준수하는 데 도움이 되는 Intune 정책을 발표했습니다. Microsoft Edge에 대한 ACSC 권장 강화 정책도 이러한 정책에 포함되어 있습니다.

ISM 컨트롤 2024년 9월 완화
1412, 1860 - Microsoft Edge 보안 기준 배포
- ACSC Microsoft Edge 강화 지침을 배포합니다.

Microsoft Office: 엔터프라이즈용 Microsoft Apps

엔터프라이즈용 Microsoft Apps 필수 8 Microsoft Office 매크로 설정 구성의 일부로 ACSC에서 Microsoft 365, Office 2021, Office 2019 및 Office 2016을 강화하기 위한 권장 설정으로 강화되었습니다.

ISM 컨트롤 2024년 9월 완화
1859 ACSC Office 강화 지침을 배포합니다.

사용자가 웹 브라우저, Microsoft Office 및 PDF 소프트웨어 보안 설정을 변경할 수 없습니다.

이 문서에 제공된 정책이 Intune 통해 배포되는 경우 정책에 포함된 설정이 적용되며 표준 사용자가 변경할 수 없습니다.

ISM 컨트롤 2024년 9월 완화
1585 이 문서에 제공된 정책이 Intune 통해 배포되는 경우 정책에 포함된 설정이 적용되며 표준 사용자가 변경할 수 없습니다.

.NET Framework 3.5(.NET 2.0 및 3.0 포함)가 사용하지 않도록 설정되거나 제거됨

UserApplicationHardening-RemoveFeatures.ps1 PowerShell 스크립트를 배포하면 설치된 경우 .NET Framework 3.5(.NET 2.0 및 3.0 포함) 기능이 꺼집니다.

ISM 컨트롤 2024년 9월 완화
ISM-1655 .NET Framework 3.5(.NET 2.0 및 3.0 포함)는 사용하지 않도록 설정되거나 제거됩니다.

Windows PowerShell 2.0이 사용 안 함 또는 제거됨

UserApplicationHardening-RemoveFeatures.ps1 PowerShell 스크립트를 배포하면 설치된 경우 Windows PowerShell 2.0 기능이 꺼집니다.

ISM 컨트롤 2024년 9월 완화
1612 Windows PowerShell 2.0은 제공된 스크립트를 사용하여 사용하지 않도록 설정되거나 제거됩니다.

PowerShell이 제한된 언어 모드를 사용하도록 구성됨

제한된 언어 모드는 Essential Eight Application Control 완화 전략 문서의 일부로 사용하도록 설정됩니다.

차단된 PowerShell 스크립트 실행은 중앙에서 기록되고 무단 수정 및 삭제로부터 보호되며, 손상 징후를 모니터링하고, 사이버 보안 이벤트가 감지될 때 조치를 취합니다.

엔드포인트용 Microsoft Defender(MDE)을 사용하여 사이버 보안 이벤트를 탐지하는 데 사용할 수 있는 엔드포인트에서 로그를 가져오고 유지할 수 있습니다.

스크립트 실행은 엔드포인트용 Microsoft Defender 고급 헌팅에서 기본적으로 감사할 수 있습니다. 엔드포인트용 Microsoft Defender 고급 헌팅 기능은 제한된 언어 모드에서 실행되도록 적용된 차단된 스크립트 또는 스크립트에 대해 보고하는 이벤트 ID 8029를 포함하여 여러 Application Control 이벤트를 기록합니다.

또는 WDAC 이벤트의 이벤트 전달을 사용하여 타사 모니터링 솔루션에서 모니터링할 수 있습니다.

참조:

Application Control 이벤트 ID 이해(Windows) - Windows 보안 | 고급 헌팅(Windows)을 사용하여 애플리케이션 제어 이벤트 쿼리 - Windows 보안

Intune 사용하여 디바이스를 MDE 원활하게 온보딩할 수 있습니다.

명령줄 프로세스 만들기 이벤트는 중앙에서 기록됩니다.

차단된 PowerShell 스크립트 실행과 마찬가지로 디바이스가 엔드포인트용 Defender에 등록될 때 손상 표시의 전조인 명령줄 프로세스 생성 이벤트가 수집됩니다. 이벤트는 엔드포인트용 Defender 포털의 타임라인 아래 디바이스 페이지에서 볼 수 있습니다.

엔드포인트를 엔드포인트용 Microsoft Defender 온보딩하기 위한 구현 세부 정보

MDE 온보딩 엔드포인트를 구현하려면 다음을 수행합니다.

  1. 템플릿>엔드포인트용 Microsoft Defender(Windows 10 이상을 실행하는 데스크톱 디바이스)의 형식으로 새 Windows 구성 프로필을 만듭니다.
  2. Expedite 원격 분석 보고 빈도사용으로 설정합니다.
  3. 배포 그룹에 정책을 할당합니다.

디바이스가 MDE 온보딩되면 검토를 위해 PowerShell 실행이 캡처되고 필요한 경우 작업을 수행할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 디바이스에서 응답 작업 수행을 참조하세요.

ISM 컨트롤 2024년 9월 완화
1664, 1665, 1405 Application Control 이벤트 ID는 디바이스가 엔드포인트용 Defender에 등록될 때 엔드포인트용 Defender에 의해 캡처됩니다.
1899 디바이스가 엔드포인트용 Defender에 등록될 때 손상 표시의 전조인 명령줄 프로세스 생성 이벤트는 엔드포인트용 Defender에 의해 캡처됩니다.