이 문서에서는 Microsoft Office 매크로 설정을 구성하기 위한 Essential Eight 완화 전략을 충족하는 IT 관리자를 안내합니다. 개요된 컨트롤은 Essential Eight Maturity Level 3의 의도에 맞춰집니다.
권장 정책을 적용하여 Microsoft 365 앱 사용자 애플리케이션 강화에 대한 특정 컨트롤을 충족합니다.
참고
신뢰할 수 있는 위치에서 Office 매크로 실행을 사용하도록 설정하는 방법은 이 문서의 scope 밖에 있습니다. 대신 신뢰할 수 있는 게시자를 사용하는 것이 좋습니다.
참조
ACSC(오스트레일리아 사이버 보안 센터)는 Microsoft 365 앱 강화와 매크로 구성을 위한 권장 정책에 대한 여러 지침 문서를 제공합니다. 이 문서의 모든 정책은 다음 참조를 기반으로 합니다.
엔터프라이즈용 Microsoft 365 앱 배포 & 엔터프라이즈용 Microsoft 365 앱 대한 ACSC 강화 지침
Intune 정책 집합이라는 기능이 있습니다. 정책 집합은 애플리케이션, 구성 정책 및 기타 개체를 배포 가능한 단일 엔터티로 결합하는 기능을 제공합니다. 엔터프라이즈용 Microsoft 365 앱 배포에는 항상 권장되는 ACSC Office 강화 정책이 수반되어야 합니다. 이렇게 하면 Office 앱 제품군의 모든 사용자에게 적절한 ACSC Office 강화 정책이 적용됩니다.
구현 세부 정보
정책 집합을 적용하려면 관리자가 다음 세 단계를 완료해야 합니다.
원하는 사용자를 대상으로 하는 정책 만들기
ACSC 강화 지침 정책 가져오기
Microsoft 365 앱 및 ACSC 강화 지침 정책을 결합한 정책 집합 만들기
1단계: 원하는 사용자를 대상으로 하는 정책을 만들려면
Office 앱 및 Office 강화 정책을 대상으로 하는 사용자를 포함하는 데 사용할 정책을 만듭니다. 이 문서의 나머지 부분에 대해 이 그룹을 모든 Office 사용자라고 합니다.
앱 > Windows > 추가 >Microsoft 365 앱 아래에서 Windows 10 이상 앱에 대한 Microsoft 365 앱 만듭니다.
3단계: Microsoft 365 앱 및 ACSC 강화 지침 정책을 결합한 정책 집합 만들기
디바이스 > 정책 집합 > 만들기로 이동합니다.
애플리케이션 관리 > 앱에서 Microsoft 365 앱(Windows 10 이상용)(1단계에서 생성됨)을 선택합니다.
장치 관리 > 디바이스 구성 프로필에서 ACSC Office 강화(2단계에서 생성됨)를 선택합니다.
할당에서 모든 Office 사용자 (1단계에서 생성됨)를 선택합니다.
엔드포인트 보안 공격 Surface 축소 정책을 가져옵니다.
그래프 Explorer 이동하여 인증합니다.
공격 표면 감소 정책 엔드포인트 https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance에 대한 베타 스키마를 사용하여 POST 요청을 만듭니다.
이 ASR(공격 표면 감소) 정책은 감사 모드에서 ACSC에서 권장하는 각 ASR 규칙을 구성합니다. 적용하기 전에 모든 환경에서 호환성 문제에 대해 ASR 규칙을 테스트해야 합니다.
이 시점까지 문서를 따라 다음과 같은 추가 완화가 수행됩니다.
ISM 컨트롤 2024년 9월
제어
측정
1488
인터넷에서 시작된 파일의 Microsoft Office 매크로는 차단됩니다.
각 Office 애플리케이션에 대해ACSC Office 강화 정책을 통해 다음 정책이 구성되었습니다. 인터넷에서 Office 파일에서 매크로가 실행되지 않도록 차단: 사용
1675
신뢰할 수 없는 게시자가 디지털 서명한 Microsoft Office 매크로는 메시지 표시줄 또는 Backstage 보기를 통해 사용할 수 없습니다.
각 Office 애플리케이션에 대해 ACSC Office 강화 정책을 통해 다음 정책이 구성되었습니다. 서명되지 않은 애플리케이션에 대한 신뢰 표시줄 알림 사용 안 함: 사용
1672
Microsoft Office 매크로 바이러스 백신 검사가 사용됩니다.
ACSC Office 강화 지침 정책을 통해 다음 정책이 구성되었습니다. 강제 런타임 AV 검사: 사용 매크로 런타임 검사 범위: 모든 문서에 대해 사용
참고: 디바이스에서 Windows Defender를 실행해야 합니다.
1673
Microsoft Office 매크로는 Win32 API 호출이 차단됩니다.
ASR 정책을 통해 다음 공격 표면 감소 규칙이 구성되었습니다. Office 매크로에서 Win32 API 호출 차단(92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
매크로 실행 제어
매크로를 차단하는 정책은 정책 집합에 포함되지 않습니다. 이를 통해 매크로를 실행해야 하는 비즈니스 요구 사항이 입증된 사용자 그룹을 선택적으로 제외할 수 있습니다. 입증된 필요가 없는 다른 모든 사용자는 매크로 실행이 차단됩니다.
구현 세부 정보
신뢰할 수 있는 게시자가 서명한 매크로를 실행할 수 있는 이후 단계를 용이하게 하려면 새 그룹을 만들어야 합니다. 이 그룹은 충돌을 방지하기 위해 다른 Office 매크로 정책에서 제외되며 신뢰할 수 있는 게시자가 서명한 매크로를 실행할 수 있습니다. 다른 모든 사용자는 모든 매크로 실행을 사용하지 않도록 설정하는 정책의 대상이 됩니다.
신뢰할 수 있는 게시자가 서명한 매크로만 허용하려면 다음을 수행합니다.
신뢰할 수 있는 게시자가 서명한 경우 Office 매크로를 실행할 수 있는 사용자가 포함된 그룹을 만듭니다. 이 그룹을 매크로 실행 허용 - 신뢰할 수 있는 게시자라고 합니다.
정책 이름을 지정하고 정책 파일에서 파일 찾아보기를 선택하고 저장된 정책(2단계)으로 이동합니다.
저장을 선택합니다.
이 문서의 시작 부분에 만들어진 모든 Office 사용자에게 모든 매크로 사용 안 함 정책을 할당합니다.
매크로 실행 허용 - 신뢰할 수 있는 게시자 그룹(1단계에서)을 제외합니다.
이 시점까지 문서에 따라 다음과 같은 추가 완화가 이루어졌습니다.
ISM 컨트롤 2024년 9월
제어
측정
1671
입증된 비즈니스 요구 사항이 없는 사용자는 Microsoft Office 매크로를 사용할 수 없습니다.
기본적으로 모든 Office 사용자는 매크로 실행을 차단하는 정책을 대상으로 합니다(정책은 Office 애플리케이션마다 다릅니다). Office 애플리케이션용 VBA 사용 안 함: 사용
1489
Microsoft Office 매크로 보안 설정은 사용자가 변경할 수 없습니다.
Intune 통해 구성되고 배포된 정책은 표준 사용자가 변경할 수 없습니다. Office를 강화하고 매크로를 사용하지 않도록 설정하는 정책은 최종 사용자가 변경할 수 없습니다.
매크로 차단 정책에서 제외된 사용자가 신뢰할 수 있는 게시자의 매크로 실행만 허용하는 정책의 대상이 되도록 합니다.
신뢰할 수 있는 게시자
표준 사용자의 경우 신뢰할 수 있는 위치에서 매크로를 실행할 수 있도록 허용하는 대신 가능하면 신뢰할 수 있는 게시자를 사용하는 것이 좋습니다. 신뢰할 수 있는 위치를 사용하려면 신뢰할 수 있는 위치에 배치되기 전에 각 매크로를 철저히 검사해야 합니다. 신뢰할 수 있는 게시자를 사용하는 이유는 신뢰할 수 있는 게시자를 선택하면 제품 보안에 대한 의지가 입증되어 위치 또는 웹 사이트에 비해 매크로를 사용할 위험이 줄어들기 때문입니다.
이전 단계에서 매크로를 차단하는 정책에서 제외된 사용자는 매크로 실행을 큐레이팅된 신뢰할 수 있는 게시자 목록으로 제한하는 정책을 대상으로 합니다.
Microsoft Office 매크로는 디지털 서명되거나 신뢰할 수 있는 위치 내에 배치되기 전에 악성 코드가 없는지 확인합니다.
ACSC Office 강화 지침을 구현하면 매크로는 실행 전에 Microsoft Defender 검사됩니다(위의 ISM-1672 모임 참조). 매크로에 서명하기 전에 관리자는 연결이 끊긴 디바이스에서 매크로를 실행해야 합니다(ACSC Office 강화 정책이 적용됨). 매크로의 안전성을 결정하는 데 전념해야 합니다.
타사 도구도 사용할 수 있으며 제출된 매크로에 대한 자동 검사 및 서명을 제공할 수 있습니다.
동일한 정책에서 여러 게시자를 묶는 대신 각 신뢰할 수 있는 게시자에 대한 새 정책을 만듭니다. 이렇게 하면 배포된 신뢰할 수 있는 게시자의 식별이 간소화되고 더 이상 필요하지 않은 신뢰할 수 있는 게시자를 쉽게 제거할 수 있습니다. 동일한 그룹에 신뢰할 수 있는 게시자 인증서 정책을 배포합니다. 매크로 실행 허용 – 신뢰할 수 있는 게시자.
참고
매크로에 서명할 때 더 안전한 버전의 VBS 프로젝트 서명 체계인 V3 서명을 사용합니다.
신뢰할 수 있는 게시자가 서명한 매크로의 실행만 허용하면 다음과 같은 추가 완화 방법이 충족됩니다.
ISM 컨트롤 2024년 9월
제어
측정
1674
샌드박스가 설치된 환경, 신뢰할 수 있는 위치 또는 신뢰할 수 있는 게시자가 디지털 서명한 Microsoft Office 매크로만 실행할 수 있습니다.
각 Office 앱에 대해 신뢰할 수 있는 게시자에 대해 매크로 사용 정책을 통해 다음 설정이 구성되었습니다. 디지털 서명된 매크로를 제외한 모든 매크로 사용 안 함: 사용
1487
Microsoft Office 매크로에 악성 코드가 없는지 확인하는 권한 있는 사용자만 신뢰할 수 있는 위치 내의 콘텐츠에 쓰고 수정할 수 있습니다.
해당 없음 신뢰할 수 있는 게시자가 서명한 매크로만 선택한 사용자에 대해 실행할 수 있습니다.
1890
Microsoft Office 매크로는 디지털 서명되거나 신뢰할 수 있는 위치 내에 배치되기 전에 악성 코드가 없는지 확인합니다.
관리자는 ACSC Office 강화 정책이 적용된 디바이스에서 매크로를 시작합니다. 이 정책은 프로덕션 환경과 연결이 끊어지고 서명하기 전에 매크로의 안전성을 결정하기 위해 전용으로 사용됩니다.
Office 매크로 실행 로깅
엔드포인트용 Microsoft Defender(MDE)은 Microsoft의 강력한 클라우드 서비스를 사용하여 빌드된 다음과 같은 기술 조합을 사용합니다.
엔드포인트 동작 센서: Windows에 포함된 이러한 센서는 운영 체제에서 동작 신호를 수집하고 처리하며 이 센서 데이터를 엔드포인트용 Microsoft Defender 프라이빗, 격리된 클라우드 instance 보냅니다.
클라우드 보안 분석: Windows 에코시스템, 엔터프라이즈 클라우드 제품(예: Office 365) 및 온라인 자산에서 빅 데이터, 디바이스 학습 및 고유한 Microsoft 광학을 사용하여 동작 신호는 고급 위협에 대한 인사이트, 검색 및 권장 응답으로 변환됩니다.
위협 인텔리전스: Microsoft 헌터, 보안 팀에서 생성하고 파트너가 제공하는 위협 인텔리전스에 의해 보강된 위협 인텔리전스를 통해 엔드포인트용 Defender는 공격자 도구, 기술 및 절차를 식별하고 수집된 센서 데이터에서 관찰될 때 경고를 생성할 수 있습니다.
MDE 사용하여 엔드포인트에서 로그를 가져오고 유지한 다음, 사이버 보안 이벤트를 탐지하는 데 사용할 수 있습니다.
Microsoft Intune MDE 통합하면 Intune 관리되는 디바이스에 대한 MDE 쉽게 온보딩할 수 있습니다.
구현 세부 정보 – 엔드포인트를 엔드포인트용 Microsoft Defender 온보딩
템플릿 엔드포인트용 Microsoft Defender 형식으로 새 Windows 구성 프로필 만들기(Windows 10 이상 실행 중인 데스크톱 디바이스)>
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.