ASR(공격 표면 감소) 규칙 및 제외 구성

  • 적용 대상: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

ASR(공격 표면 감소) 규칙은 공격자가 일반적으로 맬웨어를 통해 악용하는 Windows 디바이스의 위험한 소프트웨어 동작을 대상으로 합니다(예: 파일을 다운로드하는 스크립트 시작, 난독 처리된 스크립트 실행 및 다른 프로세스에 코드 삽입). 이 문서에서는 ASR 규칙을 사용하도록 설정하고 구성하는 방법을 설명합니다.

최상의 결과를 위해 Microsoft Intune 또는 Microsoft Configuration Manager 같은 엔터프라이즈 수준 관리 솔루션을 사용하여 ASR 규칙을 관리합니다. Intune 또는 구성 관리자 ASR 규칙 설정은 시작 시 그룹 정책 또는 PowerShell에서 충돌하는 설정을 덮어씁니다.

필수 구성 요소

자세한 내용은 ASR 규칙에 대한 요구 사항을 참조하세요.

Microsoft Intune ASR 규칙 구성

Microsoft Intune ASR 규칙 정책을 구성하고 디바이스에 배포하는 데 권장되는 도구입니다. Microsoft Intune 계획 1 필요합니다(Microsoft 365 E3 같은 구독에 포함되거나 독립 실행형 추가 기능으로 사용 가능).

Intune 엔드포인트 보안 정책은 ASR 규칙을 배포하는 데 권장되는 방법이지만, 다음 하위 섹션에 설명된 대로 다른 메서드도 Intune 사용할 수 있습니다.

엔드포인트 보안 정책을 사용하여 Intune ASR 규칙 및 제외 구성

Microsoft Intune 엔드포인트 보안 공격 노출 영역 축소 정책을 사용하여 ASR 규칙을 구성하려면 엔드포인트 보안 정책 만들기(Intune 설명서의 새 탭에서 열기)를 참조하세요. 정책을 만들 때 다음 설정을 사용합니다.

중요

엔드포인트용 Microsoft Defender 관리는 디바이스 개체만 지원합니다. 사용자를 대상으로 지정하는 것은 지원되지 않습니다. 사용자 그룹이 아닌 Microsoft Entra 디바이스 그룹에 정책을 할당합니다.

  • 정책 유형: 공격 표면 감소
  • 플랫폼: Windows
  • 프로필: 공격 표면 감소 규칙
  • 구성 설정:

    • 공격 표면 감소: 일반적으로 테스트 없이 차단 또는 경고 모드에서 표준 보호 규칙을 사용하도록 설정할 수 있습니다. 차단 또는경고 모드로 전환하기 전에 감사 모드에서 다른 ASR 규칙을 테스트해야 합니다. 자세한 내용은 ASR 규칙 배포 가이드를 참조하세요.

      규칙 모드를 감사, 차단 또는 경고로 설정한 후 규칙 제외당 ASR만 해당 규칙에 적용되는 제외를 지정할 수 있는 섹션이 나타납니다.

    • 공격 노출 영역 감소만 제외: 이 섹션을 사용하여 모든 ASR 규칙에 적용되는 제외를 지정합니다.

      ASR별 규칙 제외 또는 전역 ASR 규칙 제외를 지정하려면 다음 방법 중 하나를 사용합니다.

      • 추가를 선택합니다. 표시되는 상자에 제외할 경로 또는 경로 및 파일 이름을 입력합니다. 예시:

        • C:\folder
        • %ProgramFiles%\folder\file.exe C:\path

      • 가져오기를 선택하여 제외할 파일 및 폴더의 이름이 포함된 CSV 파일을 가져옵니다. CSV 파일은 다음 형식을 사용합니다.

        AttackSurfaceReductionOnlyExclusions
"C:\folder"
"%ProgramFiles%\folder\file.exe"
"C:\path"
...

        값 주위의 큰따옴표는 선택 사항이며, 값을 포함하면 무시됩니다(값에 사용되지 않음). 값 주위에 작은따옴표를 사용하지 마세요.

      제외에 대한 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

    • 제어된 폴더 액세스, 제어된 폴더 액세스 보호된 폴더제어된 폴더 액세스 허용 애플리케이션 사용: 자세한 내용은 제어된 폴더 액세스를 사용하여 중요한 폴더 보호를 참조하세요.

OMA-URIs 및 CSP에서 사용자 지정 프로필을 사용하여 Intune ASR 규칙 구성

엔드포인트 보안 정책을 권장하지만 CSP(Windows Policy 구성 서비스 공급자)를 사용하여 Open Mobile Alliance – OMA-URI(Uniform Resource) 프로필을 포함하는 사용자 지정 프로필을 사용하여 Intune ASR 규칙을 구성할 수도 있습니다.

Intune OMA-URIs 대한 일반적인 내용은 Intune 통해 CSP를 대상으로 하는 OMA-URIs 배포 및 온-프레미스 비교를 참조하세요.

  1. 의 Microsoft Intune 관리 센터에서 https://intune.microsoft.com디바이스 디바이스> 관리구성> 선택합니다. 또는 디바이스로 직접 이동하려면 | 구성 페이지에서 를 사용합니다 https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. 디바이스의 정책| 구성 페이지에서새 정책만들기>를 선택합니다.

    만들기가 선택된 Microsoft Intune 관리 센터의 디바이스 - 구성 페이지의 정책 탭 스크린샷

  3. 열리는 프로필 플라이아웃 만들기 에서 다음 설정을 구성합니다.

    • 플랫폼: Windows 10 이상을 선택합니다.
    • 프로필 유형: 템플릿을 선택합니다.
      • 표시되는 템플릿 이름 섹션에서 사용자 지정을 선택합니다.

    만들기를 선택합니다.

    Microsoft Intune 관리 센터 포털의 규칙 프로필 특성 스크린샷

  4. 사용자 지정 템플릿 마법사가 열립니다. 기본 사항 탭에서 다음 설정을 구성합니다.

    • 이름: 템플릿의 고유한 이름을 입력합니다.
    • 설명: 선택적 설명을 입력합니다.

    기본 탭을 마쳤으면 다음을 선택합니다.

  5. 구성 설정 탭에서 추가를 선택합니다.

    Microsoft Intune 관리 센터 포털의 구성 설정을 보여 주는 스크린샷

    열리는 행 플라이아웃 추가 에서 다음 설정을 구성합니다.

    • 이름: 규칙의 고유한 이름을 입력합니다.

    • 설명: 선택적 간단한 설명을 입력합니다.

    • OMA-URI: AttackSurfaceReductionRules CSP에서 디바이스 값을 입력합니다../Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

      • 데이터 형식: 문자열을 선택합니다.

      • : 다음 구문을 사용합니다.

        <RuleGuid1>=<ModeForRuleGuid1>
<RuleGuid2>=<ModeForRuleGuid2>
...
<RuleGuidN>=<ModeForRuleGuidN>
        • ASR 규칙에 대한 GUID 값은 ASR 규칙에서 사용할 수 있습니다.
        • 다음 규칙 모드를 사용할 수 있습니다.
          • 0: 꺼져 있습니다.
          • 1:블록
          • 2:감사
          • 5: 구성되지 않음
          • 6:경고

        예시:

        75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2
3b576869-a4ec-4529-8536-b80a7769e899=1
d4f940ab-401b-4efc-aadc-ad5f3c50688a=2
d3e037e1-3eb8-44c8-a917-57927947596d=1
5beb7efe-fd9a-4556-801d-275e5ffc04cc=0
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

      Microsoft Intune 관리 센터의 OMA URI 구성에 대한 구성 설정 탭의 행 추가 플라이아웃 스크린샷

      행 추가 플라이아웃을 마쳤으면 저장을 선택합니다.

      이 시점에서 제외에 대한 별도의 프로필을 만드는 대신 전역 ASR 규칙 제외를 사용자 지정 프로필에 추가할 수도 있습니다. 지침은 OMA-URIs 및 CSP와 함께 사용자 지정 프로필을 사용하여 Intune 전역 ASR 규칙 제외 구성의 다음 하위 섹션을 참조하세요.

    구성 설정 탭으로 돌아가서 다음을 선택합니다.

  6. 할당 탭에서 다음 설정을 구성 합니다 .

    • 포함된 그룹 섹션: 다음 옵션 중 하나를 선택합니다.
      • 그룹 추가: 포함할 그룹을 하나 이상 선택합니다.
      • 모든 사용자 추가
      • 모든 디바이스 추가
    • 제외된 그룹 섹션: 그룹 추가 를 선택하여 제외할 그룹을 지정합니다.

    할당 탭을 마쳤으면 다음 선택합니다.

    Microsoft Intune 관리 센터에서 OMA URI 구성의 할당 탭 스크린샷

  7. 적용 가능성 규칙 탭에서 다음을 선택합니다.

    OS 버전OS 버전 속성을 사용하여 프로필을 가져와야 하거나 가져와서는 안 되는 디바이스 유형을 정의할 수 있습니다.

    Microsoft Intune 관리 센터 포털의 적용 가능성 규칙입니다.

  8. 검토 + 만들기 탭에서 설정을 검토합니다. 이전을 사용하거나 탭을 선택하여 돌아가서 변경할 수 있습니다.

    프로필을 만들 준비가 되면 검토 + 만들기 탭에서 만들기를 선택합니다.

    Microsoft Intune 관리 센터 포털의 검토 및 만들기 탭을 보여 주는 스크린샷

디바이스의 정책 탭으로 즉시 돌아갑니다 . | 구성 페이지. 정책을 보려면 새로 고침 을 선택해야 할 수 있습니다.

ASR 규칙은 몇 분 내에 활성화됩니다.

OMA-URIs 및 CSP에서 사용자 지정 프로필을 사용하여 Intune 전역 ASR 규칙 제외 구성

사용자 지정 프로필을 사용하여 Intune 전역 ASR 규칙 제외를 구성하는 단계는 이전 섹션의 ASR 규칙 단계와 매우 유사합니다. 유일한 차이점은 ASR 규칙 예외에 대한 정보를 입력하는 5단계( 구성 설정 탭)입니다.

구성 설정 탭에서 추가를 선택합니다. 열리는 행 플라이아웃 추가 에서 다음 설정을 구성합니다.

  • 이름: 규칙의 고유한 이름을 입력합니다.
    • 설명: 선택적 간단한 설명을 입력합니다.
    • OMA-URI: AttackSurfaceReductionOnlyExclusions CSP에서 디바이스 값을 입력합니다../Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

      • 데이터 형식: 문자열을 선택합니다.

      • : 다음 구문을 사용합니다.

        <PathOrPathAndFilename1>
<PathOrPathAndFilename1>
...
<PathOrPathAndFilenameN>

        예시:

        C:\folder
%ProgramFiles%\folder\file.exe
C:\path

행 추가 플라이아웃을 마쳤으면 저장을 선택합니다.

구성 설정 탭으로 돌아가서 다음을 선택합니다.

나머지 단계는 ASR 규칙 구성과 동일합니다.

정책 CSP를 사용하여 MDM 솔루션에서 ASR 규칙 구성

CSP(정책 구성 서비스 공급자)를 사용하면 엔터프라이즈 조직에서 Microsoft Intune 아니라 MDM(모바일 디바이스 관리) 솔루션을 사용하여 Windows 디바이스에서 정책을 구성할 수 있습니다. 자세한 내용은 정책 CSP를 참조하세요.

다음 설정과 함께 AttackSurfaceReductionRules CSP를 사용하여 ASR 규칙을 구성할 수 있습니다.

OMA-URI 경로: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
: <RuleGuid1>=<ModeForRuleGuid1>|<RuleGuid2>=<ModeForRuleGuid2>|...<RuleGuidN>=<ModeForRuleGuidN>

  • ASR 규칙에 대한 GUID 값은 ASR 규칙에서 사용할 수 있습니다.
  • 다음 규칙 모드를 사용할 수 있습니다.
    • 0: 꺼져 있습니다.
    • 1:블록
    • 2:감사
    • 5: 구성되지 않음
    • 6:경고

예시:

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

참고

공백 없이 OMA-URI 값을 입력해야 합니다.

정책 CSP를 사용하여 MDM 솔루션에서 전역 ASR 규칙 제외 구성

정책 CSP를 사용하여 다음 설정과 함께 AttackSurfaceReductionOnlyExclusions CSP를 사용하여 전역 ASR 규칙 경로 및 경로 및 파일 이름 제외를 구성할 수 있습니다.

OMA-URI 경로: ./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
: <PathOrPathAndFilename1>=0|<PathOrPathAndFilename1>=0|...<PathOrPathAndFilenameN>=0

예를 들면 C:\folder|%ProgramFiles%\folder\file.exe|C:\path

Microsoft Configuration Manager ASR 규칙 및 전역 ASR 규칙 제외 구성

지침은 Exploit Guard 정책 만들기 및 배포의 공격 표면 감소 정보를 참조하세요.

경고

실제 적용 없이 준수로 표시된 서버 OS 버전에서 공격 표면 감소의 적용 가능성과 관련된 알려진 문제가 있습니다. 현재 이 문제가 해결될 때에 대해 정의된 릴리스 날짜가 없습니다.

중요

디바이스에서 로 설정된 true "관리자 병합 사용 안 함"을 사용하고 다음 도구/메서드를 사용하는 경우 규칙별 ASR 규칙 제외 또는 로컬 ASR 규칙 제외를 추가해도 적용되지 않습니다.

이 동작을 수정하려면 "관리자 병합 사용 안 함"을 로 변경해야 합니다 false.

그룹 정책에서 ASR 규칙 및 제외 구성

경고

Intune, Microsoft Configuration Manager 또는 기타 엔터프라이즈 수준 관리 소프트웨어를 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어는 시작 시 충돌하는 그룹 정책 설정을 덮어씁니다.

  1. 중앙 집중식 그룹 정책 그룹 정책 관리 컴퓨터에서 GPMC(그룹 정책 관리 콘솔)를 엽니다.

  2. GPMC 콘솔 트리에서 편집하려는 GPO가 포함된 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.

  3. GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  4. 그룹 정책 관리 편집기에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>Microsoft Defender Exploit Guard > 공격 표면 감소로 이동합니다.

  5. 공격 표면 감소의 세부 정보 창에서 사용 가능한 설정은 다음과 같습니다.

    ASR 규칙 설정을 열고 구성하려면 다음 방법 중 일부를 사용합니다.

    • 설정을 두 번 클릭합니다.
    • 설정을 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
    • 설정을 선택한 다음 작업편집> 선택합니다.

로컬 그룹 정책 편집기(gpedit.msc)를 사용하여 개별 디바이스에서 로컬로 그룹 정책 구성할 수도 있습니다. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>Microsoft Defender Exploit Guard>공격 표면 축소와 같은 경로로 이동합니다.

사용 가능한 설정은 다음 하위 섹션에서 설명합니다.

중요

그룹 정책의 ASR 규칙 관련 값에서는 따옴표, 선행 공백, 후행 공백 및 추가 문자가 지원되지 않습니다.

Windows 10 버전 2004(2020년 5월) 이전의 그룹 정책 경로는 Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신 사용할 수 있습니다. 두 이름 모두 동일한 정책 위치를 참조합니다.

그룹 정책에서 ASR 규칙 구성

  1. 공격 표면 감소의 세부 정보 창에서 공격 표면 감소 규칙 구성 설정을 엽니다.

  2. 열리는 설정 창에서 다음 옵션을 구성합니다.

    1. 사용하도록 설정을 선택합니다.
    2. 각 ASR 규칙의 상태를 설정합니다. 표시...를 선택합니다.

  3. 열리는 각 ASR 규칙의 상태 설정 대화 상자에서 다음 설정을 구성합니다.

    그룹 정책 공격 표면 감소 규칙 구성 스크린샷

    자세한 내용은 ASR 규칙 모드를 참조하세요.

    필요한 만큼 이 단계를 반복합니다. 완료되면 확인을 선택합니다.

그룹 정책에서 전역 ASR 규칙 제외 구성

지정한 경로가 있는 경로 또는 파일 이름은 모든 ASR 규칙에 대한 제외로 사용됩니다.

  1. 공격 표면 감소의 세부 정보 창에서 공격 표면 감소 규칙에서 파일 및 경로 제외 설정을 엽니다.

  2. 열리는 설정 창에서 다음 옵션을 구성합니다.

    1. 사용하도록 설정을 선택합니다.
    2. ASR 규칙 제외: 표시...를 선택합니다.

  3. 열리는 ASR 규칙에서 제외 대화 상자에서 다음 설정을 구성합니다.

    • 값 이름: 모든 ASR 규칙에서 제외할 경로 또는 경로 및 파일 이름을 입력합니다.
    • : 을 입력합니다 0.

    지원되는 값 이름은 다음과 같습니다.

    • 폴더의 모든 파일을 제외하려면 전체 폴더 경로를 입력합니다. 예를 들면 C:\Data\Test와 같습니다.
    • 특정 폴더에서 특정 파일을 제외하려면(권장) 경로 및 파일 이름을 입력합니다. 예를 들면 C:\Data\Test\test.exe와 같습니다.

    필요한 만큼 이 단계를 반복합니다. 완료되면 확인을 선택합니다.

그룹 정책에서 ASR별 규칙 제외 구성

지정한 경로가 있는 경로 또는 파일 이름은 특정 ASR 규칙에 대한 제외로 사용됩니다.

참고

GPMC에서 ASR(특정 공격 표면 감소) 규칙 설정에 제외 목록 적용을 사용할 수 없는 경우 Central Store관리 템플릿 파일 버전 24H2 이상이 필요합니다.

  1. 공격 표면 감소의 세부 정보 창에서 ASR(특정 공격 표면 감소) 규칙 설정에 제외 목록 적용을 엽니다.

  2. 열리는 설정 창에서 다음 옵션을 구성합니다.

    1. 사용하도록 설정을 선택합니다.
    2. 각 ASR 규칙에 대한 제외: 표시...를 선택합니다.

  3. 열리는 각 ASR 규칙에 대한 제외 대화 상자에서 다음 설정을 구성합니다.

    • 값 이름: ASR 규칙의 GUID 값을 입력합니다.
    • : ASR 규칙에 대해 하나 이상의 제외를 입력합니다. 구문을 Path1\ProcessName1>Path2\ProcessName2>...PathN\ProcessNameN사용합니다. 예를 들면 C:\Windows\Notepad.exe>c:\Windows\regedit.exe>C:\SomeFolder\test.exe와 같습니다.

    필요한 만큼 이 단계를 반복합니다. 완료되면 확인을 선택합니다.

PowerShell에서 ASR 규칙 구성

경고

Intune, 구성 관리자 또는 다른 엔터프라이즈 수준 관리 플랫폼을 사용하여 컴퓨터 및 디바이스를 관리하는 경우 관리 소프트웨어는 시작 시 충돌하는 PowerShell 설정을 덮어씁니다.

대상 디바이스에서 관리자 권한 PowerShell 세션에서 다음 PowerShell 명령 구문을 사용합니다( 관리자 권한으로 실행을 선택하여 연 PowerShell 창).

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionRules_Ids <RuleGuid1>,<RuleGuid2>,...<RuleGuidN> -AttackSurfaceReductionRules_Actions <ModeForRuleGuid1>,<ModeForRuleGuid2>,...<ModeForRuleGuidN>

  • Set-MpPreference는 기존 규칙과 해당 모드를 지정한 값으로 덮어씁니다. 기존 값 목록을 보려면 다음 명령을 실행합니다.

    $p = Get-MpPreference;0..([math]::Min($p.AttackSurfaceReductionRules_Ids.Count,$p.AttackSurfaceReductionRules_Actions.Count)-1) | % {[pscustomobject]@{Id=$p.AttackSurfaceReductionRules_Ids[$_];Action=$p.AttackSurfaceReductionRules_Actions[$_]}} | Format-Table -AutoSize

    기존 값에 영향을 주지 않고 새 규칙 및 해당 모드를 추가하려면 Add-MpPreference cmdlet을 사용합니다. 다른 기존 값에 영향을 주지 않고 지정된 규칙 및 해당 모드를 제거하려면 Remove-MpPreference cmdlet을 사용합니다. 명령 구문은 세 cmdlet에 대해 동일합니다.

  • ASR 규칙에 대한 GUID 값은 ASR 규칙에서 사용할 수 있습니다.

  • AttackSurfaceReductionRules_Actions 매개 변수의 유효한 값은 다음과 같습니다.

    • 0 또는 Disabled
    • 1 또는 Enabled (블록 모드)
    • 2또는 또는 AuditModeAudit
    • 5 또는 NotConfigured
    • 6 또는 Warn

다음 예제에서는 디바이스에서 지정된 ASR 규칙을 구성합니다.

  • 처음 두 규칙은 차단 모드에서 사용하도록 설정됩니다.
  • 세 번째 규칙은 사용하지 않도록 설정됩니다.
  • 마지막 규칙은 감사 모드에서 사용하도록 설정됩니다.
Set-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869,3b576869-a4ec-4529-8536-b80a7769e899,e6db77e5-3df2-4cf1-b95a-636979351e5,01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enabled,Enabled,Disabled,AuditMode

PowerShell에서 전역 ASR 규칙 제외 구성

대상 디바이스에서 관리자 권한 PowerShell 세션에서 다음 PowerShell 명령 구문을 사용합니다.

<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -AttackSurfaceReductionOnlyExclusions "<PathOrPathAndFilename1>","<PathOrPathAndFilename2>",..."<PathOrPathAndFilenameN>"

  • Set-MpPreference는 지정한 값으로 기존 ASR 규칙 제외를 덮어씁니다. 기존 값 목록을 보려면 다음 명령을 실행합니다.

    (Get-MpPreference).AttackSurfaceReductionOnlyExclusions

    기존 값에 영향을 주지 않고 새 예외를 추가하려면 Add-MpPreference cmdlet을 사용합니다. 다른 값에 영향을 주지 않고 지정된 예외를 제거하려면 Remove-MpPreference cmdlet을 사용합니다. 명령 구문은 세 cmdlet에 대해 동일합니다.

    다음 예제에서는 지정된 경로와 경로를 파일 이름으로 디바이스의 모든 ASR 규칙에 대한 제외로 구성합니다.

    Set-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Data\Test","C:\Data\LOBApp\app1.exe"

관련 콘텐츠

  • Last updated on