공격 표면 감소(ASR) 규칙 참조

  • 적용 대상: Microsoft Defender for Endpoint Plan 2

ASR(공격 표면 감소) 규칙은 공격자가 일반적으로 맬웨어를 통해 악용하는 Windows 디바이스의 위험한 소프트웨어 동작을 대상으로 합니다(예: 파일을 다운로드하는 스크립트 시작, 난독 처리된 스크립트 실행 및 다른 프로세스에 코드 삽입). ASR 규칙에 대한 자세한 내용은 ASR(공격 표면 감소) 규칙 개요를 참조하세요.

이 문서는 다음 정보를 제공하는 ASR 규칙에 대한 기술 참조입니다.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

ASR 규칙에 대한 운영 체제 지원

ASR 규칙은 Microsoft Defender 바이러스 백신(예: Windows 11 Home)을 포함하는 모든 Windows 버전에서 사용할 수 있는 Microsoft Defender 바이러스 백신 기능입니다. PowerShell 또는 그룹 정책 사용하여 ASR 규칙을 로컬로 구성할 수 있습니다.

다음 표에서는 Microsoft Intune, Microsoft Configuration Manager 및 를 통해 중앙 집중식 관리, 보고 및 경고를 제공하는 엔드포인트용 Microsoft Defender ASR 규칙에 대한 운영 체제 지원에 대해 설명합니다. Microsoft Defender 포털:

규칙 이름 Windows 11 이상 Windows 10 Windows Server 2019 이상 Windows Server 2016* Windows Server 2012 R2*
Standard 보호 규칙
악용된 취약한 서명된 드라이버의 남용 차단(디바이스) Y 1709 이상 Y Windows Server 1803(SAC) 이상 Y
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단 Y 1803 이상 Y Y Y
WMI 이벤트 구독을 통한 지속성 차단 Y 1903년 이상 Windows Server 1903(SAC) 이상 N N
기타 ASR 규칙
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 Y 1809 이상 Y Y Y
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 Y 1709 이상 Y Y Y
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 Y 1709 이상 Y Y Y
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 Y 1803 이상 Y Y Y
잠재적으로 난독 처리된 스크립트의 실행 차단 Y 1709 이상 Y Y Y
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 Y 1709 이상 Y N N
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 Y 1709 이상 Y Y Y
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 Y 1709 이상 Y Y Y
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 Y 1709 이상 Y Y Y
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 Y 1803 이상 Y Y Y
안전 모드에서 컴퓨터 다시 부팅 차단 Y 1709 이상 Y Y Y
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 Y 1709 이상 Y Y Y
복사되거나 가장된 시스템 도구의 사용 차단 Y 1709 이상 Y Y Y
서버에 대한 Webshell 만들기 차단 해당 없음 해당 없음 Exchange 서버만 Exchange 서버만 N
Office 매크로에서 Win32 API 호출 차단 Y 1709 이상 해당 없음 해당 없음 해당 없음
랜섬웨어에 대한 고급 보호 사용 Y 1803 이상 Y Y Y

*Windows Server 2016 및 Windows Server 2012 R2에서 지원되는 ASR 규칙은 최신 통합 솔루션 패키지를 사용하여 온보딩해야 합니다. 자세한 내용은 최신 통합 솔루션의 새로운 Windows Server 2012 R2 및 2016 기능을 참조하세요.

ASR 규칙에 대한 배포 방법 지원

엔드포인트용 Defender는 ASR 규칙을 지원하지만 디바이스에 규칙을 배포하려면 별도의 서비스가 필요합니다. ASR 규칙을 배포하는 지원되는 메서드는 다음 표에 설명되어 있습니다.

규칙 이름 Intune 구성 관리자 MDM CSP 중앙 집중식 그룹 정책
Standard 보호 규칙
악용된 취약한 서명된 드라이버의 남용 차단(디바이스) Y N Y Y
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단 Y 1802 이상 Y Y
WMI 이벤트 구독을 통한 지속성 차단 Y N Y Y
기타 ASR 규칙
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 Y N Y Y
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 Y 1710 이상 Y Y
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 Y 1710 이상 Y Y
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단[1] Y 1802 이상 Y Y
잠재적으로 난독 처리된 스크립트의 실행 차단 Y 1710 이상 Y Y
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 Y 1710 이상 Y Y
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 Y 1710 이상 Y Y
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 Y 1710 이상 Y Y
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 Y N Y Y
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 Y N Y Y
안전 모드에서 컴퓨터 다시 부팅 차단 Y N Y Y
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 Y 1802 이상 Y Y
복사되거나 가장된 시스템 도구의 사용 차단 Y N Y Y
서버에 대한 Webshell 만들기 차단 Y N Y Y
Office 매크로에서 Win32 API 호출 차단 Y 1710 이상 Y Y
랜섬웨어에 대한 고급 보호 사용 Y 1802 이상 Y Y

그룹 정책 또는 PowerShell을 사용하여 개별 디바이스에서 로컬로 ASR 규칙을 구성할 수도 있습니다. 모든 ASR 규칙은 로컬 디바이스의 두 메서드에서 모두 지원됩니다.

1 현재 이 ASR 규칙은 알려진 백 엔드 문제로 인해 Intune ASR 정책 구성에서 사용할 수 없을 수 있습니다. 그러나 규칙은 사용 가능한 다른 ASR 정책 구성 방법 또는 문제 이전에 만든 기존 Intune ASR 정책을 통해 사용할 수 있습니다.

ASR 규칙 작업의 경고 및 알림

다음 표에서는 활성 ASR 규칙이 생성할 수 있는 organization 및 로컬 경고에 대해 설명합니다.

  • EDR 경고 값은 차단 또는 경고 모드의 ASR 규칙이 엔드포인트용 Defender에서 EDR(엔드포인트 검색 및 응답) 경고를 생성하는지 여부를 나타냅니다.
  • 사용자 알림 값은 ASR 규칙이 차단 또는 경고 모드에서 사용자 알림 팝업을 지원하는지 여부를 나타냅니다(규칙이 경고 모드를 지원하는 경우).
규칙 이름 EDR 경고 사용자
알림을
Standard 보호 규칙
악용된 취약한 서명된 드라이버의 남용 차단(디바이스) N Y
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단[0] N N
WMI 이벤트 구독을 통한 지속성 차단 Y Y
기타 ASR 규칙
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단[²] Y Y
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 N Y
전자 메일 클라이언트 및 webmail[²]에서 실행 파일 콘텐츠 차단 Y Y
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 N Y
잠재적으로 난독 처리된 스크립트의 실행 차단 Y Y
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단[²] Y Y
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 N Y
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단[0] N Y
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 N Y
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 N Y
안전 모드에서 컴퓨터 다시 부팅 차단 N N
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 Y Y
복사되거나 가장된 시스템 도구의 사용 차단 N Y
서버에 대한 Webshell 만들기 차단 N N
Office 매크로에서 Win32 API 호출 차단 Y N
랜섬웨어에 대한 고급 보호 사용 Y Y

1 이 ASR 규칙은 경고 모드를 지원하지 않습니다.

²차단 또는 경고 모드의 이 ASR 규칙에는 Microsoft Defender 바이러스 백신의 클라우드 보호 수준에서 다음과 같은 추가 요구 사항이 있습니다.

  • EDR 경고는 디바이스의 클라우드 보호 수준이 높음 또는 허용 오차가 없는 경우에만 생성됩니다.
  • 사용자 알림 팝업은 디바이스의 클라우드 보호 수준이 높음, 높음 더하기 또는 무관용인 경우에만 생성됩니다.

ASR 규칙 세부 정보

Standard 보호 규칙

악용된 취약한 서명된 드라이버의 남용 차단(디바이스)

충분한 권한이 있는 로컬 앱은 취약한 서명된 드라이버를 악용하여 운영 체제 커널에 액세스할 수 있습니다. 취약한 서명된 드라이버를 사용하면 공격자가 보안 솔루션을 사용하지 않도록 설정하거나 우회할 수 있으므로 결국 시스템 손상이 초래됩니다.

이 ASR 규칙은 앱이 취약한 서명된 드라이버를 컴퓨터에 저장하는 것을 방지합니다. 컴퓨터에 이미 있는 기존 드라이버를 로드하는 것을 방지하지는 않습니다.

  • Microsoft Intune 이름:Block abuse of exploited vulnerable signed drivers (Device)
  • Microsoft Configuration Manager 이름: n/a
  • GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
  • 고급 헌팅 작업 유형:
    • AsrVulnerableSignedDriverAudited
    • AsrVulnerableSignedDriverBlocked
  • 종속성: 없음

참고

Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단

참고

LSA(로컬 보안 기관) 보호를 사용하도록 설정한 경우(Credential Guard와 함께 권장):

  • 이 ASR 규칙은 필요하지 않습니다.
  • 이 ASR 규칙은 추가 보호를 제공하지 않습니다(ASR 규칙 및 LSA 보호는 유사하게 작동).
  • 이 ASR 규칙은 Microsoft Defender 포털의 엔드포인트용 Defender 관리 설정에 적용되지 않는 것으로 분류됩니다.

이 ASR 규칙은 LSASS(로컬 보안 기관 하위 시스템 서비스)를 잠가 자격 증명 도용을 방지하는 데 도움이 됩니다. LSASS는 Windows 컴퓨터에 로그인하는 사용자를 인증합니다. 일반적으로 Windows의 Credential Guard 는 LSASS에서 자격 증명을 추출하려는 시도를 방지합니다.

많은 프로세스에서 필요하지 않은 액세스 권한에 대해 LSASS를 불필요하게 호출합니다. 이 활동은 상당한 ASR 규칙 노이즈를 생성하지만 기능을 차단하지는 않습니다. 예를 들어 암호는 디바이스의 LSASS에 저장되므로 Google Chrome은 불필요하게 LSASS에 액세스합니다. 디바이스에서 이 ASR 규칙을 활성화하면 Chrome 업데이트가 LSASS에 액세스하지 못하도록 차단하지만 Chrome의 업데이트는 차단하지 않습니다. 이러한 ASR 규칙 이벤트는 Chrome 소프트웨어 업데이트 프로세스가 LSASS에 액세스해서는 안 되므로 좋습니다.

LSASS에 대한 프로세스 호출에서 일반적으로 요청되는 권한 유형에 대한 자세한 내용은 프로세스 보안 및 액세스 권한을 참조하세요.

일부 조직에서는 사용자 지정 스마트 카드 드라이버 또는 LSA에 로드되는 다른 프로그램과의 호환성 문제로 인해 Credential Guard를 사용하도록 설정할 수 없습니다. 이러한 경우 공격자는 Mimikatz와 같은 도구를 사용하여 LSASS에서 일반 텍스트 암호 및 NTLM 해시를 스크래핑할 수 있습니다.

LSA 보호 및/또는 Credential Guard를 사용하도록 설정할 수 없는 경우 를 대상으로 하는 맬웨어에 대해 동등한 보호를 제공하도록 이 규칙을 구성할 수 있습니다.lsass.exe

  • Microsoft Intune 이름:Block credential stealing from the Windows local security authority subsystem
  • Microsoft Configuration Manager 이름:Block credential stealing from the Windows local security authority subsystem
  • GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
  • 고급 헌팅 작업 유형:
    • AsrLsassCredentialTheftAudited
    • AsrLsassCredentialTheftBlocked
  • 종속성: Microsoft Defender 바이러스 백신

참고

  • 이 ASR 규칙은 경고 모드를 지원하지 않습니다.
  • 이 ASR 규칙은 많은 양의 감사 이벤트를 생성하며, 거의 모두 차단 모드에서 규칙을 사용할 때 무시해도 안전합니다. 감사 모드 평가를 건너뛰고 모드 배포를 차단하도록 선택할 수 있습니다. Microsoft는 작은 디바이스 집합으로 시작하고 나머지를 커버하기 위해 점진적으로 확장하는 것이 좋습니다.
  • 이 ASR 규칙은 친숙한 프로세스 및 중복 블록 작업에 대한 경고 및 사용자 알림 팝업을 표시하지 않습니다.
  • 이 ASR 규칙은 LSASS 프로세스 메모리에 대한 액세스를 차단합니다. 프로세스 실행을 차단하지 않습니다. 이 ASR 규칙이 와 같은 svchost.exe프로세스를 차단하면 프로세스가 LSASS 프로세스 메모리에 액세스하지 못하도록 차단됩니다. 이 ASR 규칙에 따라 이러한 프로세스의 차단을 무시해도 되는 경우가 많습니다.
  • 일부 앱은 실행 중인 모든 프로세스를 열거하고 완전한 권한으로 열려고 시도합니다. 이 ASR 규칙은 앱의 열린 프로세스 작업을 거부하고 Windows 이벤트 뷰어 보안 로그에 세부 정보를 기록합니다. 이 규칙은 수많은 노이즈를 생성할 수 있습니다. LSASS를 열거하는 앱이 있지만 기능에 실제로 영향을 주지 않는 경우 제외 목록에 추가할 필요가 없습니다. 그 자체로 이 이벤트 로그 항목이 반드시 악의적인 위협을 나타내는 것은 아닙니다.
  • 이 ASR 규칙에는 Quest Dirsync 암호 동기화에 문제가 있습니다. 자세한 내용은 Windows Defender가 설치될 때 Dirsync 암호 동기화가 작동하지 않음을 참조하세요. 오류: "VirtualAllocEx 실패: 5"(4253914).
  • 이 규칙에는 제외 지원이 제한됩니다. 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

WMI 이벤트 구독을 통한 지속성 차단

이 ASR 규칙은 맬웨어가 WMI를 남용하여 디바이스에서 지속성을 얻는 것을 방지합니다.

파일리스 위협은 다양한 전술을 사용하여 숨겨지게 하고, 파일 시스템에서 보이지 않도록 하고, 주기적인 제어를 얻습니다. 일부 위협은 WMI 리포지토리 및 이벤트 모델을 악용하여 계속 숨을 수 있습니다.

  • Microsoft Intune 이름:Block persistence through WMI event subscription
  • Microsoft Configuration Manager 이름: n/a
  • GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
  • 고급 헌팅 작업 유형:
    • AsrPersistenceThroughWmiAudited
    • AsrPersistenceThroughWmiBlocked
  • 종속성: Microsoft Defender 바이러스 백신, RPC

참고

  • 이 규칙은 최신 통합 솔루션을 사용하여 R2 또는 Windows Server 2016 Windows Server 2012 위해 Microsoft Intune 통해 배포하는 경우 지원되지 않습니다.
  • Microsoft Configuration Manager 사용하는 경우 차단 모드로 진행하기 전에 감사 모드에서 이 ASR 규칙을 광범위하게 테스트하는 것이 좋습니다. 구성 관리자 클라이언트는 WMI에 크게 의존합니다.
  • 이 규칙에는 제외 지원이 제한됩니다. 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

기타 ASR 규칙

Adobe Reader가 자식 프로세스를 만들지 못하도록 차단

이 ASR 규칙은 Adobe Reader가 프로세스를 만들지 못하도록 차단하여 공격을 방지합니다.

맬웨어는 소셜 엔지니어링 또는 익스플로잇을 통해 페이로드를 다운로드하고 시작하고 Adobe Reader에서 분리할 수 있습니다. Adobe Reader가 자식 프로세스를 생성하지 못하도록 차단하면 Adobe Reader를 공격 벡터로 사용하려는 맬웨어가 확산되지 않습니다.

  • Microsoft Intune 이름:Block Adobe Reader from creating child processes
  • Microsoft Configuration Manager 이름: n/a
  • GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • 고급 헌팅 작업 유형:
    • AsrAdobeReaderChildProcessAudited
    • AsrAdobeReaderChildProcessBlocked
  • 종속성: Microsoft Defender 바이러스 백신

참고

모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단

이 규칙은 Office 앱이 자식 프로세스를 만들지 못하도록 차단합니다. Office 앱에는 Word, Excel, PowerPoint, OneNote 및 Access가 포함됩니다.

악의적인 자식 프로세스를 만드는 것은 일반적인 맬웨어 전략입니다. Office를 벡터로 남용하는 맬웨어는 종종 VBA 매크로를 실행하고 코드를 악용하여 더 많은 페이로드를 다운로드하고 실행하려고 시도합니다. 그러나 일부 합법적인 기간 업무 앱은 양성 목적으로 자식 프로세스를 생성할 수도 있습니다. 예를 들어 명령 프롬프트를 생성하거나 PowerShell을 사용하여 레지스트리 설정을 구성합니다.

  • Microsoft Intune 이름:Block all Office applications from creating child processes
  • Microsoft Configuration Manager 이름:Block Office application from creating child processes
  • GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • 고급 헌팅 작업 유형:
    • AsrOfficeChildProcessAudited
    • AsrOfficeChildProcessBlocked
  • 종속성: Microsoft Defender 바이러스 백신

참고

이 규칙은 Office가 또는 위치에 설치된 %ProgramFiles% 경우에만 적용됩니다(기본적으로 C:\Program FilesC:\Program Files (x86)).%ProgramFiles(x86)%

전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단

이 규칙은 Microsoft Outlook, Outlook.com 및 기타 인기 있는 웹 메일 공급자로 열린 전자 메일이 다음 파일 형식을 전파하지 못하도록 차단합니다.

  • 실행 파일(예: .exe, .dll 또는 .scr).

  • 스크립트 파일(예: .ps1, .vbs 또는 .js).

  • 아카이브 파일(예: .zip).

  • Microsoft Intune 이름:Block executable content from email client and webmail

  • Microsoft Configuration Manager 이름:Block executable content from email client and webmail

  • GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

  • 고급 헌팅 작업 유형:

    • AsrExecutableEmailContentAudited
    • AsrExecutableEmailContentBlocked

  • 종속성: Microsoft Defender 바이러스 백신

참고

  • 차단 또는 경고 모드의 이 ASR 규칙에는 Microsoft Defender 바이러스 백신의 클라우드 보호 수준에서 추가 요구 사항이 있습니다.
    • EDR 경고는 디바이스의 클라우드 보호 수준이 높음 또는 허용 오차가 없는 경우에만 생성됩니다.
    • 사용자 알림 팝업은 디바이스의 클라우드 보호 수준이 높음, 높음 더하기 또는 무관용인 경우에만 생성됩니다.
  • 이 ASR 규칙에는 다음과 같은 대체 설명이 있습니다.
    • Intune(구성 프로필):Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    • 구성 관리자:Block executable content download from email and webmail clients
    • 그룹 정책:Block executable content from email client and webmail

실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단

현재 이 ASR 규칙은 알려진 백 엔드 문제로 인해 Intune ASR 정책 구성에서 사용할 수 없을 수 있습니다. 그러나 규칙은 사용 가능한 다른 ASR 정책 구성 방법 또는 문제 이전에 만든 기존 Intune ASR 정책을 통해 사용할 수 있습니다.

이 ASR 규칙은 실행 파일(예: .exe, .dll 또는 .scr)을 시작하지 못하도록 차단합니다. 신뢰할 수 없거나 알 수 없는 실행 파일을 시작하는 것은 위험할 수 있습니다. 파일이 악의적인지는 처음에는 명확하지 않기 때문에 위험할 수 있습니다.

  • Microsoft Intune 이름:Block executable files from running unless they meet a prevalence, age, or trusted list criterion
  • Microsoft Configuration Manager 이름:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
  • GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
  • 고급 헌팅 작업 유형:
    • AsrUntrustedExecutableAudited
    • AsrUntrustedExecutableBlocked
  • 종속성: Microsoft Defender 바이러스 백신, 클라우드 보호

참고

잠재적으로 난독 처리된 스크립트의 실행 차단

이 ASR 규칙은 난독 제거된 스크립트 내에서 의심스러운 속성을 검색합니다.

스크립트 난독 처리는 맬웨어 작성자와 합법적인 애플리케이션이 지적 재산을 숨기거나 스크립트 로드 시간을 줄이는 데 사용하는 일반적인 기술입니다. 맬웨어 작성자는 또한 난독 처리를 사용하여 악성 코드를 읽기 어렵게 만들어 인간과 보안 소프트웨어의 면밀한 조사를 방해합니다.

  • Microsoft Intune 이름:Block execution of potentially obfuscated scripts
  • Microsoft Configuration Manager 이름:Block execution of potentially obfuscated scripts
  • GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
  • 고급 헌팅 작업 유형:
    • AsrObfuscatedScriptAudited
    • AsrObfuscatedScriptBlocked
  • 종속성: Microsoft Defender 바이러스 백신, AMSI(맬웨어 방지 검사 인터페이스), 클라우드 보호

참고

JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단

이 ASR 규칙은 스크립트가 잠재적으로 악의적으로 다운로드한 콘텐츠를 시작하지 못하도록 방지합니다. JavaScript 또는 VBScript로 작성된 맬웨어는 인터넷에서 다른 맬웨어를 가져오고 시작하는 다운로더 역할을 하는 경우가 많습니다. 일반적이지는 않지만 기간 업무 앱은 경우에 따라 스크립트를 사용하여 설치 관리자를 다운로드하고 시작합니다.

  • Microsoft Intune 이름:Block JavaScript or VBScript from launching downloaded executable content
  • Microsoft Configuration Manager 이름:Block JavaScript or VBScript from launching downloaded executable content
  • GUID: d3e037e1-3eb8-44c8-a917-57927947596d
  • 고급 헌팅 작업 유형:
    • AsrScriptExecutableDownloadAudited
    • AsrScriptExecutableDownloadBlocked
  • 종속성: Microsoft Defender 바이러스 백신, AMSI(맬웨어 방지 검사 인터페이스)

참고

  • 이 규칙은 최신 통합 솔루션을 사용하여 R2 또는 Windows Server 2016 Windows Server 2012 위해 Microsoft Intune 통해 배포하는 경우 지원되지 않습니다.

  • 차단 또는 경고 모드의 이 ASR 규칙에는 Microsoft Defender 바이러스 백신의 클라우드 보호 수준에서 추가 요구 사항이 있습니다.

    • EDR 경고는 디바이스의 클라우드 보호 수준이 높음 또는 허용 오차가 없는 경우에만 생성됩니다.
    • 사용자 알림 팝업은 디바이스의 클라우드 보호 수준이 높음, 높음 더하기 또는 무관용인 경우에만 생성됩니다.

Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단

이 ASR 규칙은 Office 앱(예: Word, Excel 및 PowerPoint)이 악성 구성 요소를 디스크에 저장하는 벡터로 사용되지 않도록 방지합니다. 이러한 악성 구성 요소는 컴퓨터를 다시 부팅하고 시스템에서 지속할 수 있습니다. 이 규칙은 다음을 통해 이 지속성 기술을 방어합니다.

  • 디스크에 기록된 코드에 대한 액세스 차단(열기/실행)

  • Office 파일에서 실행할 수 있는 Office 매크로로 저장된 신뢰할 수 없는 파일의 실행을 차단합니다.

  • Microsoft Intune 이름:Block Office applications from creating executable content

  • Microsoft Configuration Manager 이름:Block Office applications from creating executable content

  • GUID: 3b576869-a4ec-4529-8536-b80a7769e899

  • 고급 헌팅 작업 유형:

    • AsrExecutableOfficeContentAudited
    • AsrExecutableOfficeContentBlocked

  • 종속성: Microsoft Defender 바이러스 백신, RPC

참고

이 규칙에는 제외 지원이 제한됩니다. 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

이 ASR 규칙은 Office 설치 위치의 영향을 받지 않습니다.

Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단

이 ASR 규칙은 Office 앱에서 다른 프로세스로 코드 삽입 시도를 차단합니다. 공격자는 Office 앱을 사용하여 코드 삽입을 통해 악성 코드를 다른 프로세스로 마이그레이션하려고 시도할 수 있으므로 코드가 클린 프로세스로 가장할 수 있습니다. 코드 삽입을 사용하기 위한 알려진 합법적인 비즈니스 용도는 없습니다.

  • Microsoft Intune 이름:Block Office applications from injecting code into other processes
  • Microsoft Configuration Manager 이름:Block Office applications from injecting code into other processes
  • GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
  • 고급 헌팅 작업 유형:
    • AsrOfficeProcessInjectionAudited
    • AsrOfficeProcessInjectionBlocked
  • 종속성: Microsoft Defender 바이러스 백신

참고

  • 이 ASR 규칙은 경고 모드를 지원하지 않습니다.
  • 이 ASR 규칙은 Word, Excel, OneNote 및 PowerPoint에 적용됩니다.
  • 이 ASR 규칙을 사용하려면 구성 변경 내용이 적용되려면 Microsoft 365 앱(Office 애플리케이션)를 다시 시작해야 합니다.
  • 이 규칙에는 제외 지원이 제한됩니다. 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.
  • 이 ASR 규칙은 다음 앱과 호환되지 않습니다.
  • 이 ASR 규칙은 Office가 또는 위치에 설치된 %ProgramFiles% 경우에만 적용됩니다(기본적으로 C:\Program FilesC:\Program Files (x86)).%ProgramFiles(x86)%

Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단

이 ASR 규칙은 Outlook이 합법적인 Outlook 기능을 허용하면서 자식 프로세스를 만들 수 없도록 합니다. 이 ASR 규칙은 다음으로부터 보호합니다.

  • 소셜 엔지니어링 공격 및 코드 악용이 Outlook의 취약성을 악용하는 것을 방지합니다.

  • 사용자의 자격 증명이 손상되면 공격자가 사용할 수 있는 Outlook 규칙 및 양식 악용.

  • Microsoft Intune 이름:Block Office communication application from creating child processes

  • Microsoft Configuration Manager 이름: n/a

  • GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

  • 고급 헌팅 작업 유형:

    • AsrOfficeCommAppChildProcessAudited
    • AsrOfficeCommAppChildProcessBlocked

  • 종속성: Microsoft Defender 바이러스 백신

참고

이 규칙에는 제외 지원이 제한됩니다. 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

이 규칙은 Office가 또는 위치에 설치된 %ProgramFiles% 경우에만 적용됩니다(기본적으로 C:\Program FilesC:\Program Files (x86)).%ProgramFiles(x86)%

PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단

중요

Microsoft Configuration Manager 사용하는 경우 사용 가능한 다른 배포 방법을 사용하여 관리되는 디바이스에서 이 규칙을 사용하도록 설정하지 마세요. 구성 관리자 클라이언트는 WMI에 크게 의존합니다.

이 ASR 규칙은 PsExecWMI 를 통해 만든 프로세스가 실행되지 않도록 차단합니다. PsExec 및 WMI는 코드를 원격으로 실행할 수 있습니다. 맬웨어는 명령 및 제어에 PsExec 및 WMI를 사용하거나 네트워크 감염을 확산할 수 있습니다.

  • Microsoft Intune 이름:Block process creations originating from PSExec and WMI commands
  • Microsoft Configuration Manager 이름: n/a
  • GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
  • 고급 헌팅 작업 유형:
    • AsrPsexecWmiChildProcessAudited
    • AsrPsexecWmiChildProcessBlocked
  • 종속성: Microsoft Defender 바이러스 백신

참고

이 규칙에는 제외 지원이 제한됩니다. 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

안전 모드에서 컴퓨터 다시 부팅 차단

이 ASR 규칙은 안전 모드에서 및 bootcfg 와 같은 bcdedit 일반적으로 남용된 명령이 Windows 컴퓨터를 다시 시작하는 것을 방지합니다. 안전 모드에서는 많은 보안 제품이 사용하지 않도록 설정되거나 제한된 기능으로 실행됩니다. 안전 모드를 사용하면 공격자가 변조 명령을 추가로 시작하거나 컴퓨터의 모든 파일을 실행하고 암호화할 수 있습니다.

안전 모드는 여전히 Windows 복구 환경에서 수동으로 액세스할 수 있습니다.

  • Microsoft Intune 이름:Block rebooting machine in Safe Mode
  • Microsoft Configuration Manager 이름: n/a
  • GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
  • 고급 헌팅 작업 유형:
    • AsrSafeModeRebootedAudited
    • AsrSafeModeRebootBlocked
    • AsrSafeModeRebootWarnBypassed
  • 종속성: Microsoft Defender 바이러스 백신

참고

현재 Microsoft Defender 취약성 관리 이 규칙을 인식하지 못합니다. ASR(공격 표면 감소) 규칙 보고서는 이 규칙을 적용할 수 없음으로 표시합니다.

USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단

이 ASR 규칙은 서명되지 않거나 신뢰할 수 없는 실행 파일(예: .exe, .dll 또는 .scr)이 SD 카드를 포함한 USB 이동식 드라이브에서 실행되지 않도록 방지합니다.

이 ASR 규칙은 파일이 USB 드라이브에서 디스크로 복사되는 것을 차단하지 않습니다. 복사된 파일이 디스크에서 실행되는 것을 차단합니다.

  • Microsoft Intune 이름:Block untrusted and unsigned processes that run from USB
  • Microsoft Configuration Manager 이름:Block untrusted and unsigned processes that run from USB
  • GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • 고급 헌팅 작업 유형:
    • AsrUntrustedUsbProcessAudited
    • AsrUntrustedUsbProcessBlocked
  • 종속성: Microsoft Defender 바이러스 백신

복사되거나 가장된 시스템 도구의 사용 차단

이 ASR 규칙은 Windows 시스템 도구의 복사본(중복 또는 사기꾼)으로 식별된 실행 파일의 전파 및 사용을 차단합니다. 일부 악성 프로그램은 검색을 방지하거나 권한을 얻기 위해 Windows 시스템 도구를 복사하거나 가장하려고 할 수 있습니다. 이러한 실행 파일을 허용하면 잠재적인 공격이 발생할 수 있습니다.

  • Microsoft Intune 이름:Block use of copied or impersonated system tools
  • Microsoft Configuration Manager 이름: n/a
  • GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
  • 고급 헌팅 작업 유형:
    • AsrAbusedSystemToolAudited
    • AsrAbusedSystemToolBlocked
    • AsrAbusedSystemToolWarnBypassed
  • 종속성: Microsoft Defender 바이러스 백신

참고

현재 Microsoft Defender 취약성 관리 이 규칙을 인식하지 못합니다. ASR(공격 표면 감소) 규칙 보고서는 이 규칙을 적용할 수 없음으로 표시합니다.

서버에 대한 Webshell 만들기 차단

이 ASR 규칙은 Microsoft Exchange를 실행하는 Windows 서버에서 웹 셸 스크립트 만들기를 차단합니다. 웹 셸 스크립트는 공격자가 손상된 서버를 제어할 수 있도록 하는 만들어진 스크립트입니다. 웹 셸 스크립트에는 다음 기능이 포함될 수 있습니다.

  • 악의적인 명령을 수신하고 실행합니다.

  • 악성 파일을 다운로드하고 실행합니다.

  • 자격 증명 및 중요한 정보를 훔치고 유출합니다.

  • 잠재적인 대상을 식별합니다.

  • Microsoft Intune 이름:Block Webshell creation for Servers

  • Microsoft Configuration Manager 이름: n/a

  • GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

  • 고급 헌팅 작업 유형: n/a

  • 종속성: Microsoft Defender 바이러스 백신

참고

  • 이 규칙은 최신 통합 솔루션을 사용하여 R2 또는 Windows Server 2016 Windows Server 2012 위해 Microsoft Intune 통해 배포하는 경우 지원되지 않습니다.
  • 엔드포인트용 Microsoft Defender ASR 규칙을 관리하는 경우 그룹 정책 또는 다른 로컬 설정에서 이 ASR을 구성하지 마세요(값을 로 Not Configured둡니다). 다른 값(예: Enabled 또는 Disabled)은 충돌을 일으키고 규칙이 올바르게 적용되지 않도록 방지할 수 있습니다.
  • 현재 Microsoft Defender 취약성 관리 이 규칙을 인식하지 못합니다. ASR(공격 표면 감소) 규칙 보고서는 이 규칙을 적용할 수 없음으로 표시합니다.

Office 매크로에서 Win32 API 호출 차단

Office Visual Basic for Applications(VBA)는 Win32 API 호출을 사용하도록 설정합니다. 이 ASR 규칙은 VBA 매크로가 Win32 API를 호출하지 못하도록 방지합니다. 맬웨어는 Win32 API를 호출하여 디스크에 직접 아무것도 쓰지 않고 악성 셸코드를 시작하는 등 이 기능을 남용할 수 있습니다.

대부분의 조직에서는 다른 방법으로 매크로를 사용하더라도 VBA 매크로에서 Win32 API 호출을 요구하지 않습니다.

  • Microsoft Intune 이름:Block Win32 API calls from Office macros
  • Microsoft Configuration Manager 이름:Block Win32 API calls from Office macros
  • GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
  • 고급 헌팅 작업 유형:
    • AsrOfficeMacroWin32ApiCallsAudited
    • AsrOfficeMacroWin32ApiCallsBlocked
  • 종속성: Microsoft Defender 바이러스 백신, AMSI(맬웨어 방지 검사 인터페이스)

랜섬웨어에 대한 고급 보호 사용

참고

이 ASR 규칙은 랜섬웨어에 대한 추가 보호 계층을 제공합니다. 클라이언트 및 클라우드 추론을 모두 사용하여 파일이 랜섬웨어와 유사한지 여부를 확인합니다. 이 규칙은 다음 특성 중 하나 이상이 있는 파일을 차단하지 않습니다.

  • 파일이 Microsoft 클라우드에서 공유되지 않는 것으로 확인되었습니다.
  • 파일은 유효한 서명된 파일입니다.
  • 이 파일은 랜섬웨어로 간주되지 않을 정도로 널리 퍼져 있습니다.

이 규칙은 평판이 좋지 않은 파일을 차단하지 않습니다. 대신, 규칙은 주의의 측면에 잘못과 또한 아직 긍정적 인 평판이없는 파일을 차단합니다. 일반적으로 이 규칙에 의해 무해하고 알 수 없는 파일의 블록은 결국 자체적으로 resolve. 문제가 없는 사용량이 증가함에 따라 파일의 평판 및 신뢰 값이 점진적으로 증가합니다.

알 수 없는 무해한 파일의 블록이 적시에 resolve 않는 경우 이 규칙에 대한 ASR별 규칙 제외를 구성하거나 IoC(손상 표시기)에 대해 허용 작업을 사용할 수 있습니다.

  • Microsoft Intune 이름:Use advanced protection against ransomware
  • Microsoft Configuration Manager 이름:Use advanced protection against ransomware
  • GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
  • 고급 헌팅 작업 유형:
    • AsrRansomwareAudited
    • AsrRansomwareBlocked
  • 종속성: Microsoft Defender 바이러스 백신, 클라우드 보호

관련 콘텐츠

  • Last updated on