프로세스에서 연 파일에 대한 제외 구성
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
특정 프로세스에서 여는 파일은 Microsoft Defender 바이러스 백신 검사에서 제외할 수 있습니다. 이러한 유형의 제외는 프로세스 자체가 아니라 프로세스에서 여는 파일에 대한 것입니다. 프로세스를 제외하려면 파일 제외를 추가합니다(파일 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사 참조).
제외 목록을 정의하기 전에 제외에 대한 중요 사항을 참조하고 엔드포인트용 Microsoft Defender 대한 제외 관리 및 바이러스 백신 Microsoft Defender 정보를 검토합니다.
이 문서에서는 제외 목록을 구성하는 방법을 설명합니다.
프로세스 제외의 예
제외 | 예제 |
---|---|
특정 파일 이름을 가진 모든 프로세스에서 열리는 컴퓨터의 모든 파일 | 를 지정하면 test.exe 다음에서 연 파일이 제외됩니다.
|
특정 폴더 아래의 모든 프로세스에서 열리는 컴퓨터의 모든 파일 | 를 지정하면 c:\test\sample\* 다음에서 연 파일이 제외됩니다. |
특정 폴더의 특정 프로세스에서 열리는 컴퓨터의 모든 파일 | 를 지정하면 c:\test\process.exe 에서만 열린 파일만 제외됩니다. c:\test\process.exe |
프로세스 제외 목록에 프로세스를 추가하면 Microsoft Defender 바이러스 백신은 파일이 어디에 있든 해당 프로세스에서 연 파일을 검색하지 않습니다. 그러나 프로세스 자체는 파일 제외 목록에 추가되지 않은 한 검사됩니다.
제외는 항상 실시간 보호 및 모니터링에만 적용됩니다. 예약된 검사 또는 주문형 검사에는 적용되지 않습니다.
제외 목록에 대한 그룹 정책 변경 내용은 Windows 보안 앱의 목록에 표시됩니다. 그러나 Windows 보안 앱의 변경 내용은 그룹 정책 목록에 표시되지 않습니다.
그룹 정책, Microsoft Configuration Manager, Microsoft Intune 및 Windows 보안 앱에서 제외 목록을 추가, 제거 및 검토할 수 있으며 와일드카드를 사용하여 목록을 추가로 사용자 지정할 수 있습니다.
PowerShell cmdlet 및 WMI를 사용하여 목록 검토를 포함하여 제외 목록을 구성할 수도 있습니다.
기본적으로 목록에 대한 로컬 변경 내용(관리자 권한이 있는 사용자, PowerShell 및 WMI를 사용하여 변경한 내용)은 그룹 정책, Configuration Manager 또는 Intune 정의된 목록과 병합됩니다(배포). 충돌이 있는 경우 그룹 정책 목록이 우선합니다.
로컬 및 전역적으로 정의된 제외 목록을 병합하여 로컬 변경 내용이 관리되는 배포 설정을 재정의할 수 있도록 하는 방법을 구성할 수 있습니다.
참고
네트워크 보호 및 공격 표면 감소 규칙은 모든 플랫폼의 프로세스 제외에 의해 직접적인 영향을 받습니다. 즉, 모든 OS(Windows, MacOS, Linux)에서 프로세스를 제외하면 네트워크 보호 또는 ASR이 트래픽을 검사하거나 특정 프로세스에 대한 규칙을 적용할 수 없게 됩니다.
이미지 이름 및 프로세스 제외에 대한 전체 경로
두 가지 유형의 프로세스 제외를 설정할 수 있습니다. 프로세스는 이미지 이름 또는 전체 경로로 제외될 수 있습니다. 이미지 이름은 경로가 없는 프로세스의 파일 이름일 뿐입니다.
예를 들어 이 프로세스의 전체 경로에서 C:\MyFolder\
실행되는 프로세스 MyProcess.exe
C:\MyFolder\MyProcess.exe
는 이고 이미지 이름은 입니다MyProcess.exe
.
이미지 이름 제외는 훨씬 더 광범위합니다. 에 대한 MyProcess.exe
제외는 실행되는 경로에 관계없이 이 이미지 이름을 가진 모든 프로세스를 제외합니다. 예를 들어 프로세스가 MyProcess.exe
이미지 이름으로 제외되는 경우 에서 실행되는 C:\MyOtherFolder
경우 이동식 미디어 등에서 제외됩니다. 따라서 가능하면 전체 경로를 사용하는 것이 좋습니다.
프로세스 제외 목록에서 와일드카드 사용
프로세스 제외 목록에서 와일드카드를 사용하는 것은 다른 제외 목록에서의 사용과 다릅니다. 프로세스 제외가 이미지 이름으로만 정의된 경우 와일드카드 사용은 허용되지 않습니다. 그러나 전체 경로를 사용하면 와일드카드가 지원되고 와일드카드 동작은 파일 및 폴더 제외에 설명된 대로 동작합니다.
프로세스 제외 목록에서 항목을 정의할 때 환경 변수(예: %ALLUSERSPROFILE%
)를 와일드카드로 사용하는 것도 지원됩니다. 세부 정보 및 지원되는 환경 변수의 전체 목록은 파일 및 폴더 제외에 설명되어 있습니다.
다음 표에서는 경로가 제공될 때 프로세스 제외 목록에서 와일드카드를 사용하는 방법을 설명합니다.
와일드 카드 | 예제 사용 | 일치 예제 |
---|---|---|
* (별표)임의의 수의 문자를 대체합니다. |
C:\MyFolder\* |
또는 에 의해 C:\MyFolder\MyProcess.exe 열린 모든 파일 C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
또는 에 의해 C:\MyFolder1\MyFolder2\MyProcess.exe 열린 모든 파일 C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
또는 에 의해 C:\MyOtherFolder\MyFolder\MyProcess.exe 열린 모든 파일 C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (물음표) 한 문자를 대체합니다. |
C:\MyFolder\MyProcess??.exe |
또는 또는 C:\MyFolder\MyProcessAA.exe 가 C:\MyFolder\MyProcess42.exe 연 모든 파일C:\MyFolder\MyProcessF5.exe |
환경 변수 | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
에 의해 열린 모든 파일 C:\ProgramData\MyFolder\MyProcess.exe |
상황별 프로세스 제외
프로세스 제외는 상황에 맞는 제외 를 통해 정의될 수도 있습니다. 예를 들어 특정 파일이 특정 프로세스에서 열리는 경우에만 제외될 수 있습니다.
지정된 프로세스에서 연 파일에 대한 제외 목록 구성
Microsoft Intune 사용하여 지정된 프로세스에 의해 열린 파일을 검사에서 제외
자세한 내용은 Microsoft Intune 디바이스 제한 설정 구성 및 Intune Windows 10 대한 바이러스 백신 디바이스 제한 설정 Microsoft Defender 참조하세요.
Microsoft Configuration Manager 사용하여 지정된 프로세스에 의해 열린 파일을 검사에서 제외
Microsoft Configuration Manager(현재 분기) 구성에 대한 자세한 내용은 맬웨어 방지 정책을 만들고 배포하는 방법: 제외 설정을 참조하세요.
그룹 정책 사용하여 지정된 프로세스에서 열린 파일을 검사에서 제외
그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.
그룹 정책 관리 편집기컴퓨터 구성으로 이동하여 관리 템플릿을 클릭합니다.
바이러스 > 백신 제외를 Microsoft Defender 트리를 > Windows 구성 요소로 확장합니다.
프로세스 제외를 두 번 클릭하고 제외를 추가합니다.
- 옵션을 사용으로 설정합니다.
- 옵션 섹션에서 표시...를 클릭합니다.
- 값 이름 열 아래에 각 프로세스를 자체 줄에 입력합니다. 다양한 유형의 프로세스 제외는 예제 테이블을 참조하세요. 모든 프로세스의 값 열에 0을 입력합니다.
확인을 클릭합니다.
PowerShell cmdlet을 사용하여 지정된 프로세스에 의해 열린 파일을 검사에서 제외
PowerShell을 사용하여 프로세스에서 연 파일에 대한 제외를 추가하거나 제거하려면 매개 변수와 -ExclusionProcess
3개의 cmdlet 조합을 사용해야 합니다. cmdlet은 모두 Defender 모듈에 있습니다.
cmdlet의 형식은 다음과 같습니다.
<cmdlet> -ExclusionProcess "<item>"
cmdlet>으로 <허용되는 항목은 다음과 같습니다.
구성 작업 | PowerShell cmdlet |
---|---|
목록 만들기 또는 덮어쓰기 | Set-MpPreference |
목록에 추가 | Add-MpPreference |
목록에서 항목 제거 | Remove-MpPreference |
중요
또는 Add-MpPreference
를 사용하여 목록을 Set-MpPreference
만든 경우 cmdlet을 Set-MpPreference
다시 사용하면 기존 목록을 덮어씁 수 있습니다.
예를 들어 다음 코드 조각은 Microsoft Defender 바이러스 백신 검사로 인해 지정된 프로세스에서 연 파일을 제외합니다.
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Microsoft Defender 바이러스 백신에서 PowerShell을 사용하는 방법에 대한 자세한 내용은 PowerShell cmdlet을 사용하여 바이러스 백신 관리 및 Microsoft Defender 바이러스 백신 cmdlet을 참조하세요.
WMI(Windows Management Instruction)를 사용하여 지정된 프로세스에 의해 열린 파일을 검사에서 제외합니다.
다음 속성에 대해 MSFT_MpPreference 클래스의 Set, Add 및 Remove 메서드를 사용합니다.
ExclusionProcess
Set, Add 및 Remove의 사용은 PowerShell, Set-MpPreference
, Add-MpPreference
및 의 해당 항목과 Remove-MpPreference
유사합니다.
자세한 내용 및 허용되는 매개 변수는 Windows Defender WMIv2 API를 참조하세요.
Windows 보안 앱을 사용하여 지정된 프로세스에 의해 열린 파일을 검사에서 제외합니다.
Windows 보안 앱에서 제외 추가의 지침을 따릅니다.
제외 목록 검토
MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune 또는 Windows 보안 앱을 사용하여 제외 목록의 항목을 검색할 수 있습니다.
PowerShell을 사용하는 경우 다음 두 가지 방법으로 목록을 검색할 수 있습니다.
- 모든 Microsoft Defender 바이러스 백신 기본 설정의 상태 검색합니다. 각 목록은 별도의 줄에 표시되지만 각 목록 내의 항목은 동일한 줄로 결합됩니다.
- 모든 기본 설정의 상태 변수에 쓰고 해당 변수를 사용하여 관심 있는 특정 목록만 호출합니다. 의
Add-MpPreference
각 사용은 새 줄에 기록됩니다.
MpCmdRun을 사용하여 제외 목록 유효성 검사
전용 명령줄 도구 mpcmdrun.exe제외를 검사 하려면 다음 명령을 사용합니다.
MpCmdRun.exe -CheckExclusion -path <path>
참고
MpCmdRun을 사용하여 제외를 확인하려면 Microsoft Defender 바이러스 백신 CAMP 버전 4.18.1812.3(2018년 12월에 릴리스됨) 이상이 필요합니다.
PowerShell을 사용하여 다른 모든 Microsoft Defender 바이러스 백신 기본 설정과 함께 제외 목록을 검토합니다.
다음 cmdlet을 사용합니다.
Get-MpPreference
Microsoft Defender 바이러스 백신에서 PowerShell을 사용하는 방법에 대한 자세한 내용은 PowerShell cmdlet을 사용하여 Microsoft Defender 바이러스 백신 및 Microsoft Defender 바이러스 백신 cmdlet 구성 및 실행을 참조하세요.
PowerShell을 사용하여 특정 제외 목록 검색
다음 코드 조각을 사용합니다(각 줄을 별도의 명령으로 입력). WDAVprefs를 변수 이름을 지정하려는 레이블로 바꿉니다.
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Microsoft Defender 바이러스 백신에서 PowerShell을 사용하는 방법에 대한 자세한 내용은 PowerShell cmdlet을 사용하여 Microsoft Defender 바이러스 백신 및 Microsoft Defender 바이러스 백신 cmdlet 구성 및 실행을 참조하세요.
팁
다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.
관련 문서
- Microsoft Defender 바이러스 백신 검사에서 제외 구성 및 유효성 검사
- 파일 이름, 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사
- Windows Server에서 Microsoft Defender 바이러스 백신 제외 구성
- 제외 정의 시 피해야 하는 일반적인 실수
- Microsoft Defender 바이러스 백신 검사 및 수정 결과 사용자 지정, 시작 및 검토
- Windows 10의 Microsoft Defender 바이러스 백신
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.