2단계: 프록시를 사용하여 엔드포인트용 Defender 서비스에 연결하도록 디바이스 구성
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
중요
IPv6 전용 트래픽에 대해 구성된 디바이스는 지원되지 않습니다.
참고
프록시를 올바르게 사용하려면 엔드포인트용 Defender에서 다음 두 가지 프록시 설정을 구성합니다.
운영 체제에 따라 엔드포인트용 Microsoft Defender에 사용할 프록시를 자동으로 구성할 수 있습니다. 자동 검색, 자동 구성 파일 또는 디바이스에서 실행되는 엔드포인트용 Defender 서비스에 정적으로 특정한 메서드를 사용할 수 있습니다.
- Windows 디바이스의 경우 디바이스 프록시 및 인터넷 연결 설정 구성 (이 문서)을 참조하세요.
- Linux 디바이스의 경우 정적 프록시 검색을 위해 Linux의 엔드포인트용 Microsoft Defender 구성을 참조하세요.
- macOS 디바이스의 경우 Mac의 엔드포인트용 Microsoft Defender를 참조하세요.
엔드포인트용 Defender 센서를 사용하려면 Microsoft Windows HTTP(WinHTTP)가 센서 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신해야 합니다. 엔드포인트용 포함된 Defender 센서는 계정을 사용하여 LocalSystem 시스템 컨텍스트에서 실행됩니다.
팁
앞으로 프록시를 인터넷의 게이트웨이로 사용하는 경우 네트워크 보호를 사용하여 전방 프록시 뒤에서 발생하는 연결 이벤트를 조사할 수 있습니다.
구성 설정은 WinHTTP Windows 인터넷() 검색 프록시 설정과WinINet 독립적입니다( WinINet 및 WinHTTP 참조). 다음 검색 방법을 사용하여 프록시 서버를 검색할 수 있습니다.
자동 검색 방법:
투명한 프록시
WPAD(웹 프록시 자동 검색 프로토콜)
참고
네트워크 토폴로지에서 투명한 프록시 또는 WPAD를 사용하는 경우 특별한 구성 설정이 필요하지 않습니다.
수동 정적 프록시 구성:
레지스트리 기반 구성
netsh 명령을 사용하여 구성된 WinHTTP: 안정적인 토폴로지의 데스크톱에만 적합합니다(예: 동일한 프록시 뒤에 있는 회사 네트워크의 데스크톱).
참고
Microsoft Defender 바이러스 백신 및 EDR 프록시는 독립적으로 설정할 수 있습니다. 다음 섹션에서는 이러한 차이점을 알고 있어야 합니다.
레지스트리 기반 정적 프록시 설정을 사용하여 수동으로 프록시 서버 구성
컴퓨터가 인터넷에 직접 연결할 수 없는 경우 진단 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신하도록 EDR(엔드포인트 검색 및 응답용 Defender) 센서에 대한 레지스트리 기반 정적 프록시를 구성합니다.
참고
엔드포인트용 Defender 서비스에 성공적으로 연결하려면 항상 최신 업데이트를 적용해야 합니다.
정적 프록시 설정은 그룹 정책(GP)을 통해 구성할 수 있으며 그룹 정책 값 아래의 두 설정을 모두 구성해야 합니다. 그룹 정책은 관리 템플릿에서 사용할 수 있습니다.
관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 서비스에 대한 인증된 프록시 사용 구성
사용하도록 설정하고 인증된 프록시 사용 안 함을 선택합니다.
관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 구성:
프록시 정보를 입력합니다.
| 그룹 정책 | 레지스트리 키 | 레지스트리 항목 | 값 |
|---|---|---|---|
| 연결된 사용자 환경 및 원격 분석 서비스에 대해 인증된 프록시 사용량 구성 | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1(REG_DWORD) |
| 연결된 사용자 환경 및 원격 분석 구성 | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port 예: 10.0.0.6:8080 (REG_SZ) |
참고
완전히 오프라인 상태인 디바이스에서 설정을 사용하는 TelemetryProxyServer 경우 운영 체제가 온라인 인증서 해지 목록 또는 Windows 업데이트에 연결할 수 없음을 의미합니다. 값1이 인 추가 레지스트리 설정을 PreferStaticProxyForHttpRequest 추가해야 합니다.
의 PreferStaticProxyForHttpRequest 부모 레지스트리 경로 위치는 입니다 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.
다음 명령을 사용하여 레지스트리 값을 올바른 위치에 삽입할 수 있습니다.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
앞에서 언급한 레지스트리 값은 MsSense.exe 버전 이상 또는 버전 10.8210.*10.8049.* 이상부터만 적용할 수 있습니다.
Microsoft Defender 바이러스 백신에 대한 정적 프록시 구성
Microsoft Defender 바이러스 백신 클라우드 제공 보호는 새로운 위협과 새로운 위협에 대해 거의 즉각적이고 자동화된 보호를 제공합니다. Microsoft Defender 바이러스 백신이 활성 맬웨어 방지 솔루션이고 블록 모드의 EDR인 경우 사용자 지정 표시기에 연결이 필요합니다. 이 솔루션은 타사 솔루션이 블록을 수행하지 않은 경우 대체 옵션을 제공합니다.
관리 템플릿에서 사용할 수 있는 그룹 정책을 사용하여 정적 프록시를 구성합니다.
관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 서버를 정의합니다.
사용하도록 설정하고 프록시 서버를 정의합니다. URL에는 또는
https://가http://있어야 합니다. 에 지원https://되는 버전은 Microsoft Defender 바이러스 백신 업데이트 관리를 참조하세요.
레지스트리 키
HKLM\Software\Policies\Microsoft\Windows Defender에서 정책은 레지스트리 값을ProxyServer로REG_SZ설정합니다.레지스트리 값
ProxyServer은 다음 문자열 형식을 사용합니다.<server name or ip>:<port>예를 들면
http://10.0.0.6:8080
참고
완전히 오프라인 상태인 디바이스에서 정적 프록시 설정을 사용하는 경우 운영 체제가 온라인 인증서 해지 목록 또는 Windows 업데이트에 연결할 수 없음을 의미합니다. DWORD 값2이 인 추가 레지스트리 설정을 SSLOptions 추가해야 합니다. 의 SSLOptions 부모 레지스트리 경로 위치는 입니다 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. 에 대한 자세한 내용은 Cloud Protection을 SSLOptions참조하세요.
복원력 목적과 클라우드 제공 보호의 실시간 특성을 위해 Microsoft Defender 바이러스 백신은 마지막으로 알려진 작업 프록시를 캐시합니다. 프록시 솔루션이 보안 클라우드 연결을 끊기 때문에 SSL 검사를 수행하지 않는지 확인합니다.
Microsoft Defender 바이러스 백신은 정적 프록시를 사용하여 업데이트를 다운로드하기 위해 Windows 업데이트 또는 Microsoft 업데이트에 연결하지 않습니다. 대신 Windows 업데이트를 사용하도록 구성된 경우 시스템 차원의 프록시를 사용하거나 구성된 대체 순서에 따라 구성된 내부 업데이트 원본을 사용합니다. 필요한 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 자동 구성 정의(.pac) 를 사용할 수 있습니다. 여러 프록시를 사용하여 고급 구성을 설정해야 하는 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 주소를 사용하여 프록시 서버를 우회하고 Microsoft Defender 바이러스 백신이 해당 대상에 프록시 서버를 사용하지 못하도록 방지합니다.
cmdlet과 함께 PowerShell을 Set-MpPreference 사용하여 다음 옵션을 구성할 수 있습니다.
ProxyBypassProxyPacUrlProxyServer
명령을 사용하여 netsh 수동으로 프록시 서버 구성
를 사용하여 netsh 시스템 차원의 정적 프록시를 구성합니다.
참고
이 구성은 기본 프록시와 함께 사용하는 WinHTTP Windows 서비스를 포함하여 모든 애플리케이션에 영향을 줍니다.
승격된 명령줄을 열기:
- 시작으로 이동하여 를 입력합니다
cmd. - 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.
- 시작으로 이동하여 를 입력합니다
다음 명령을 입력하고 Enter를 누릅니다.
netsh winhttp set proxy <proxy>:<port>예:
netsh winhttp set proxy 10.0.0.6:8080프록시를
winhttp다시 설정하려면 다음 명령을 입력하고 Enter 키를 누릅니 다.netsh winhttp reset proxy
자세한 내용은 Netsh 명령 구문, 컨텍스트 및 포맷을 참조하십시오.
이전 MMA 기반 솔루션을 실행하는 Windows 디바이스
Windows 7, Windows 8.1, Windows Server 2008 R2 및 통합 에이전트로 업그레이드되지 않은 서버를 실행하고 Microsoft Monitoring Agent(Log Analytics 에이전트라고도 함)를 사용하여 엔드포인트용 Defender 서비스에 연결하는 디바이스의 경우 시스템 전체 프록시 설정을 사용하거나 프록시 또는 로그 분석 게이트웨이를 통해 연결하도록 에이전트를 구성할 수 있습니다.
- 프록시를 사용하도록 에이전트 구성: 프록시 구성
- 프록시 또는 허브 역할을 하려면 Azure Log Analytics(이전의 OMS 게이트웨이)를 설정합니다. Azure Log Analytics 에이전트
다음 단계
3단계: 엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결 확인
관련 문서
- 연결이 끊긴 환경, 프록시 및 엔드포인트용 Microsoft Defender
- 그룹 정책 설정을 사용하여 Microsoft Defender 바이러스 백신 구성 및 관리
- 그룹 정책을 통한 Windows 장치 온보딩
- 엔드포인트용 Microsoft Defender 온보딩 문제 해결
- 엔드포인트용 Microsoft Defender에 인터넷 액세스 권한이 없는 디바이스 온보딩
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기