다음을 통해 공유


악용에서 장치 보호

적용 대상:

악용 방지 기능은 운영 체제 프로세스 및 앱에 다양한 악용 완화 기술을 자동으로 적용합니다. 악용 방지 기능은 Windows 10 버전 1709, Windows 11 및 Windows Server 버전 1803부터 지원됩니다.

악용 방지는 Defender for Endpoint에서 가장 잘 작동합니다. 이 기능은 일반적인 경고 조사 시나리오의 일부로 악용 방지 이벤트 및 차단에 대한 자세한 보고를 제공합니다.

개별 디바이스에서 악용 방지를 사용하도록 설정한 다음 그룹 정책을 사용하여 XML 파일을 한 번에 여러 디바이스에 배포할 수 있습니다.

디바이스에서 완화가 발견되면 알림 센터에서 알림이 표시됩니다. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다. 규칙을 개별적으로 사용하도록 설정하여 기능에서 모니터링하는 기술을 사용자 지정할 수도 있습니다.

감사 모드를 사용하여 악용 방지를 사용하도록 설정된 경우 조직에 미치는 영향을 평가할 수도 있습니다.

EMET(강화된 완화 환경 도구 키트)의 많은 기능이 악용 방지에 포함되어 있습니다. 실제로 기존 EMET 구성 프로필을 악용 방지로 변환하고 가져올 수 있습니다. 자세한 내용은 악용 보호 구성 가져오기, 내보내기 및 배포하기를 참조하세요.

중요

현재 EMET를 사용 중인 경우 EMET가 2018년 7월 31일에 지원이 종료되었음을 알고 있어야 합니다. Windows 10 EMET를 악용 방지로 바꾸는 것이 좋습니다.

경고

일부 보안 완화 기술에는 일부 애플리케이션과의 호환성 문제가 있을 수 있습니다. 프로덕션 환경 또는 네트워크의 나머지 부분에 구성을 배포하기 전에 감사 모드를 사용하여 모든 대상 사용 시나리오에서 악용 방지 기능을 테스트해야 합니다.

Microsoft Defender 포털에서 악용 방지 이벤트 검토

엔드포인트용 Defender는 경고 조사 시나리오의 일부로 이벤트 및 블록에 대한 자세한 보고를 제공합니다.

고급 헌팅을 사용하여 엔드포인트용 Defender 데이터를 쿼리할 수 있습니다. 감사 모드를 사용하는 경우 고급 헌팅을 사용하여 악용 방지 설정이 환경에 미치는 영향을 확인할 수 있습니다.

다음은 쿼리의 예입니다.

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection 및 고급 헌팅

다음은 Exploit Protection에 사용할 수 있는 고급 헌팅 작업 유형입니다.

Exploit Protection 완화 이름 Exploit Protection - 고급 헌팅 - ActionTypes
ACG(임의 코드 가드) ExploitGuardAcgAudited
ExploitGuardAcgEnforced
자식 프로세스 허용 안 함 ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
주소 필터링 내보내기(EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
주소 필터링 가져오기(IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
낮은 무결성 이미지 차단 ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
코드 무결성 가드 ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• 실행 시뮬레이션(SimExec)
• API 호출 유효성 검사(CallerCheck)
• 스택 무결성 유효성 검사(StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
원격 이미지 차단 ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Win32k 시스템 호출 사용 안 함 ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Windows 이벤트 뷰어 악용 방지 이벤트 검토

Windows 이벤트 로그를 검토하여 악용 방지가 앱을 차단(또는 감사)할 때 생성되는 이벤트를 확인할 수 있습니다.

공급자/원본 이벤트 ID 설명
보안 완화 1 ACG 감사
보안 완화 2 ACG 적용
보안 완화 3 자식 프로세스 감사 허용 안 함
보안 완화 4 자식 프로세스 블록 허용 안 함
보안 완화 5 낮은 무결성 이미지 감사 차단
보안 완화 6 낮은 무결성 이미지 블록 차단
보안 완화 7 원격 이미지 감사 차단
보안 완화 8 원격 이미지 블록 차단
보안 완화 9 win32k 시스템 호출 감사 사용 안 함
보안 완화 10 Win32k 시스템 호출 블록 사용 안 함
보안 완화 11 코드 무결성 가드 감사
보안 완화 12 코드 무결성 가드 블록
보안 완화 13 EAF 감사
보안 완화 14 EAF 적용
보안 완화 15 EAF+ 감사
보안 완화 16 EAF+ 적용
보안 완화 17 IAF 감사
보안 완화 18 IAF 적용
보안 완화 19 ROP StackPivot 감사
보안 완화 20 ROP StackPivot 적용
보안 완화 21 ROP CallerCheck 감사
보안 완화 22 ROP CallerCheck 적용
보안 완화 23 ROP SimExec 감사
보안 완화 24 ROP SimExec 적용
WER-진단 5 CFG 블록
Win32K 260 신뢰할 수 없는 글꼴

완화 비교

EMET에서 사용할 수 있는 완화 기능은 기본적으로 Windows 10(버전 1709부터), Windows 11 및 Windows Server(버전 1803부터)의 악용 방지에 포함되어 있습니다.

이 섹션의 표는 EMET와 악용 방지 간의 기본 완화 기능의 가용성과 지원을 나타냅니다.

완화 악용 방지에서 사용 가능 EMET에서 사용 가능
임의 코드 가드(ACG)
"메모리 보호 검사"로
원격 이미지 차단
"라이브러리 검사 로드"로
신뢰할 수 없는 글꼴 차단
데이터 실행 방지(DEP)
주소 필터링 내보내기(EAF)
이미지에 대한 강제 임의 지정(필수 ASLR)
NullPage 보안 완화
Windows 10 및 Windows 11에 기본적으로 포함
자세한 내용은 Windows 10 보안 기능을 사용하여 위협 완화를 참조하세요.
메모리 할당 임의 지정(상향식 ASLR)
실행 시뮬레이션(SimExec)
API 호출 확인(CallerCheck)
예외 체인 확인(SEHOP)
스택 무결성 확인(StackPivot)
인증서 신뢰(구성 가능한 인증서 고정) Windows 10 및 Windows 11은 엔터프라이즈 인증서 고정을 제공합니다.
힙 분무 할당 최신 브라우저 기반 악용에 대해 비효율적입니다. 최신 완화 기능은 더 나은 보호를 제공합니다.
자세한 내용은 Windows 10 보안 기능을 사용하여 위협 완화를 참조하세요.
낮은 무결성 이미지 차단 아니요
코드 무결성 가드 아니요
확장 지점 사용 안 함 아니요
Win32k 시스템 호출 사용 안 함 아니요
자식 프로세스 허용 안 함 아니요
주소 필터링 가져오기(IAF) 아니요
핸들 사용 확인 아니요
힙 무결성 확인 아니요
이미지 종속성 무결성 확인 아니오

참고

EMET에서 사용할 수 있는 고급 ROP 완화는 Windows 10 및 Windows 11의 ACG로 대체되며, 프로세스에 대한 ROP 방지 완화를 활성화하는 과정에서 다른 EMET 고급 설정이 기본적으로 활성화됩니다. Windows 10 기존 EMET 기술을 사용하는 방법에 대한 자세한 내용은 Windows 10 보안 기능을 사용하여 완화 위협을 참조하세요.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.