다음을 통해 공유

네트워크 보호를 사용하여 악의적이거나 의심스러운 사이트에 대한 연결을 방지합니다.

적용 대상:

플랫폼

  • Windows
  • macOS
  • Linux

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판에 등록합니다.

네트워크 보호 개요

네트워크 보호는 악의적이거나 의심스러운 사이트에 대한 연결을 방지하여 디바이스를 보호하는 데 도움이 됩니다. 위험한 도메인의 예로는 피싱 사기, 악의적인 다운로드, 기술 사기 또는 기타 악성 콘텐츠를 호스트하는 도메인이 있습니다. 네트워크 보호는 Microsoft Defender SmartScreen의 scope 확장하여 평판이 좋지 않은 원본(도메인 또는 호스트 이름 기준)에 연결하려는 모든 아웃바운드 HTTP(S) 트래픽을 차단합니다.

네트워크 보호는 웹 보호 의 보호를 운영 체제 수준으로 확장하며 WCF( 웹 콘텐츠 필터링 )의 핵심 구성 요소입니다. Microsoft Edge에 있는 웹 보호 기능을 지원되는 다른 브라우저 및 비브라우저 애플리케이션에 제공합니다. 또한 네트워크 보호는 엔드포인트 검색 및 응답과 함께 사용할 때 IOC(손상 지표)의 가시성 및 차단을 제공합니다. 예를 들어 네트워크 보호는 사용자 지정 지표 와 함께 작동하여 특정 도메인 또는 호스트 이름을 차단합니다.

이 비디오를 시청하여 네트워크 보호가 피싱 사기, 악용 및 기타 악성 콘텐츠로부터 디바이스의 공격 노출 영역을 줄이는 데 어떻게 도움이 되는지 알아봅니다.

네트워크 보호 적용 범위

다음 표에는 적용 범위의 네트워크 보호 영역이 요약됩니다.

기능 Microsoft Edge 비 Microsoft 브라우저 비브로우저 프로세스
(예: PowerShell)
Web Threat Protection SmartScreen을 사용하도록 설정해야 합니다. 네트워크 보호는 블록 모드여야 합니다. 네트워크 보호는 블록 모드여야 합니다.
사용자 지정 표시기 SmartScreen을 사용하도록 설정해야 합니다. 네트워크 보호는 블록 모드여야 합니다. 네트워크 보호는 블록 모드여야 합니다.
웹 콘텐츠 필터링 SmartScreen을 사용하도록 설정해야 합니다. 네트워크 보호는 블록 모드여야 합니다. 지원되지 않음

Microsoft Edge에 SmartScreen을 사용하도록 설정하려면 Edge 정책: SmartScreen 사용을 사용합니다.

참고

Windows에서 네트워크 보호는 Microsoft Edge를 모니터링하지 않습니다. Microsoft Edge 및 인터넷 Explorer 이외의 프로세스의 경우 웹 보호 시나리오는 검사 및 적용을 위해 네트워크 보호를 활용합니다. Mac 및 Linux에서 Microsoft Edge 브라우저는 Web Threat Protection만 통합합니다. Edge 및 기타 브라우저에서 사용자 지정 표시기 및 웹 콘텐츠 필터링을 지원하려면 블록 모드에서 네트워크 보호를 사용하도록 설정해야 합니다.

알려진 문제 & 제한 사항

  • IP 주소는 세 가지 프로토콜(TCP, HTTP 및 HTTPS(TLS))에 대해 지원됩니다.
  • 사용자 지정 표시기에서 단일 IP 주소만 지원됩니다(CIDR 블록 또는 IP 범위 없음).
  • 모든 브라우저 또는 프로세스에 대해 HTTP URL(전체 URL 경로 포함)을 차단할 수 있습니다.
  • HTTPS FQDN(정규화된 도메인 이름)은 타사 브라우저에서 차단할 수 있습니다(전체 URL 경로를 지정하는 표시기에서는 Microsoft Edge에서만 차단할 수 있음).
  • 타사 브라우저에서 FQDN을 차단하려면 해당 브라우저에서 QUIC 및 암호화된 클라이언트 Hello를 사용하지 않도록 설정해야 합니다.
  • HTTP2 연결 병합을 통해 로드된 FQDN은 Microsoft Edge에서만 차단할 수 있습니다.
  • 네트워크 보호는 80 및 443뿐만 아니라 모든 포트에서 연결을 차단합니다.

표시기/정책이 추가되고 일치하는 URL/IP가 차단되는 경우 사이에 최대 2시간의 대기 시간(일반적으로 더 적은 수)이 있을 수 있습니다.

네트워크 보호 요구 사항

네트워크 보호를 사용하려면 다음 운영 체제 중 하나를 실행하는 디바이스가 필요합니다.

또한 네트워크 보호를 사용하려면 실시간 보호가 사용하도록 설정된 Microsoft Defender 바이러스 백신이 필요합니다.

Windows 버전 Microsoft Defender 바이러스 백신
Windows 10 버전 1709 이상, Windows 11, Windows Server 1803 이상 Microsoft Defender 바이러스 백신 실시간 보호, 동작 모니터링클라우드 제공 보호가 사용하도록 설정되어 있는지 확인합니다(활성).
최신 통합 솔루션을 사용하여 R2 및 Windows Server 2016 Windows Server 2012 플랫폼 업데이트 버전 4.18.2001.x.x 이상

네트워크 보호가 중요한 이유

네트워크 보호는 엔드포인트용 Microsoft Defender 솔루션의 공격 표면 감소 그룹의 일부입니다. 네트워크 보호를 사용하면 네트워크 계층이 도메인 및 IP 주소에 대한 연결을 차단할 수 있습니다. 기본적으로 네트워크 보호는 Microsoft Edge 브라우저의 SmartScreen과 유사한 방식으로 악성 URL을 차단하는 SmartScreen 피드를 사용하여 알려진 악성 도메인으로부터 컴퓨터를 보호합니다. 네트워크 보호 기능은 다음으로 확장할 수 있습니다.

Windows Server, Linux, macOS 및 MTD(Mobile Threat Defense)에 대한 네트워크 보호에 대한 자세한 내용은 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.

명령 및 제어 공격 차단

C2(명령 및 제어) 서버는 이전에 맬웨어에 의해 손상된 시스템에 명령을 보내는 데 사용됩니다.

C2 서버를 사용하여 다음을 수행할 수 있는 명령을 시작할 수 있습니다.

  • 데이터 도용
  • 봇넷에서 손상된 컴퓨터 제어
  • 합법적인 애플리케이션 중단
  • 랜섬웨어와 같은 맬웨어 확산

엔드포인트용 Defender의 네트워크 보호 구성 요소는 기계 학습 및 지능형 IoC(손상 지표) 식별과 같은 기술을 사용하여 사람이 운영하는 랜섬웨어 공격에 사용되는 C2 서버에 대한 연결을 식별하고 차단합니다.

네트워크 보호: C2 검색 및 수정

랜섬웨어는 인간 중심적이고 적응적이며 전체 organization 자산 또는 몸값을 위해 데이터를 보유하는 것과 같은 대규모 결과에 초점을 맞춘 정교한 위협으로 발전했습니다.

C2(명령 및 제어 서버)에 대한 지원은 이 랜섬웨어 진화의 중요한 부분이며, 이러한 공격을 대상으로 하는 환경에 적응할 수 있게 해줍니다. 명령 및 제어 인프라에 대한 링크를 끊어 다음 단계로의 공격 진행을 중지합니다. C2 검색 및 수정에 대한 자세한 내용은 기술 커뮤니티 블로그: 네트워크 계층에서 명령 및 제어 공격 검색 및 수정을 참조하세요.

네트워크 보호: 새 알림 메시지

새 매핑 응답 범주 원본
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

참고

customAllowList 는 엔드포인트에서 알림을 생성하지 않습니다.

네트워크 보호 결정에 대한 새 알림

최종 사용자가 네트워크 보호를 사용하는 환경에서 웹 사이트를 방문하려고 하면 다음 표에 설명된 대로 세 가지 시나리오가 가능합니다.

시나리오 발생 작업
URL에 알려진 평판이 있습니다. 사용자는 방해 없이 액세스할 수 있으며 엔드포인트에 알림 메시지가 표시되지 않습니다. 실제로 도메인 또는 URL은 허용됨으로 설정됩니다.
URL에 알 수 없거나 불확실한 평판이 있습니다. 사용자의 액세스가 차단되지만 블록을 우회(차단 해제)할 수 있습니다. 실제로 도메인 또는 URL은 감사로 설정됩니다.
URL에 알려진 잘못된(악의적인) 평판이 있습니다. 사용자가 액세스할 수 없는 경우 실제로 도메인 또는 URL은 차단으로 설정됩니다.

경고 환경

사용자가 웹 사이트를 방문합니다. URL에 알 수 없거나 불확실한 평판이 있는 경우 알림 메시지는 사용자에게 다음 옵션을 제공합니다.

  • 확인: 알림 메시지가 릴리스되고(제거됨) 사이트에 액세스하려는 시도가 종료됩니다.
  • 차단 해제: 사용자는 24시간 동안 사이트에 액세스할 수 있습니다. 이때 블록을 다시 사용할 수 있습니다. 사용자는 차단 해제 를 사용하여 관리자가 사이트를 금지(차단)할 때까지 사이트에 계속 액세스하여 차단 해제 옵션을 제거할 수 있습니다.
  • 피드백: 알림 메시지는 사용자에게 티켓을 제출할 수 있는 링크를 제공하며, 사용자가 사이트에 대한 액세스를 정당화하기 위해 관리자에게 피드백을 제출하는 데 사용할 수 있습니다.

네트워크 보호 피싱 콘텐츠 경고 알림을 표시합니다.

참고

환경 및 block 환경 모두 warn 에 대해 이 문서에 표시된 이미지는 "차단된 URL"을 예제 자리 표시자 텍스트로 사용합니다. 작동하는 환경에서 실제 URL 또는 도메인이 나열됩니다.

CSP를 사용하여 사용 Convert warn verdict to block

기본적으로 악성 사이트에 대한 SmartScreen 판결로 인해 사용자가 재정의할 수 있는 경고가 발생합니다. 경고를 블록으로 변환하여 이러한 재정의를 방지하도록 정책을 설정할 수 있습니다.

비 Edge 브라우저의 경우 Defender CSP: Configuration/EnableConvertWarnToBlock을 참조하세요. Edge 브라우저의 경우 Edge 정책: SmartScreen 프롬프트 재정의 방지를 참조하세요.

그룹 정책 사용하여 경고 평결 변환을 차단하도록 설정

이 설정을 사용하도록 설정하면 네트워크 보호는 경고를 표시하는 대신 네트워크 트래픽을 차단합니다.

  1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다.

  2. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  3. 그룹 정책 관리 편집기컴퓨터 구성으로 이동한 다음 관리 템플릿을 선택합니다.

  4. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>네트워크 검사 시스템으로 확장합니다.

  5. 경고 평결 변환을 두 번 클릭하여 차단하고 옵션을 사용으로 설정합니다.

  6. 확인을 선택합니다.

차단 환경

사용자가 URL의 평판이 좋지 않은 웹 사이트를 방문하면 알림 메시지가 사용자에게 다음 옵션을 제공합니다.

  • 확인: 알림 메시지가 릴리스되고(제거됨) 사이트에 액세스하려는 시도가 종료됩니다.
  • 피드백: 알림 메시지는 사용자에게 티켓을 제출할 수 있는 링크를 제공하며, 사용자가 사이트에 대한 액세스를 정당화하기 위해 관리자에게 피드백을 제출하는 데 사용할 수 있습니다.

알려진 피싱 콘텐츠 차단 알림을 네트워크 보호로 표시합니다.

SmartScreen 차단 해제

엔드포인트용 Defender의 표시기를 사용하면 관리자가 최종 사용자가 일부 URL 및 IP에 대해 생성된 경고를 무시하도록 허용할 수 있습니다. URL이 차단되는 이유에 따라 SmartScreen 블록이 발견되면 사용자에게 최대 24시간 동안 사이트 차단을 해제하는 기능을 제공할 수 있습니다. 이러한 경우 사용자가 차단 해제를 선택할 수 있도록 Windows 보안 알림 메시지가 나타납니다. 이러한 경우 URL 또는 IP는 지정된 기간 동안 차단 해제됩니다.

네트워크 보호를 위한 Windows 보안 알림입니다.

엔드포인트용 Microsoft Defender 관리자는 IP, URL 및 도메인에 대한 허용 표시기를 사용하여 Microsoft Defender 포털에서 SmartScreen 차단 해제 기능을 구성할 수 있습니다.

네트워크 보호 SmartScreen은 구성 URL 및 IP 양식을 차단합니다.

IP 및 URL/도메인에 대한 표시기 만들기를 참조하세요.

네트워크 보호 사용

네트워크 보호는 일반적으로 관리 인프라를 사용하여 수행되는 디바이스당 사용하도록 설정됩니다. 지원되는 방법은 네트워크 보호 설정을 참조하세요.

참고

Microsoft Defender 바이러스 백신은 네트워크 보호를 사용하도록 설정하려면 활성 모드여야 합니다.

모드 또는 block 모드에서 audit 네트워크 보호를 사용하도록 설정할 수 있습니다. IP 주소 또는 URL을 실제로 차단하기 전에 네트워크 보호를 사용하도록 설정하면 미치는 영향을 평가하려면 감사 모드에서 네트워크 보호를 사용하도록 설정할 수 있습니다. 감사 모드는 최종 사용자가 네트워크 보호에 의해 차단되는 주소 또는 사이트에 연결할 때마다 로그됩니다. 사용자 지정 표시기 또는 웹 콘텐츠 필터링 범주의 차단을 적용하려면 네트워크 보호가 모드여야 block 합니다.

Linux 및 macOS에 대한 네트워크 보호에 대한 자세한 내용은 다음 문서를 참조하세요.

고급 헌팅

고급 헌팅을 사용하여 감사 이벤트를 식별하는 경우 콘솔에서 최대 30일의 기록을 사용할 수 있습니다. 고급 헌팅을 참조하세요.

엔드포인트용 Defender 포털(https://security.microsoft.com)에서 고급 헌팅에서 감사 이벤트를 찾을 수 있습니다.

감사 이벤트는 ActionType ExploitGuardNetworkProtectionAudited이 인 DeviceEvents에 있습니다. 블록은 의 ExploitGuardNetworkProtectionBlockedActionType과 함께 표시됩니다.

다음은 비 Microsoft 브라우저에 대한 네트워크 보호 이벤트를 보기 위한 예제 쿼리입니다.


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

이벤트를 감사하고 식별하기 위한 고급 헌팅입니다.

이러한 항목에는 IsAudit, ResponseCategoryDisplayName 필드를 포함하여 작업에 대한 자세한 정보를 제공하는 AdditionalFields 열에 데이터가 있습니다.

또 다른 예는 다음과 같습니다.


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

응답 범주는 이 예제와 같이 이벤트의 원인을 알려줍니다.

ResponseCategory 이벤트를 담당하는 기능
CustomPolicy WCF
CustomBlockList 사용자 지정 표시기
CasbPolicy Defender for Cloud Apps
Malicious 웹 위협
Phishing 웹 위협

자세한 내용은 엔드포인트 블록 문제 해결을 참조하세요.

Microsoft Edge 브라우저를 사용하는 경우 Microsoft Defender SmartScreen 이벤트에 다음 쿼리를 사용합니다.


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

결과 URL 및 IP 목록을 사용하여 네트워크 보호가 디바이스의 차단 모드로 설정된 경우 차단되는 항목을 확인할 수 있습니다. URL 및 IP를 차단하는 기능을 확인할 수도 있습니다. 목록을 검토하여 환경에 필요한 URL 또는 IP를 식별합니다. 그런 다음 해당 URL 또는 IP 주소에 대한 허용 표시기를 만들 수 있습니다. 허용 표시기가 모든 블록보다 우선합니다. 네트워크 보호 블록의 우선 순위 순서를 참조하세요.

사이트 차단을 해제하는 표시기를 만든 후 다음과 같이 원래 블록을 resolve 수 있습니다.

  • SmartScreen: 가양성 보고(적절한 경우)
  • 표시기: 기존 표시기 수정
  • MCA: 허가되지 않은 앱 검토
  • WCF: 요청 재분류

참고

디바이스별 설정이므로 차단 모드로 이동할 수 없는 디바이스가 있는 경우 감사에 그대로 두면 감사 이벤트를 받을 수 있습니다.

SmartScreen 데이터에서 가양성 보고 방법에 대한 자세한 내용은 가양성 보고를 참조하세요.

고유한 Power BI 보고서를 만드는 방법에 대한 자세한 내용은 Power BI를 사용하여 사용자 지정 보고서 만들기를 참조하세요.

네트워크 보호 구성

네트워크 보호를 사용하도록 설정하는 방법에 대한 자세한 내용은 네트워크 보호 사용을 참조하세요. 그룹 정책, PowerShell 또는 MDM CSP를 사용하여 네트워크에서 네트워크 보호를 사용하도록 설정하고 관리합니다.

네트워크 보호를 사용하도록 설정한 후에는 엔드포인트 디바이스와 웹 서비스 간의 연결을 허용하도록 네트워크 또는 방화벽을 구성해야 할 수 있습니다.

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

필수 브라우저 구성

타사 Edge 프로세스에서 네트워크 보호는 TCP/IP 핸드셰이크 후에 발생하는 TLS 핸드셰이크 콘텐츠를 검사하여 각 HTTPS 연결에 대한 정규화된 도메인 이름을 결정합니다. 이렇게 하려면 HTTPS 연결이 TCP/IP(UDP/QUIC 아님)를 사용하고 ClientHello 메시지가 암호화되지 않도록 해야 합니다. Google Chrome에서 QUIC 및 암호화된 클라이언트 Hello를 사용하지 않도록 설정하려면 QuicAllowedEncryptedClientHelloEnabled를 참조하세요. Mozilla Firefox의 경우 EncryptedClientHellonetwork.http.http3.enable 사용 안 함을 참조하세요.

네트워크 보호 이벤트 보기

네트워크 보호는 경고 조사 시나리오의 일부로 악용 방지 이벤트 및 블록에 대한 자세한 보고를 제공하는 엔드포인트용 Microsoft Defender 가장 잘 작동합니다.

네트워크 보호가 연결을 차단하면 클라이언트에 알림이 표시됩니다. 보안 운영 팀은 organization 세부 정보 및 연락처 정보를 사용하여 알림을 사용자 지정할 수 있습니다.

Microsoft Defender 포털에서 네트워크 보호 이벤트 검토

엔드포인트용 Defender는 경고 조사 시나리오의 일부로 이벤트 및 블록에 대한 자세한 보고를 제공합니다. 경고 큐의 Microsoft Defender 포털(https://security.microsoft.com)에서 또는 고급 헌을 사용하여 이러한 세부 정보를 볼 수 있습니다. 감사 모드를 사용하는 경우 고급 헌팅을 사용하여 네트워크 보호 설정이 사용하도록 설정된 경우 환경에 어떤 영향을 미치는지 확인할 수 있습니다.

Windows 이벤트 뷰어 네트워크 보호 이벤트 검토

Windows 이벤트 로그를 검토하여 네트워크 보호가 악성 IP 또는 도메인에 대한 액세스를 차단(또는 감사)할 때 생성되는 이벤트를 확인할 수 있습니다.

  1. XML 쿼리를 만듭니다.

  2. 확인을 선택합니다.

이 절차에서는 네트워크 보호와 관련된 다음 이벤트만 표시하도록 필터링하는 사용자 지정 보기를 만듭니다.

이벤트 ID 설명
5007 설정이 변경된 경우의 이벤트
1125 감사 모드에서 네트워크 보호가 실행되는 경우 이벤트
1126 블록 모드에서 네트워크 보호가 실행되는 경우 이벤트

네트워크 보호 및 TCP 3방향 핸드셰이크

네트워크 보호를 사용하면 TCP/IP를 통한 3방향 핸드셰이크가 완료된 후 사이트에 대한 액세스를 허용하거나 차단할지 여부를 결정합니다. 따라서 네트워크 보호가 사이트를 차단할 때 사이트가 차단된 경우에도 Microsoft Defender 포털에서 아래 작업 ConnectionSuccessDeviceNetworkEvents 유형이 표시될 수 있습니다. DeviceNetworkEvents 는 네트워크 보호가 아니라 TCP 계층에서 보고됩니다. TCP/IP 핸드셰이크 및 TLS 핸드셰이크가 완료되면 네트워크 보호에 의해 사이트에 대한 액세스가 허용되거나 차단됩니다.

작동 방식의 예는 다음과 같습니다.

  1. 사용자가 웹 사이트에 액세스하려고 시도한다고 가정합니다. 사이트는 위험한 도메인에서 호스트되며 네트워크 보호에 의해 차단되어야 합니다.

  2. TCP/IP를 통한 3방향 핸드셰이크가 시작됩니다. 작업이 완료 DeviceNetworkEvents 되기 전에 작업이 기록되고 작업이 ActionTypeConnectionSuccess나열됩니다. 그러나 3방향 핸드셰이크 프로세스가 완료되는 즉시 네트워크 보호는 사이트에 대한 액세스를 차단합니다. 이 모든 작업은 빠르게 수행됩니다.

  3. Microsoft Defender 포털에서 경고 큐에 경고가 나열됩니다. 해당 경고의 세부 정보에는 및 AlertEvidence가 모두 DeviceNetworkEvents 포함됩니다. ActionTypeConnectionSuccess이 인 항목도 있 DeviceNetworkEvents 더라도 사이트가 차단된 것을 볼 수 있습니다.

Windows 10 Enterprise 다중 세션을 실행하는 Windows 가상 데스크톱에 대한 고려 사항

Windows 10 Enterprise 다중 사용자 특성으로 인해 다음 사항에 유의하세요.

  • 네트워크 보호는 디바이스 전체 기능이며 특정 사용자 세션을 대상으로 할 수 없습니다.
  • 사용자 그룹을 구분해야 하는 경우 별도의 Windows Virtual Desktop 호스트 풀 및 할당을 만드는 것이 좋습니다.
  • 감사 모드에서 네트워크 보호를 테스트하여 롤아웃하기 전에 해당 동작을 평가합니다.
  • 사용자가 많거나 다중 사용자 세션이 많은 경우 배포 크기를 조정하는 것이 좋습니다.

네트워크 보호를 위한 대체 옵션

최신 통합 솔루션을 사용하는 Windows Server 2012 R2 및 Windows Server 2016 경우 버전 1803 이상을 Windows Server Windows 10 Enterprise Azure의 Windows Virtual Desktop에서 사용되는 다중 세션 1909 이상에서는 다음 방법을 사용하여 Microsoft Edge에 대한 네트워크 보호를 사용하도록 설정할 수 있습니다.

  1. 네트워크 보호 켜기를 사용하고 지침에 따라 정책을 적용합니다.

  2. 다음 PowerShell 명령을 실행합니다.

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    참고

    경우에 따라 인프라, 트래픽 볼륨 및 기타 조건에 Set-MpPreference -AllowDatagramProcessingOnWinServer 1 따라 네트워크 성능에 영향을 줄 수 있습니다.

Windows Server에 대한 네트워크 보호

다음 정보는 Windows Server와 관련이 있습니다.

네트워크 보호가 사용하도록 설정되어 있는지 확인

레지스트리 편집기 사용하여 로컬 디바이스에서 네트워크 보호를 사용할 수 있는지 확인합니다.

  1. 작업 표시줄에서 시작 단추를 선택하고 를 입력 regedit 하여 레지스트리 편집기 엽니다.

  2. 측면 메뉴에서 HKEY_LOCAL_MACHINE 선택합니다.

  3. 중첩된 메뉴를 통해 소프트웨어>정책>Microsoft>Windows Defender Windows Defender>Exploit Guard>네트워크 보호로 이동합니다.

    (키가 없는 경우 SOFTWARE>로 이동합니다.Microsoft>Windows Defender>Windows Defender Exploit Guard>네트워크 보호)

  4. EnableNetworkProtection을 선택하여 디바이스에서 네트워크 보호의 현재 상태를 확인합니다.

    • 0 = 끄기
    • 1 = 켜기(사용)
    • 2 = 감사 모드

자세한 내용은 네트워크 보호 설정을 참조하세요.

네트워크 보호 권장 레지스트리 키

최신 통합 솔루션을 사용하는 Windows Server 2012 R2 및 Windows Server 2016 경우 Windows Server 버전 1803 이상과 다중 세션 1909 이상(Azure의 Windows Virtual Desktop에서 사용)을 Windows 10 Enterprise 다른 레지스트리 키를 사용하도록 설정합니다. 다음과:

  1. HKEY_LOCAL_MACHINE>소프트웨어>Microsoft>Windows DefenderWindows Defender> Exploit Guard >네트워크 보호로 이동합니다.

  2. 다음 키를 구성합니다.

    • AllowNetworkProtectionOnWinServer (DWORD)를 로 1 설정(16진수)
    • EnableNetworkProtection (DWORD)를 로 1 설정(16진수)
    • (Windows Server 2012 R2 및 Windows Server 2016만 해당) AllowNetworkProtectionDownLevel (DWORD)가 (16진수)로 1 설정됨

참고

인프라, 트래픽의 양 및 기타 조건에 따라소프트웨어>정책>>Microsoft>Windows Defender>NIS소비자>IPS - >AllowDatagramProcessingOnWinServer(dword) 1(16진수)이 네트워크 성능에 영향을 줄 수 HKEY_LOCAL_MACHINE.

자세한 내용은 네트워크 보호 켜기를 참조하세요.

Windows Server 및 Windows 다중 세션 구성을 사용하려면 PowerShell이 필요합니다.

Windows Server 및 Windows 다중 세션의 경우 PowerShell cmdlet을 사용하여 사용하도록 설정해야 하는 다른 항목이 있습니다. 최신 통합 솔루션을 사용하는 Windows Server 2012 R2 및 Windows Server 2016 경우 버전 1803 이상을 Windows Server Azure의 Windows Virtual Desktop에서 사용되는 다중 세션 1909 이상을 Windows 10 Enterprise 다음 PowerShell 명령을 실행합니다.:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

참고

경우에 따라 인프라, 트래픽의 양 및 기타 조건에 따라 네트워크 성능에 Set-MpPreference -AllowDatagramProcessingOnWinServer 1 영향을 줄 수 있습니다.

네트워크 보호 문제 해결

네트워크 보호가 실행되는 환경으로 인해 이 기능이 운영 체제 프록시 설정을 검색하지 못할 수 있습니다. 경우에 따라 네트워크 보호 클라이언트가 클라우드 서비스에 연결할 수 없습니다. 연결 문제를 resolve Microsoft Defender 바이러스 백신에 대한 정적 프록시를 구성합니다.

참고

암호화된 클라이언트 Hello 및 QUIC 프로토콜은 네트워크 보호 기능에서 지원되지 않습니다. 위의 필수 브라우저 구성 에 설명된 대로 브라우저에서 이러한 프로토콜을 사용하지 않도록 설정해야 합니다.

모든 클라이언트에서 QUIC를 사용하지 않도록 설정하려면 Windows 방화벽을 통해 QUIC 트래픽을 차단할 수 있습니다.

Windows 방화벽에서 QUIC 사용 안 함

이 메서드는 브라우저 및 클라이언트 앱(예: Microsoft Office)을 비롯한 모든 애플리케이션에 영향을 줍니다. PowerShell에서 cmdlet을 실행 New-NetFirewallRule 하여 포트 443에 대한 모든 아웃바운드 트래픽 UDP 트래픽을 차단하여 QUIC를 사용하지 않도록 설정하는 새 방화벽 규칙을 추가합니다.


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

네트워크 보호 성능 최적화

네트워크 보호에는 모드가 수명이 긴 연결을 비동기적으로 검사할 수 block 있는 성능 최적화가 포함되어 있어 성능이 향상될 수 있습니다. 이 최적화는 앱 호환성 문제에도 도움이 될 수 있습니다. 이 기능은 기본적으로 켜집니다.

CSP를 사용하여 AllowSwitchToAsyncInspection 사용

Defender CSP: Configuration/AllowSwitchToAsyncInspection

그룹 정책 사용하여 비동기 검사 켜기 사용

이 절차를 사용하면 실시간 검사에서 비동기 검사로 전환하여 네트워크 보호를 통해 성능을 향상시킬 수 있습니다.

  1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다.

  2. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  3. 그룹 정책 관리 편집기 컴퓨터 구성으로 이동한 다음 관리 템플릿을 선택합니다.

  4. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>네트워크 검사 시스템으로 확장합니다.

  5. 비동기 검사 켜기를 두 번 클릭한 다음 옵션을 사용으로 설정합니다.

  6. 확인을 선택합니다.

Microsoft Defender 바이러스 백신 Powershell cmdlet을 사용하여 비동기 검사 켜기 사용

다음 PowerShell cmdlet을 사용하여 이 기능을 켤 수 있습니다.

Set-MpPreference -AllowSwitchToAsyncInspection $true

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.