Intune Endpoint Protection 프로필을 통해 관리할 수 있는 Windows 설정

  • 아티클

참고

Intune은 이 문서에 나열된 설정보다 더 많은 설정을 지원할 수 있습니다. 모든 설정이 문서화되지 않으며 문서화되지 않습니다. 구성할 수 있는 설정을 보려면 디바이스 구성 정책을 만들고 설정 카탈로그를 선택합니다. 자세한 내용은 설정 카탈로그를 참조하세요.

Microsoft Intune 디바이스를 보호하는 데 도움이 되는 많은 설정이 포함되어 있습니다. 이 문서에서는 디바이스 구성 엔드포인트 보호 템플릿의 설정을 설명합니다. 디바이스 보안을 관리하려면 디바이스 보안의 하위 집합에 직접 초점을 맞춘 엔드포인트 보안 정책을 사용할 수도 있습니다. Microsoft Defender 바이러스 백신을 구성하려면 Windows 디바이스 제한을 참조하거나 엔드포인트 보안 바이러스 백신 정책 사용을 참조하세요.

시작하기 전에

엔드포인트 보호 디바이스 구성 프로필을 만듭니다.

CSP(구성 서비스 공급자)에 대한 자세한 내용은 구성 서비스 공급자 참조를 참조하세요.

Windows Defender Application Guard

Microsoft Edge의 경우 Microsoft Defender Application Guard organization 신뢰할 수 없는 사이트로부터 환경을 보호합니다. Application Guard 사용하면 격리된 네트워크 경계에 없는 사이트가 Hyper-V 가상 검색 세션에서 열립니다. 신뢰할 수 있는 사이트는 디바이스 구성에 구성된 네트워크 경계에 의해 정의됩니다. 자세한 내용은 Windows 디바이스에서 네트워크 경계 만들기를 참조하세요.

Application Guard 64비트 Windows 디바이스에서만 사용할 수 있습니다. 이 프로필을 사용하면 Win32 구성 요소를 설치하여 Application Guard 활성화합니다.

  • Application Guard
    기본값: 구성되지 않음
    Application Guard CSP: 설정/AllowWindowsDefenderApplicationGuard

    • Edge에 대해 사용 - Hyper-V 가상화된 검색 컨테이너에서 신뢰할 수 없는 사이트를 여는 이 기능을 켭니다.
    • 구성되지 않음 - 모든 사이트(신뢰할 수 있고 신뢰할 수 없음)는 디바이스에서 열 수 있습니다.

  • 클립보드 동작
    기본값: 구성되지 않음
    Application Guard CSP: 설정/클립보드설정

    로컬 PC와 Application Guard 가상 브라우저 간에 허용되는 복사 및 붙여넣기 작업을 선택합니다.

    • 구성되지 않음
    • PC에서 브라우저로만 복사 및 붙여넣기 허용
    • 브라우저에서 PC로만 복사 및 붙여넣기 허용
    • PC와 브라우저 간에 복사 및 붙여넣기 허용
    • PC와 브라우저 간 복사 및 붙여넣기 차단

  • 클립보드 콘텐츠
    이 설정은 클립보드 동작 이 허용 설정 중 하나로 설정된 경우에만 사용할 수 있습니다 .
    기본값: 구성되지 않음
    Application Guard CSP: 설정/클립보드파일타입

    허용되는 클립보드 콘텐츠를 선택합니다.

    • 구성되지 않음
    • 텍스트
    • 이미지
    • 텍스트 및 이미지

  • 엔터프라이즈 사이트의 외부 콘텐츠
    기본값: 구성되지 않음
    Application Guard CSP: 설정/BlockNonEnterpriseContent

    • 차단 - 승인되지 않은 웹 사이트의 콘텐츠 로드를 차단합니다.
    • 구성되지 않음 - 엔터프라이즈가 아닌 사이트는 디바이스에서 열 수 있습니다.

  • 가상 브라우저에서 인쇄
    기본값: 구성되지 않음
    Application Guard CSP: 설정/인쇄설정

    • 허용 - 가상 브라우저에서 선택한 콘텐츠를 인쇄할 수 있습니다.
    • 구성되지 않음 모든 인쇄 기능을 사용하지 않도록 설정합니다.

    인쇄 를 허용 하면 다음 설정을 구성할 수 있습니다.

    • 인쇄 유형 다음 옵션 중 하나 이상을 선택합니다.
      • PDF
      • Xps
      • 로컬 프린터
      • 네트워크 프린터

  • 로그 수집
    기본값: 구성되지 않음
    Application Guard CSP: Audit/AuditApplicationGuard

    • 허용 - Application Guard 검색 세션 내에서 발생하는 이벤트에 대한 로그를 수집합니다.
    • 구성되지 않음 - 검색 세션 내에서 로그를 수집하지 마세요.

  • 사용자 생성 브라우저 데이터 보존
    기본값: 구성되지 않음
    Application Guard CSP: 설정/AllowPersistence

    • 허용 Application Guard 가상 브라우징 세션 중에 생성된 사용자 데이터(예: 암호, 즐겨찾기 및 쿠키)를 저장합니다.
    • 구성되지 않음 디바이스가 다시 시작되거나 사용자가 로그아웃할 때 사용자가 다운로드한 파일 및 데이터를 삭제합니다.

  • 그래픽 가속
    기본값: 구성되지 않음
    Application Guard CSP: 설정/AllowVirtualGPU

    • 사용 - 가상 그래픽 처리 장치에 액세스하여 그래픽 집약적인 웹 사이트 및 비디오를 더 빠르게 로드합니다.
    • 구성되지 않음 그래픽에 디바이스의 CPU를 사용합니다. 가상 그래픽 처리 장치를 사용하지 마세요.

  • 파일 시스템을 호스트할 파일 다운로드
    기본값: 구성되지 않음
    Application Guard CSP: 설정/SaveFilesToHost

    • 사용 - 사용자는 가상화된 브라우저에서 호스트 운영 체제로 파일을 다운로드할 수 있습니다.
    • 구성되지 않음 - 디바이스에서 파일을 로컬로 유지하고 호스트 파일 시스템에 파일을 다운로드하지 않습니다.

Windows 방화벽

전역 설정

이러한 설정은 모든 네트워크 유형에 적용됩니다.

  • 파일 전송 프로토콜
    기본값: 구성되지 않음
    방화벽 CSP: MdmStore/Global/DisableStatefulFtp

    • 블록 - 상태 저장 FTP를 사용하지 않도록 설정합니다.
    • 구성되지 않음 - 방화벽은 보조 연결을 허용하도록 상태 저장 FTP 필터링을 수행합니다.

  • 삭제 전 보안 연결 유휴 시간
    기본값: 구성되지 않음
    방화벽 CSP: MdmStore/Global/SaIdleTime

    보안 연결이 삭제된 후 유휴 시간(초)을 지정합니다.

  • 미리 공유된 키 인코딩
    기본값: 구성되지 않음
    방화벽 CSP: MdmStore/Global/PresharedKeyEncoding

    • 사용 - UTF-8을 사용하여 미리 구성된 키를 인코딩합니다.
    • 구성되지 않음 - 로컬 저장소 값을 사용하여 미리 구성된 키를 인코딩합니다.

  • IPsec 예외
    기본값: 0 선택됨
    방화벽 CSP: MdmStore/Global/IPsecExempt

    IPsec에서 제외할 다음 트래픽 유형 중 하나 이상을 선택합니다.

    • 인접 검색 IPv6 ICMP 형식 코드
    • ICMP
    • 라우터가 IPv6 ICMP 형식 코드를 검색합니다.
    • IPv4 및 IPv6 DHCP 네트워크 트래픽 모두

  • 인증서 해지 목록 확인
    기본값: 구성되지 않음
    방화벽 CSP: MdmStore/Global/CRLcheck

    디바이스에서 인증서 해지 목록을 확인하는 방법을 선택합니다. 옵션은 다음과 같습니다.

    • CRL 확인 사용 안 함
    • 해지된 인증서에 대해서만 CRL 확인 실패
    • 발생한 오류에 대해 CRL 확인에 실패합니다.

  • 키 지정 모듈당 인증 집합을 기회적으로 일치
    기본값: 구성되지 않음
    방화벽 CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • 사용 키 지정 모듈은 지원하지 않는 인증 도구 모음만 무시해야 합니다.
    • 구성되지 않은 키 지정 모듈은 집합에 지정된 모든 인증 도구 모음을 지원하지 않는 경우 전체 인증 집합을 무시해야 합니다.

  • 패킷 큐
    기본값: 구성되지 않음
    방화벽 CSP: MdmStore/Global/EnablePacketQueue

    IPsec 터널 게이트웨이 시나리오에 대해 암호화된 수신 및 지우기 텍스트 전달에 대해 수신 쪽에서 소프트웨어 크기 조정을 사용하도록 설정하는 방법을 지정합니다. 이 설정은 패킷 순서가 유지됨을 확인합니다. 옵션은 다음과 같습니다.

    • 구성되지 않음
    • 모든 패킷 큐 사용 안 함
    • 큐 인바운드 암호화된 패킷만
    • 암호 해독 후 큐 패킷은 전달에 대해서만 수행됩니다.
    • 인바운드 및 아웃바운드 패킷 구성

네트워크 설정

다음 설정은 각각 이 문서에 한 번 나열되지만 모두 세 가지 특정 네트워크 유형에 적용됩니다.

  • 도메인(작업 공간) 네트워크
  • 프라이빗(검색 가능) 네트워크
  • 공용(검색할 수 없는) 네트워크

일반

  • Windows 방화벽
    기본값: 구성되지 않음
    방화벽 CSP: EnableFirewall

    • 사용 - 방화벽 및 고급 보안을 켭니다.
    • 구성되지 않음 다른 정책 설정에 관계없이 모든 네트워크 트래픽을 허용합니다.

  • 스텔스 모드
    기본값: 구성되지 않음
    방화벽 CSP: DisableStealthMode

    • 구성되지 않음
    • 차단 - 방화벽이 스텔스 모드에서 작동하지 못하도록 차단됩니다. 스텔스 모드를 차단하면 IPsec 보안 패킷 예외도 차단할 수 있습니다.
    • 허용 - 방화벽은 검색 요청에 대한 응답을 방지하는 데 도움이 되는 스텔스 모드로 작동합니다.

  • 스텔스 모드를 사용하는 IPsec 보안 패킷 예외
    기본값: 구성되지 않음
    방화벽 CSP: DisableStealthModeIpsecsecuredPacketExemption

    스텔스 모드차단으로 설정된 경우 이 옵션은 무시됩니다.

    • 구성되지 않음
    • 차단 - IPSec 보안 패킷은 예외를 받지 않습니다.
    • 허용 - 예외를 사용하도록 설정합니다. 방화벽의 스텔스 모드는 호스트 컴퓨터가 IPsec으로 보호되는 원치 않는 네트워크 트래픽에 응답하는 것을 방지해서는 안 됩니다.

  • 차폐
    기본값: 구성되지 않음
    방화벽 CSP: 보호됨

    • 구성되지 않음
    • 차단 - Windows 방화벽이 설정되어 있고 이 설정이 차단으로 설정되면 다른 정책 설정에 관계없이 들어오는 모든 트래픽이 차단됩니다.
    • 허용 - 허용으로 설정하면 이 설정이 꺼지고 다른 정책 설정에 따라 들어오는 트래픽이 허용됩니다.

  • 멀티캐스트 브로드캐스트에 대한 유니캐스트 응답
    기본값: 구성되지 않음
    방화벽 CSP: DisableUnicastResponsesToMulticastBroadcast

    일반적으로 멀티캐스트 또는 브로드캐스트 메시지에 대한 유니캐스트 응답을 받지 않습니다. 이러한 응답은 DOS(서비스 거부) 공격 또는 알려진 라이브 컴퓨터를 검색하려는 공격자를 나타낼 수 있습니다.

    • 구성되지 않음
    • 차단 - 멀티캐스트 브로드캐스트에 대한 유니캐스트 응답을 사용하지 않도록 설정합니다.
    • 허용 - 멀티캐스트 브로드캐스트에 대한 유니캐스트 응답을 허용합니다.

  • 인바운드 알림
    기본값: 구성되지 않음
    방화벽 CSP: DisableInboundNotifications

    • 구성되지 않음
    • 차단 - 앱이 포트에서 수신 대기가 차단될 때 사용할 알림을 숨깁니다.
    • 허용 - 이 설정을 사용하도록 설정하고, 앱이 포트에서 수신 대기가 차단되면 사용자에게 알림을 표시할 수 있습니다.

  • 아웃바운드 연결에 대한 기본 작업
    기본값: 구성되지 않음
    방화벽 CSP: DefaultOutboundAction

    방화벽이 아웃바운드 연결에서 수행하는 기본 작업을 구성합니다. 이 설정은 Windows 버전 1809 이상에 적용됩니다.

    • 구성되지 않음
    • 차단 - 차단하지 않도록 명시적으로 지정하지 않는 한 기본 방화벽 작업은 아웃바운드 트래픽에서 실행되지 않습니다.
    • 허용 - 기본 방화벽 작업은 아웃바운드 연결에서 실행됩니다.

  • 인바운드 연결에 대한 기본 작업
    기본값: 구성되지 않음
    방화벽 CSP: DefaultInboundAction

    • 구성되지 않음
    • 차단 - 기본 방화벽 작업은 인바운드 연결에서 실행되지 않습니다.
    • 허용 - 기본 방화벽 작업은 인바운드 연결에서 실행됩니다.

규칙 병합

  • 로컬 저장소의 권한 있는 애플리케이션 Windows 방화벽 규칙
    기본값: 구성되지 않음
    방화벽 CSP: AuthAppsAllowUserPrefMerge

    • 구성되지 않음
    • 차단 - 로컬 저장소의 권한 있는 애플리케이션 방화벽 규칙은 무시되고 적용되지 않습니다.
    • 허용 - 로컬 저장소에서 방화벽 규칙을 적용하여 인식 및 적용하도록 사용을 선택합니다.

  • 로컬 저장소의 전역 포트 Windows 방화벽 규칙
    기본값: 구성되지 않음
    방화벽 CSP: GlobalPortsAllowUserPrefMerge

    • 구성되지 않음
    • 차단 - 로컬 저장소의 전역 포트 방화벽 규칙은 무시되고 적용되지 않습니다.
    • 허용 - 로컬 저장소에 전역 포트 방화벽 규칙을 적용하여 인식하고 적용합니다.

  • 로컬 저장소의 Windows 방화벽 규칙
    기본값: 구성되지 않음
    방화벽 CSP: AllowLocalPolicyMerge

    • 구성되지 않음
    • 차단 - 로컬 저장소의 방화벽 규칙은 무시되며 적용되지 않습니다.
    • 허용 - 로컬 저장소에서 방화벽 규칙을 적용하여 인식하고 적용합니다.

  • 로컬 저장소의 IPsec 규칙
    기본값: 구성되지 않음
    방화벽 CSP: AllowLocalIpsecPolicyMerge

    • 구성되지 않음
    • 차단 - 스키마 버전 및 연결 보안 규칙 버전에 관계없이 로컬 저장소의 연결 보안 규칙이 무시되고 적용되지 않습니다.
    • 허용 - 스키마 또는 연결 보안 규칙 버전에 관계없이 로컬 저장소에서 연결 보안 규칙을 적용합니다.

방화벽 규칙

하나 이상의 사용자 지정 방화벽 규칙을 추가할 수 있습니다. 자세한 내용은 Windows 디바이스에 대한 사용자 지정 방화벽 규칙 추가를 참조하세요.

사용자 지정 방화벽 규칙은 다음 옵션을 지원합니다.

일반 설정

  • 이름
    기본값: 이름 없음

    규칙의 이름을 지정합니다. 이 이름은 규칙을 식별하는 데 도움이 되는 규칙 목록에 표시됩니다.

  • 설명
    기본값: 설명 없음

    규칙에 대한 설명을 제공합니다.

  • 방향
    기본값: 구성되지 않음
    방화벽 CSP: FirewallRules/FirewallRuleName/Direction

    이 규칙이 인바운드 또는 아웃바운드 트래픽에 적용되는지 여부를 지정합니다. 구성되지 않음으로 설정하면 규칙이 아웃바운드 트래픽에 자동으로 적용됩니다.

  • 작업
    기본값: 구성되지 않음
    방화벽 CSP: FirewallRules/FirewallRuleName/ActionFirewallRules/FirewallRuleName/Action/Type

    허용 또는 차단에서 선택합니다. 구성되지 않음으로 설정하면 규칙은 기본적으로 트래픽을 허용합니다.

  • 네트워크 유형
    기본값: 0 선택됨
    방화벽 CSP: FirewallRules/FirewallRuleName/Profiles

    이 규칙이 속한 최대 세 가지 유형의 네트워크 유형을 선택합니다. 옵션으로 는 도메인, 프라이빗퍼블릭이 있습니다. 네트워크 유형이 선택되지 않은 경우 규칙은 세 가지 네트워크 유형 모두에 적용됩니다.

응용 프로그램 설정

  • 애플리케이션(들)
    기본값: 모두

    앱 또는 프로그램에 대한 연결을 제어합니다. 앱 및 프로그램은 파일 경로, 패키지 패밀리 이름 또는 서비스 이름으로 지정할 수 있습니다.

    • 패키지 패밀리 이름 – 패키지 패밀리 이름을 지정합니다. 패키지 패밀리 이름을 찾으려면 PowerShell 명령 Get-AppxPackage를 사용합니다.
      방화벽 CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • 파일 경로 – 절대 경로 또는 상대 경로일 수 있는 클라이언트 디바이스의 앱에 대한 파일 경로를 지정해야 합니다. 예: C:\Windows\System\Notepad.exe 또는 %WINDIR%\Notepad.exe.
      방화벽 CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows 서비스 – 트래픽을 보내거나 받는 애플리케이션이 아닌 서비스인 경우 Windows 서비스 짧은 이름을 지정합니다. 서비스 짧은 이름을 찾으려면 PowerShell 명령 Get-Service를 사용합니다.
      방화벽 CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • 모두구성이 필요하지 않음

IP 주소 설정

이 규칙이 적용되는 로컬 및 원격 주소를 지정합니다.

  • 로컬 주소
    기본값: 모든 주소
    방화벽 CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    주소 또는 지정된 주소를 선택합니다.

    지정된 주소를 사용하는 경우 규칙에서 다루는 로컬 주소의 쉼표로 구분된 목록으로 하나 이상의 주소를 추가합니다. 유효한 토큰은 다음과 같습니다.

    • 모든 로컬 주소에 별표 * 사용 별표는 사용하는 유일한 토큰이어야 합니다.
    • 서브넷 마스크 또는 네트워크 접두사 표기법으로 서브넷을 지정합니다. 서브넷 마스크 또는 네트워크 접두사를 지정하지 않으면 서브넷 마스크의 기본값은 255.255.255.255입니다.
    • 유효한 IPv6 주소입니다.
    • 공백이 없는 "시작 주소 - 끝 주소" 형식의 IPv4 주소 범위입니다.
    • 공백이 없는 "시작 주소 - 끝 주소" 형식의 IPv6 주소 범위입니다.

  • 원격 주소
    기본값: 모든 주소
    방화벽 CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    주소 또는 지정된 주소를 선택합니다.

    지정된 주소를 사용하는 경우 규칙에서 다루는 원격 주소의 쉼표로 구분된 목록으로 하나 이상의 주소를 추가합니다. 토큰은 대/소문자를 구분하지 않습니다. 유효한 토큰은 다음과 같습니다.

    • 모든 원격 주소에 별표 "*"를 사용합니다. 별표는 사용하는 유일한 토큰이어야 합니다.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (Windows 버전 1809 이상에서 지원됨)
    • RmtIntranet (Windows 버전 1809 이상에서 지원됨)
    • Internet (Windows 버전 1809 이상에서 지원됨)
    • Ply2Renders (Windows 버전 1809 이상에서 지원됨)
    • LocalSubnet 는 로컬 서브넷의 모든 로컬 주소를 나타냅니다.
    • 서브넷 마스크 또는 네트워크 접두사 표기법으로 서브넷을 지정합니다. 서브넷 마스크 또는 네트워크 접두사를 지정하지 않으면 서브넷 마스크의 기본값은 255.255.255.255입니다.
    • 유효한 IPv6 주소입니다.
    • 공백이 없는 "시작 주소 - 끝 주소" 형식의 IPv4 주소 범위입니다.
    • 공백이 없는 "시작 주소 - 끝 주소" 형식의 IPv6 주소 범위입니다.

포트 및 프로토콜 설정

이 규칙이 적용되는 로컬 및 원격 포트를 지정합니다.

고급 구성

  • 인터페이스 형식
    기본값: 0 선택됨
    방화벽 CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    다음 옵션 중에서 선택할 수 있습니다.

    • 원격 액세스
    • 무선
    • 로컬 영역 네트워크

  • 이러한 사용자의 연결만 허용
    기본값: 모든 사용자 (목록이 지정되지 않은 경우 모든 사용자에 대한 기본값 사용)
    방화벽 CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    이 규칙에 대해 권한 있는 로컬 사용자 목록을 지정합니다. 이 규칙이 Windows 서비스에 적용되는 경우 권한 있는 사용자 목록을 지정할 수 없습니다.

SmartScreen 설정 Microsoft Defender

Microsoft Edge를 디바이스에 설치해야 합니다.

  • 앱 및 파일용 SmartScreen
    기본값: 구성되지 않음
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • 구성되지 않음 - SmartScreen 사용을 사용하지 않도록 설정합니다.
    • 사용 - 파일 실행 및 실행 앱에 Windows SmartScreen을 사용하도록 설정합니다. SmartScreen은 클라우드 기반 피싱 방지 및 맬웨어 방지 구성 요소입니다.

  • 확인되지 않은 파일 실행
    기본값: 구성되지 않음
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • 구성되지 않음 - 이 기능을 사용하지 않도록 설정하고 최종 사용자가 확인되지 않은 파일을 실행할 수 있도록 합니다.
    • 차단 - 최종 사용자가 Windows SmartScreen에서 확인되지 않은 파일을 실행하지 못하도록 방지합니다.

Windows Encryption

Windows 설정

  • 장치 암호화
    기본값: 구성되지 않음
    BitLocker CSP: RequireDeviceEncryption

    • 필요 - 사용자에게 디바이스 암호화를 사용하도록 설정하라는 메시지를 표시합니다. Windows 버전 및 시스템 구성에 따라 사용자에게 다음 메시지가 표시될 수 있습니다.
      • 다른 공급자의 암호화가 사용하도록 설정되지 않은지 확인합니다.
      • BitLocker 드라이브 암호화를 끈 다음 BitLocker를 다시 켜야 합니다.
    • 구성되지 않음

    다른 암호화 방법이 활성 상태인 동안 Windows 암호화가 켜져 있으면 디바이스가 불안정해질 수 있습니다.

BitLocker 기본 설정

기본 설정은 모든 유형의 데이터 드라이브에 대한 범용 BitLocker 설정입니다. 이러한 설정은 최종 사용자가 모든 유형의 데이터 드라이브에서 수정할 수 있는 드라이브 암호화 작업 또는 구성 옵션을 관리합니다.

  • 다른 디스크 암호화에 대한 경고
    기본값: 구성되지 않음
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • 차단 - 다른 디스크 암호화 서비스가 디바이스에 있는 경우 경고 프롬프트를 사용하지 않도록 설정합니다.
    • 구성되지 않음 - 다른 디스크 암호화에 대한 경고를 표시하도록 허용합니다.

    Windows 1809 이상을 조인하고 실행하는 Microsoft Entra 디바이스에 BitLocker를 자동으로 자동으로 설치하려면 이 설정을 차단으로 설정해야 합니다. 자세한 내용은 디바이스에서 BitLocker 자동 사용을 참조하세요.

    차단으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 표준 사용자가 Microsoft Entra 조인 중에 암호화를 사용하도록 허용
      이 설정은 Microsoft Entra 조인(Azure ADJ) 디바이스에만 적용되며 이전 설정Warning for other disk encryption인 에 따라 달라집니다.
      기본값: 구성되지 않음
      BitLocker CSP: AllowStandardUserEncryption

      • 허용 - 표준 사용자(비관리자)는 로그인할 때 BitLocker 암호화를 사용하도록 설정할 수 있습니다.
      • 구성되지 않음 관리자만 디바이스에서 BitLocker 암호화를 사용하도록 설정할 수 있습니다.

    Windows 1809 이상을 조인하고 실행하는 Microsoft Entra 디바이스에 BitLocker를 자동으로 자동으로 설치하려면 이 설정을 허용으로 설정해야 합니다. 자세한 내용은 디바이스에서 BitLocker 자동 사용을 참조하세요.

  • 암호화 방법 구성
    기본값: 구성되지 않음
    BitLocker CSP: EncryptionMethodByDriveType

    • 사용 - 운영 체제, 데이터 및 이동식 드라이브에 대한 암호화 알고리즘을 구성합니다.
    • 구성되지 않음 - BitLocker는 XTS-AES 128비트를 기본 암호화 방법으로 사용하거나 설정 스크립트에서 지정한 암호화 방법을 사용합니다.

    사용으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 운영 체제 드라이브에 대한 암호화
      기본값: XTS-AES 128비트

      운영 체제 드라이브에 대한 암호화 방법을 선택합니다. XTS-AES 알고리즘을 사용하는 것이 좋습니다.

      • AES-CBC 128비트
      • AES-CBC 256비트
      • XTS-AES 128비트
      • XTS-AES 256비트

    • 고정 데이터 드라이브 암호화
      기본값: AES-CBC 128비트

      고정(기본 제공) 데이터 드라이브에 대한 암호화 방법을 선택합니다. XTS-AES 알고리즘을 사용하는 것이 좋습니다.

      • AES-CBC 128비트
      • AES-CBC 256비트
      • XTS-AES 128비트
      • XTS-AES 256비트

    • 이동식 데이터 드라이브에 대한 암호화
      기본값: AES-CBC 128비트

      이동식 데이터 드라이브에 대한 암호화 방법을 선택합니다. 이동식 드라이브가 Windows 10/11을 실행하지 않는 디바이스와 함께 사용되는 경우 AES-CBC 알고리즘을 사용하는 것이 좋습니다.

      • AES-CBC 128비트
      • AES-CBC 256비트
      • XTS-AES 128비트
      • XTS-AES 256비트

BitLocker OS 드라이브 설정

이러한 설정은 운영 체제 데이터 드라이브에 특히 적용됩니다.

  • 시작 시 추가 인증
    기본값: 구성되지 않음
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • 필요 - TPM(신뢰할 수 있는 플랫폼 모듈) 사용을 포함하여 컴퓨터 시작에 대한 인증 요구 사항을 구성합니다.
    • 구성되지 않음 - TPM이 있는 디바이스에서 기본 옵션만 구성합니다.

    필요로 설정하면 다음 설정을 구성할 수 있습니다.

    • 호환되지 않는 TPM 칩이 있는 BitLocker
      기본값: 구성되지 않음

      • 차단 - 디바이스에 호환되는 TPM 칩이 없는 경우 BitLocker 사용을 사용하지 않도록 설정합니다.
      • 구성되지 않음 - 사용자는 호환되는 TPM 칩 없이 BitLocker를 사용할 수 있습니다. BitLocker에는 암호 또는 시작 키가 필요할 수 있습니다.

    • 호환되는 TPM 시작
      기본값: TPM 허용

      TPM이 허용되는지, 필수인지, 허용되지 않는지 구성합니다.

      • TPM 허용
      • TPM 허용 안 함
      • TPM 필요

    • 호환되는 TPM 시작 PIN
      기본값: TPM을 사용하여 시작 PIN 허용

      TPM 칩과 함께 시작 PIN을 허용하거나 허용하지 않거나 사용하도록 선택합니다. 시작 PIN을 사용하도록 설정하려면 최종 사용자의 상호 작용이 필요합니다.

      • TPM을 사용하여 시작 PIN 허용
      • TPM에서 시작 PIN 허용 안 함
      • TPM을 사용하여 시작 PIN 필요

      Windows 1809 이상을 조인하고 실행하는 Microsoft Entra 디바이스에 BitLocker를 자동으로 자동으로 설치하려면 이 설정을 TPM을 사용하여 시작 PIN 필요로 설정해서는 안 됩니다. 자세한 내용은 디바이스에서 BitLocker 자동 사용을 참조하세요.

    • 호환되는 TPM 시작 키
      기본값: TPM을 사용하여 시작 키 허용

      TPM 칩과 함께 시작 키를 허용하거나 허용하지 않거나 사용하도록 선택합니다. 시작 키를 사용하도록 설정하려면 최종 사용자의 상호 작용이 필요합니다.

      • TPM을 사용하여 시작 키 허용
      • TPM에서 시작 키 허용 안 함
      • TPM을 사용하여 시작 키 필요

      Windows 1809 이상을 조인하고 실행하는 Microsoft Entra 디바이스에 BitLocker를 자동으로 자동으로 설치하려면 이 설정을 TPM을 사용하여 시작 키 필요로 설정해서는 안 됩니다. 자세한 내용은 디바이스에서 BitLocker 자동 사용을 참조하세요.

    • 호환되는 TPM 시작 키 및 PIN
      기본값: TPM을 사용하여 시작 키 및 PIN 허용

      TPM 칩과 함께 시작 키 및 PIN을 허용하거나 허용하지 않거나 사용하도록 선택합니다. 시작 키 및 PIN을 사용하도록 설정하려면 최종 사용자의 상호 작용이 필요합니다.

      • TPM을 사용하여 시작 키 및 PIN 허용
      • TPM에서 시작 키 및 PIN을 허용하지 않음
      • TPM을 사용하여 시작 키 및 PIN 필요

      Windows 1809 이상을 조인하고 실행하는 Microsoft Entra 디바이스에 BitLocker를 자동으로 자동으로 설치하려면 이 설정을 시작 키 필요 및 TPM을 사용한 PIN으로 설정해서는 안 됩니다. 자세한 내용은 디바이스에서 BitLocker 자동 사용을 참조하세요.

  • 최소 PIN 길이
    기본값: 구성되지 않음
    BitLocker CSP: SystemDrivesMinimumPINLength

    • 사용 TPM 시작 PIN에 대한 최소 길이를 구성합니다.
    • 구성되지 않음 - 사용자는 6~20자리 길이의 시작 PIN을 구성할 수 있습니다.

    사용으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 최소 문자
      기본값: 구성되지 않음 BitLocker CSP: SystemDrivesMinimumPINLength

      시작 PIN에 필요한 문자 수를 4-20부터 입력합니다.

  • OS 드라이브 복구
    기본값: 구성되지 않음
    BitLocker CSP: SystemDrivesRecoveryOptions

    • 사용 - 필요한 시작 정보를 사용할 수 없는 경우 BitLocker로 보호되는 운영 체제 드라이브가 복구되는 방법을 제어합니다.
    • 구성되지 않음 - 기본 복구 옵션은 DRA를 포함하여 지원됩니다. 최종 사용자는 복구 옵션을 지정할 수 있습니다. 복구 정보는 AD DS에 백업되지 않습니다.

    사용으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 인증서 기반 데이터 복구 에이전트
      기본값: 구성되지 않음

      • 차단 - BitLocker로 보호되는 OS 드라이브에서 데이터 복구 에이전트 사용을 방지합니다.
      • 구성되지 않음 - BitLocker로 보호되는 운영 체제 드라이브와 함께 데이터 복구 에이전트를 사용할 수 있습니다.

    • 복구 암호의 사용자 만들기
      기본값: 48자리 복구 암호 허용

      사용자가 48자리 복구 암호를 생성할 수 있는지, 필수인지 또는 생성할 수 없는지 선택합니다.

      • 48자리 복구 암호 허용
      • 48자리 복구 암호 허용 안 함
      • 48자리 복구 암호 필요

    • 복구 키의 사용자 만들기
      기본값: 256비트 복구 키 허용

      사용자가 256비트 복구 키를 생성할 수 있는지, 필수인지 여부를 선택합니다.

      • 256비트 복구 키 허용
      • 256비트 복구 키 허용 안 함
      • 256비트 복구 키 필요

    • BitLocker 설치 마법사의 복구 옵션
      기본값: 구성되지 않음

      • 차단 - 사용자가 복구 옵션을 보고 변경할 수 없습니다. 로 설정된 경우
      • 구성되지 않음 - 사용자는 BitLocker를 켤 때 복구 옵션을 보고 변경할 수 있습니다.

    • BitLocker 복구 정보를 Microsoft Entra ID에 저장
      기본값: 구성되지 않음

      • 사용 - BitLocker 복구 정보를 Microsoft Entra ID에 저장합니다.
      • 구성되지 않음 - BitLocker 복구 정보는 Microsoft Entra ID에 저장되지 않습니다.

    • Microsoft Entra ID에 저장된 BitLocker 복구 정보
      기본값: 백업 복구 암호 및 키 패키지

      Microsoft Entra ID에 저장되는 BitLocker 복구 정보의 일부를 구성합니다. 다음 중에서 선택합니다.

      • 백업 복구 암호 및 키 패키지
      • 백업 복구 암호만

    • 클라이언트 기반 복구 암호 회전
      기본값: 구성되지 않음
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      이 설정은 OS 드라이브 복구 후(bootmgr 또는 WinRE를 사용하여) 클라이언트 기반 복구 암호 회전을 시작합니다.

      • 구성되지 않음
      • 키 회전 사용 안 함
      • Microsoft Entra 조인된 주사위에서 키 회전이 사용하도록 설정됨
      • Microsoft Entra ID 및 하이브리드 조인 디바이스에 대해 사용하도록 설정된 키 회전

    • BitLocker를 사용하도록 설정하기 전에 복구 정보를 Microsoft Entra ID에 저장
      기본값: 구성되지 않음

      컴퓨터가 BitLocker 복구 정보를 Microsoft Entra ID에 성공적으로 백업하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 합니다.

      • 필요 - BitLocker 복구 정보가 Microsoft Entra ID에 성공적으로 저장되지 않는 한 사용자가 BitLocker를 켜는 것을 중지합니다.
      • 구성되지 않음 - 복구 정보가 Microsoft Entra ID에 성공적으로 저장되지 않은 경우에도 사용자는 BitLocker를 켤 수 있습니다.

  • 사전 부팅 복구 메시지 및 URL
    기본값: 구성되지 않음
    BitLocker CSP: SystemDrivesRecoveryMessage

    • 사용 - 부팅 전 키 복구 화면에 표시되는 메시지 및 URL을 구성합니다.
    • 구성되지 않음 - 이 기능을 사용하지 않도록 설정합니다.

    사용으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 부팅 전 복구 메시지
      기본값: 기본 복구 메시지 및 URL 사용

      부팅 전 복구 메시지가 사용자에게 표시되는 방식을 구성합니다. 다음 중에서 선택합니다.

      • 기본 복구 메시지 및 URL 사용
      • 빈 복구 메시지 및 URL 사용
      • 사용자 지정 복구 메시지 사용
      • 사용자 지정 복구 URL 사용

BitLocker 고정 데이터 드라이브 설정

이러한 설정은 고정 데이터 드라이브에 특히 적용됩니다.

  • BitLocker로 보호되지 않는 고정 데이터 드라이브에 대한 쓰기 액세스
    기본값: 구성되지 않음
    BitLocker CSP: FixedDrivesRequireEncryption

    • 차단 - BitLocker로 보호되지 않는 데이터 드라이브에 대한 읽기 전용 액세스 권한을 부여합니다.
    • 구성되지 않음 - 기본적으로 암호화되지 않은 데이터 드라이브에 대한 읽기 및 쓰기 액세스 권한입니다.

  • 고정 드라이브 복구
    기본값: 구성되지 않음
    BitLocker CSP: FixedDrivesRecoveryOptions

    • 사용 - 필요한 시작 정보를 사용할 수 없는 경우 BitLocker로 보호되는 고정 드라이브 복구 방법을 제어합니다.
    • 구성되지 않음 - 이 기능을 사용하지 않도록 설정합니다.

    사용으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 데이터 복구 에이전트
      기본값: 구성되지 않음

      • 차단 - BitLocker로 보호되는 고정 드라이브 정책 편집기에서 데이터 복구 에이전트 사용을 방지합니다.
      • 구성되지 않음 - BitLocker로 보호되는 고정 드라이브에서 데이터 복구 에이전트를 사용할 수 있습니다.

    • 복구 암호의 사용자 만들기
      기본값: 48자리 복구 암호 허용

      사용자가 48자리 복구 암호를 생성할 수 있는지, 필수인지 또는 생성할 수 없는지 선택합니다.

      • 48자리 복구 암호 허용
      • 48자리 복구 암호 허용 안 함
      • 48자리 복구 암호 필요

    • 복구 키의 사용자 만들기
      기본값: 256비트 복구 키 허용

      사용자가 256비트 복구 키를 생성할 수 있는지, 필수인지 여부를 선택합니다.

      • 256비트 복구 키 허용
      • 256비트 복구 키 허용 안 함
      • 256비트 복구 키 필요

    • BitLocker 설치 마법사의 복구 옵션
      기본값: 구성되지 않음

      • 차단 - 사용자가 복구 옵션을 보고 변경할 수 없습니다. 로 설정된 경우
      • 구성되지 않음 - 사용자는 BitLocker를 켤 때 복구 옵션을 보고 변경할 수 있습니다.

    • BitLocker 복구 정보를 Microsoft Entra ID에 저장
      기본값: 구성되지 않음

      • 사용 - BitLocker 복구 정보를 Microsoft Entra ID에 저장합니다.
      • 구성되지 않음 - BitLocker 복구 정보는 Microsoft Entra ID에 저장되지 않습니다.

    • Microsoft Entra ID에 저장된 BitLocker 복구 정보
      기본값: 백업 복구 암호 및 키 패키지

      Microsoft Entra ID에 저장되는 BitLocker 복구 정보의 일부를 구성합니다. 다음 중에서 선택합니다.

      • 백업 복구 암호 및 키 패키지
      • 백업 복구 암호만

    • BitLocker를 사용하도록 설정하기 전에 복구 정보를 Microsoft Entra ID에 저장
      기본값: 구성되지 않음

      컴퓨터가 BitLocker 복구 정보를 Microsoft Entra ID에 성공적으로 백업하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 합니다.

      • 필요 - BitLocker 복구 정보가 Microsoft Entra ID에 성공적으로 저장되지 않는 한 사용자가 BitLocker를 켜는 것을 중지합니다.
      • 구성되지 않음 - 복구 정보가 Microsoft Entra ID에 성공적으로 저장되지 않은 경우에도 사용자는 BitLocker를 켤 수 있습니다.

BitLocker 이동식 데이터 드라이브 설정

이러한 설정은 이동식 데이터 드라이브에 특히 적용됩니다.

  • BitLocker로 보호되지 않는 이동식 데이터 드라이브에 대한 쓰기 액세스
    기본값: 구성되지 않음
    BitLocker CSP: RemovableDrivesRequireEncryption

    • 차단 - BitLocker로 보호되지 않는 데이터 드라이브에 대한 읽기 전용 액세스 권한을 부여합니다.
    • 구성되지 않음 - 기본적으로 암호화되지 않은 데이터 드라이브에 대한 읽기 및 쓰기 액세스 권한입니다.

    사용으로 설정하면 다음 설정을 구성할 수 있습니다.

    • 다른 organization 구성된 디바이스에 대한 쓰기 액세스 권한
      기본값: 구성되지 않음

      • 차단 - 다른 organization 구성된 디바이스에 대한 쓰기 액세스를 차단합니다.
      • 구성되지 않음 - 쓰기 액세스를 거부합니다.

Microsoft Defender Exploit Guard

익스플로잇 보호를 사용하여 직원이 사용하는 앱의 공격 노출 영역을 관리하고 줄입니다.

공격 표면 감소

공격 표면 감소 규칙은 맬웨어가 악성 코드로 컴퓨터를 감염시키기 위해 자주 사용하는 동작을 방지하는 데 도움이 됩니다.

공격 표면 감소 규칙

자세한 내용은 엔드포인트용 Microsoft Defender 설명서의 공격 표면 감소 규칙을 참조하세요.

Intune의 공격 표면 감소 규칙에 대한 병합 동작:

공격 표면 감소 규칙은 각 디바이스에 대한 정책의 상위 집합을 만들기 위해 다양한 정책의 설정 병합을 지원합니다. 충돌하지 않는 설정만 병합되지만 충돌하는 설정은 규칙의 상위 집합에 추가되지 않습니다. 이전에는 두 정책에 단일 설정에 대한 충돌이 포함된 경우 두 정책 모두 충돌하는 것으로 플래그가 지정되었으며 두 프로필의 설정이 배포되지 않았습니다.

공격 표면 감소 규칙 병합 동작은 다음과 같습니다.

  • 다음 프로필의 공격 표면 감소 규칙은 규칙이 적용되는 각 디바이스에 대해 평가됩니다.
    • 디바이스 > 구성 정책 > Endpoint Protection 프로필 > Microsoft Defender Exploit Guard >공격 표면 감소
    • 엔드포인트 보안 > 공격 표면 감소 정책 >공격 표면 감소 규칙
    • 엔드포인트 보안 > 보안 기준은 > 기준 >공격 표면 감소 규칙에 엔드포인트용 Microsoft Defender.
  • 충돌이 없는 설정은 디바이스에 대한 정책의 상위 집합에 추가됩니다.
  • 둘 이상의 정책에 충돌하는 설정이 있는 경우 충돌하는 설정이 결합된 정책에 추가되지 않습니다. 충돌하지 않는 설정은 디바이스에 적용되는 상위 집합 정책에 추가됩니다.
  • 충돌하는 설정에 대한 구성만 보류됩니다.

이 프로필의 설정:

Office 매크로 위협을 방지하기 위한 규칙

Office 앱이 다음 작업을 수행하지 못하도록 차단합니다.

스크립트 위협을 방지하기 위한 규칙

스크립트 위협을 방지하려면 다음을 차단합니다.

전자 메일 위협을 방지하기 위한 규칙

전자 메일 위협을 방지하려면 다음을 차단합니다.

  • 전자 메일(webmail/mail client)에서 삭제된 실행 파일 콘텐츠(exe, dll, ps, js, vbs 등)의 실행(예외 없음)
    기본값: 구성되지 않음
    규칙: 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단

    • 구성되지 않음
    • 차단 - 전자 메일(webmail/mail-client)에서 삭제된 실행 파일 콘텐츠(exe, dll, ps, js, vbs 등)의 실행을 차단합니다.
    • 감사만

랜섬웨어로부터 보호하기 위한 규칙

공격 표면 감소 예외

  • 공격 노출 영역 감소 규칙에서 제외할 파일 및 폴더
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • 공격 표면 감소 규칙에서 제외할 파일 및 폴더가 포함된 .csv 파일을 가져옵니다.
    • 로컬 파일 또는 폴더를 수동으로 추가합니다.

중요

LOB Win32 앱의 적절한 설치 및 실행을 허용하려면 맬웨어 방지 설정에서 다음 디렉터리를 검사하지 않아야 합니다.
X64 클라이언트 컴퓨터에서:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

X86 클라이언트 컴퓨터에서:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

자세한 내용은 현재 지원되는 Windows 버전을 실행하는 엔터프라이즈 컴퓨터에 대한 바이러스 검사 권장 사항을 참조하세요.

제어된 폴더 액세스

랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호 합니다.

  • 폴더 보호
    기본값: 구성되지 않음
    Defender CSP: EnableControlledFolderAccess

    비우호적인 앱으로 무단 변경으로부터 파일 및 폴더를 보호합니다.

    • 구성되지 않음
    • 사용
    • 감사만
    • 디스크 수정 차단
    • 디스크 수정 감사

    구성되지 않음 이외의 구성을 선택하면 다음을 구성할 수 있습니다.

    • 보호된 폴더에 액세스할 수 있는 앱 목록
      Defender CSP: ControlledFolderAccessAllowedApplications

      • 앱 목록이 포함된 .csv 파일을 가져옵니다.
      • 이 목록에 앱을 수동으로 추가합니다.

    • 보호해야 하는 추가 폴더 목록
      Defender CSP: ControlledFolderAccessProtectedFolders

      • 폴더 목록이 포함된 .csv 파일을 가져옵니다.
      • 이 목록에 폴더를 수동으로 추가합니다.

네트워크 필터링

평판이 낮은 앱에서 IP 주소 또는 도메인으로의 아웃바운드 연결을 차단합니다. 네트워크 필터링은 감사 및 차단 모드 모두에서 지원됩니다.

  • 네트워크 보호
    기본값: 구성되지 않음
    Defender CSP: EnableNetworkProtection

    이 설정의 목적은 피싱 사기, 악용 호스팅 사이트 및 인터넷의 악의적인 콘텐츠에 액세스할 수 있는 앱으로부터 최종 사용자를 보호하는 것입니다. 또한 타사 브라우저가 위험한 사이트에 연결하는 것을 방지합니다.

    • 구성되지 않음 - 이 기능을 사용하지 않도록 설정합니다. 사용자 및 앱은 위험한 도메인에 대한 연결이 차단되지 않습니다. 관리자는 Microsoft Defender 보안 센터 이 활동을 볼 수 없습니다.
    • 사용 - 네트워크 보호를 켜고 사용자 및 앱이 위험한 도메인에 연결하지 못하도록 차단합니다. 관리자는 Microsoft Defender 보안 센터 이 활동을 볼 수 있습니다.
    • 감사 전용: - 사용자 및 앱이 위험한 도메인에 연결할 수 없도록 차단되지 않습니다. 관리자는 Microsoft Defender 보안 센터 이 활동을 볼 수 있습니다.

악용 방지

  • XML 업로드
    기본값: 구성되지 않음

    Exploit Protection을 사용하여 악용으로부터 디바이스를 보호하려면 원하는 시스템 및 애플리케이션 완화 설정을 포함하는 XML 파일을 만듭니다. XML 파일을 만드는 방법에는 두 가지가 있습니다.

    • PowerShell - Get-ProcessMitigation, Set-ProcessMitigationConvertTo-ProcessMitigationPolicy PowerShell cmdlet 중 하나 이상을 사용합니다. cmdlet은 완화 설정을 구성하고 XML 표현을 내보냅니다.

    • Microsoft Defender 보안 센터 UI - Microsoft Defender 보안 센터 앱 & 브라우저 컨트롤을 선택한 다음 결과 화면 아래쪽으로 스크롤하여 Exploit Protection을 찾습니다. 먼저 시스템 설정 및 프로그램 설정 탭을 사용하여 완화 설정을 구성합니다. 그런 다음 화면 아래쪽에서 설정 내보내기 링크를 찾아 XML 표현을 내보냅니다.

  • 익스플로잇 보호 인터페이스의 사용자 편집
    기본값: 구성되지 않음
    ExploitGuard CSP: ExploitProtectionSettings

    • 차단 - 메모리, 제어 흐름 및 정책 제한을 구성할 수 있는 XML 파일을 업로드합니다. XML 파일의 설정을 사용하여 애플리케이션의 악용을 차단할 수 있습니다.
    • 구성되지 않음 - 사용자 지정 구성이 사용되지 않습니다.

애플리케이션 제어 Microsoft Defender

감사할 앱 또는 Microsoft Defender 애플리케이션 제어에서 실행할 신뢰할 수 있는 앱을 선택합니다. Windows 구성 요소 및 Windows 스토어의 모든 앱은 자동으로 실행되도록 신뢰할 수 있습니다.

  • 애플리케이션 제어 코드 무결성 정책
    기본값: 구성되지 않음
    CSP: AppLocker CSP

    • 적용 - 사용자의 디바이스에 대한 애플리케이션 제어 코드 무결성 정책을 선택합니다.

      디바이스에서 사용하도록 설정한 후에는 모드를 적용 에서 감사로만 변경하여 애플리케이션 제어를 사용하지 않도록 설정할 수 있습니다. 모드를 적용 에서 구성되지 않음 으로 변경하면 애플리케이션 제어가 할당된 디바이스에 계속 적용됩니다.

    • 구성되지 않음 - 애플리케이션 제어가 디바이스에 추가되지 않습니다. 그러나 이전에 추가된 설정은 할당된 디바이스에 계속 적용됩니다.

    • 감사 전용 - 애플리케이션이 차단되지 않습니다. 모든 이벤트는 로컬 클라이언트의 로그에 기록됩니다.

      참고

      이 설정을 사용하는 경우 AppLocker CSP 동작은 현재 정책이 배포될 때 최종 사용자에게 컴퓨터를 다시 부팅하라는 메시지를 표시합니다.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard는 자격 증명 도난 공격으로부터 보호합니다. 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리합니다.

  • Credential Guard
    기본값: 사용 안 함
    DeviceGuard CSP

    • 사용 안 함 - UEFI 잠금 없이 사용 옵션을 사용하여 이전에 설정된 경우 원격으로 Credential Guard를 끕니다.

    • UEFI 잠금으로 사용 - 레지스트리 키 또는 그룹 정책을 사용하여 Credential Guard를 원격으로 사용하지 않도록 설정할 수 없습니다.

      참고

      이 설정을 사용하고 나중에 Credential Guard를 사용하지 않도록 설정하려면 그룹 정책 사용 안 함으로 설정해야 합니다. 또한 각 컴퓨터에서 UEFI 구성 정보를 물리적으로 지웁 수 있습니다. UEFI 구성이 유지되는 한 Credential Guard가 사용하도록 설정됩니다.

    • UEFI 잠금 없이 사용 - 그룹 정책 사용하여 Credential Guard를 원격으로 사용하지 않도록 설정할 수 있습니다. 이 설정을 사용하는 디바이스는 버전 1511 이상 또는 Windows 11 Windows 10 실행 중이어야 합니다.

    Credential Guard를 사용하도록 설정 하면 다음과 같은 필수 기능도 사용하도록 설정됩니다.

    • VBS(가상화 기반 보안)
      다음 재부팅 중에 켜집니다. 가상화 기반 보안은 Windows 하이퍼바이저를 사용하여 보안 서비스를 지원합니다.
    • 디렉터리 메모리 액세스를 사용하여 보안 부팅
      보안 부팅 및 DMA(직접 메모리 액세스) 보호를 사용하여 VBS를 켭니다. DMA 보호에는 하드웨어 지원이 필요하며 올바르게 구성된 디바이스에서만 사용하도록 설정됩니다.

Microsoft Defender 보안 센터

Microsoft Defender 보안 센터 각 개별 기능과는 별도의 앱 또는 프로세스로 작동합니다. 알림 센터를 통해 알림을 표시합니다. 상태 보고 각 기능에 대한 일부 구성을 실행하는 수집기 또는 단일 위치 역할을 합니다. Microsoft Defender 문서에서 자세히 알아보세요.

앱 및 알림 Microsoft Defender 보안 센터

Microsoft Defender 보안 센터 앱의 다양한 영역에 대한 최종 사용자 액세스를 차단합니다. 섹션을 숨기면 관련 알림도 차단됩니다.

  • 바이러스 및 위협 방지
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    최종 사용자가 Microsoft Defender 보안 센터 바이러스 및 위협 방지 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 바이러스 및 위협 방지와 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 랜섬웨어 보호
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    최종 사용자가 Microsoft Defender 보안 센터 랜섬웨어 보호 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 랜섬웨어 보호와 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 계정 보호
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    최종 사용자가 Microsoft Defender 보안 센터 계정 보호 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 계정 보호와 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 방화벽 및 네트워크 보호
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    최종 사용자가 Microsoft Defender Security Center에서 방화벽 및 네트워크 보호 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 방화벽 및 네트워크 보호와 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 앱 및 브라우저 컨트롤
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    최종 사용자가 Microsoft Defender Security Center에서 앱 및 브라우저 제어 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 앱 및 브라우저 컨트롤과 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 하드웨어 보호
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    최종 사용자가 Microsoft Defender 보안 센터 하드웨어 보호 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 하드웨어 보호와 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 디바이스 성능 및 상태
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    최종 사용자가 Microsoft Defender Security Center에서 디바이스 성능 및 상태 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 디바이스 성능 및 상태와 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 가족 옵션
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    최종 사용자가 Microsoft Defender 보안 센터에서 가족 옵션 영역을 볼 수 있는지 구성합니다. 이 섹션을 숨기면 가족 옵션과 관련된 모든 알림도 차단됩니다.

    • 구성되지 않음
    • 숨기기

  • 표시된 앱 영역의 알림
    기본값: 구성되지 않음
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    최종 사용자에게 표시할 알림을 선택합니다. 중요하지 않은 알림에는 검색이 완료된 경우 알림을 포함하여 Microsoft Defender 바이러스 백신 활동에 대한 요약이 포함됩니다. 다른 모든 알림은 중요한 것으로 간주됩니다.

    • 구성되지 않음
    • 중요하지 않은 알림 차단
    • 모든 알림 차단

  • 시스템 트레이의 Windows 보안 센터 아이콘
    기본값: 구성되지 않음 WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

    알림 영역 컨트롤의 표시를 구성합니다. 이 설정을 적용하려면 사용자가 로그아웃하고 로그인하거나 컴퓨터를 다시 부팅해야 합니다.

    • 구성되지 않음
    • 숨기기

  • TPM 지우기 단추
    기본값: 구성되지 않음 WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

    TPM 지우기 단추의 표시를 구성합니다.

    • 구성되지 않음
    • Disable

  • TPM 펌웨어 업데이트 경고
    기본값: 구성되지 않은 WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

    취약한 펌웨어가 검색되면 업데이트 TPM 펌웨어 표시를 구성합니다.

    • 구성되지 않음
    • 숨기기

  • 변조 방지
    기본값: 구성되지 않음

    디바이스에서 변조 방지를 켜거나 끕니다. 변조 방지를 사용하려면 엔드포인트용 Microsoft Defender Intune과 통합하고 Enterprise Mobility + Security E5 라이선스가 있어야 합니다.

    • 구성되지 않음 - 디바이스 설정이 변경되지 않습니다.
    • 사용 - 변조 방지가 켜져 있고 디바이스에 제한이 적용됩니다.
    • 사용 안 함 - 변조 방지가 해제되고 제한이 적용되지 않습니다.

IT 담당자 정보

Microsoft Defender 보안 센터 앱 및 앱 알림에 표시할 IT 연락처 정보를 제공합니다.

앱 및 알림에 표시, 앱에서만 표시, 알림에만 표시 또는 표시 안 함으로 선택할 수 있습니다. IT organization 이름과 다음 연락처 옵션 중 하나 이상을 입력합니다.

  • IT 연락처 정보
    기본값: 표시 안 함
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    최종 사용자에게 IT 연락처 정보를 표시할 위치를 구성합니다.

    • 앱 및 알림에 표시
    • 앱에서만 표시
    • 알림에만 표시
    • 표시 안 함

    표시하도록 구성된 경우 다음 설정을 구성할 수 있습니다.

    • IT organization 이름
      기본값: 구성되지 않음
      WindowsDefenderSecurityCenter CSP: CompanyName

    • IT 부서 전화 번호 또는 Skype ID
      기본값: 구성되지 않음
      WindowsDefenderSecurityCenter CSP: Phone

    • IT 부서 전자 메일 주소
      기본값: 구성되지 않음
      WindowsDefenderSecurityCenter CSP: Email

    • IT 지원 웹 사이트 URL
      기본값: 구성되지 않음
      WindowsDefenderSecurityCenter CSP: URL

로컬 디바이스 보안 옵션

이러한 옵션을 사용하여 Windows 10/11 디바이스에서 로컬 보안 설정을 구성합니다.

계정

  • 새 Microsoft 계정 추가
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • 블록 사용자가 디바이스에 새 Microsoft 계정을 추가하지 못하도록 방지합니다.
    • 구성되지 않음 - 사용자는 디바이스에서 Microsoft 계정을 사용할 수 있습니다.

  • 암호 없이 원격 로그온
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • 차단 - 빈 암호가 있는 로컬 계정만 디바이스의 키보드를 사용하여 로그인하도록 허용합니다.
    • 구성되지 않음 - 빈 암호가 있는 로컬 계정이 물리적 디바이스 이외의 위치에서 로그인하도록 허용합니다.

관리자

게스트

  • 게스트 계정
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • 차단 - 게스트 계정 사용을 방지합니다.
    • 구성되지 않음

  • 게스트 계정 이름 바꾸기
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    계정 "게스트"에 대한 SID(보안 식별자)와 연결할 다른 계정 이름을 정의합니다.

디바이스

  • 로그온하지 않고 디바이스 도킹 해제
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • 차단 - 사용자가 디바이스에 로그인하고 디바이스의 도킹을 취소할 수 있는 권한을 받아야 합니다.
    • 구성되지 않음 - 사용자가 고정된 휴대용 디바이스의 물리적 꺼내기 단추를 눌러 디바이스를 안전하게 도킹 해제할 수 있습니다.

  • 공유 프린터용 프린터 드라이버 설치
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • 사용 - 모든 사용자는 공유 프린터 연결의 일부로 프린터 드라이버를 설치할 수 있습니다.
    • 구성되지 않음 - 관리자만 공유 프린터 연결의 일부로 프린터 드라이버를 설치할 수 있습니다.

  • 로컬 활성 사용자에 대한 CD-ROM 액세스 제한
    기본값: 구성되지 않음
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • 사용 - 대화형 로그온 사용자만 CD-ROM 미디어를 사용할 수 있습니다. 이 정책을 사용하도록 설정하고 대화형으로 로그온한 사람이 없는 경우 네트워크를 통해 CD-ROM에 액세스합니다.
    • 구성되지 않음 - 누구나 CD-ROM에 액세스할 수 있습니다.

  • 이동식 미디어 서식 및 꺼내기
    기본값: 관리자
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    이동식 NTFS 미디어의 서식을 지정하고 배출할 수 있는 사용자를 정의합니다.

    • 구성되지 않음
    • 관리자
    • 관리자 및 전원 사용자
    • 관리자 및 대화형 사용자

대화형 로그온

  • 화면 보호기가 활성화될 때까지 잠금 화면 비활성 시간(분)
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    화면 보호기가 활성화될 때까지 최대 비활성 시간(분)을 입력합니다. (0 - 99999)

  • 로그온하려면 Ctrl+Alt+DEL 필요
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • 사용 - 사용자가 Windows에 로그온하기 전에 Ctrl+Alt+DEL을 눌러야 합니다.
    • 구성되지 않음 - 사용자가 로그인하려면 Ctrl+Alt+DEL을 누를 필요가 없습니다.

  • 스마트 카드 제거 동작
    기본값: LocalPoliciesSecurityOptions CSP 작업 없음: InteractiveLogon_SmartCardRemovalBehavior

    로그온한 사용자의 스마트 카드 스마트 카드 판독기에서 제거될 때 발생하는 작업을 결정합니다. 옵션은 다음과 같습니다.

    • 워크스테이션 잠금 - 스마트 카드 제거되면 워크스테이션이 잠깁니다. 이 옵션을 사용하면 사용자가 영역을 벗어나 스마트 카드 사용하고 보호된 세션을 계속 유지할 수 있습니다.
    • 작업 없음
    • 강제 로그오프 - 스마트 카드 제거되면 사용자가 자동으로 로그오프됩니다.
    • 원격 데스크톱 서비스 세션의 연결 끊기 - 스마트 카드 제거하면 사용자를 로그오프하지 않고 세션의 연결이 끊어집니다. 이 옵션을 사용하면 사용자가 다시 로그인하지 않고도 스마트 카드 삽입하고 나중에 또는 다른 스마트 카드 판독기가 장착된 컴퓨터에서 세션을 다시 시작할 수 있습니다. 세션이 로컬인 경우 이 정책은 잠금 워크스테이션과 동일하게 작동합니다.

표시

  • 잠금 화면의 사용자 정보
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    세션이 잠겨 있을 때 표시되는 사용자 정보를 구성합니다. 구성되지 않은 경우 사용자 표시 이름, 도메인 및 사용자 이름이 표시됩니다.

    • 구성되지 않음
    • 사용자 표시 이름, 도메인 및 사용자 이름
    • 사용자 표시 이름만
    • 사용자 정보를 표시하지 마세요.

  • 마지막으로 로그인한 사용자 숨기기
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • 사용 - 사용자 이름을 숨깁니다.
    • 구성되지 않음 - 마지막 사용자 이름을 표시합니다.

  • 로그인 기본값: 구성되지 않음에서 사용자 이름 숨기기
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • 사용 - 사용자 이름을 숨깁니다.
    • 구성되지 않음 - 마지막 사용자 이름을 표시합니다.

  • 로그온 메시지 제목
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    로그인하는 사용자의 메시지 제목을 설정합니다.

  • 로그온 메시지 텍스트
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    로그인하는 사용자의 메시지 텍스트를 설정합니다.

네트워크 액세스 및 보안

  • 명명된 파이프 및 공유에 대한 익명 액세스
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • 구성되지 않음 - 공유 및 명명된 파이프 설정에 대한 익명 액세스를 제한합니다. 익명으로 액세스할 수 있는 설정에 적용됩니다.
    • 차단 - 익명 액세스를 사용할 수 있도록 이 정책을 사용하지 않도록 설정합니다.

  • SAM 계정의 익명 열거형
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • 구성되지 않음 - 익명 사용자는 SAM 계정을 열거할 수 있습니다.
    • 차단 - SAM 계정의 익명 열거를 방지합니다.

  • SAM 계정 및 공유의 익명 열거형
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • 구성되지 않음 - 익명 사용자는 도메인 계정 및 네트워크 공유의 이름을 열거할 수 있습니다.
    • 차단 - SAM 계정 및 공유의 익명 열거를 방지합니다.

  • 암호 변경에 저장된 LAN 관리자 해시 값
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    다음에 암호를 변경할 때 암호의 해시 값이 저장되는지 확인합니다.

    • 구성되지 않음 - 해시 값이 저장되지 않음
    • 차단 - LM(LAN 관리자)은 새 암호에 대한 해시 값을 저장합니다.

  • PKU2U 인증 요청
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • 구성되지 않음 - PU2U 요청을 허용합니다.
    • 차단 - 디바이스에 대한 PKU2U 인증 요청을 차단합니다.

  • SAM으로 원격 RPC 연결 제한
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • 구성되지 않음 - 사용자 및 그룹이 SAM에 대한 원격 RPC 호출을 수행할 수 있는 기본 보안 설명자를 사용합니다.

    • 허용 - 사용자 및 그룹이 사용자 계정 및 암호를 저장하는 SAM(보안 계정 관리자)에 대한 원격 RPC 호출을 거부합니다. 또한 허용 을 사용하면 사용자 및 그룹이 이러한 원격 호출을 명시적으로 허용하거나 거부하도록 기본 SDDL(보안 설명자 정의 언어) 문자열을 변경할 수 있습니다.

      • 보안 설명자
        기본값: 구성되지 않음

  • NTLM SSP 기반 클라이언트에 대한 최소 세션 보안
    기본값: 없음
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    이 보안 설정을 사용하면 서버에서 128비트 암호화 및/또는 NTLMv2 세션 보안 협상을 요구할 수 있습니다.

    • 없음
    • NTLMv2 세션 보안 필요
    • 128비트 암호화 필요
    • NTLMv2 및 128비트 암호화

  • NTLM SSP 기반 서버에 대한 최소 세션 보안
    기본값: 없음
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    이 보안 설정은 네트워크 로그온에 사용되는 챌린지/응답 인증 프로토콜을 결정합니다.

    • 없음
    • NTLMv2 세션 보안 필요
    • 128비트 암호화 필요
    • NTLMv2 및 128비트 암호화

  • LAN 관리자 인증 수준
    기본값: LM 및 NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM 및 NTLM
    • LM, NTLM 및 NTLMv2
    • Ntlm
    • NTLMv2
    • NTLMv2 및 LM 아님
    • NTLMv2 및 LM 또는 NTLM이 아님

  • 안전하지 않은 게스트 로그온
    기본값: 구성되지 않음
    LanmanWorkstation CSP: LanmanWorkstation

    이 설정을 사용하도록 설정하면 SMB 클라이언트가 안전하지 않은 게스트 로그온을 거부합니다.

    • 구성되지 않음
    • 차단 - SMB 클라이언트는 안전하지 않은 게스트 로그온을 거부합니다.

복구 콘솔 및 종료

  • 종료 시 가상 메모리 페이지 파일 지우기
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • 사용 - 디바이스 전원이 닫히면 가상 메모리 페이지 파일을 지웁니다.
    • 구성되지 않음 - 가상 메모리를 지우지 않습니다.

  • 로그온하지 않고 종료
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • 차단 - Windows 로그인 화면에서 종료 옵션을 숨깁니다. 사용자는 디바이스에 로그인한 다음 종료해야 합니다.
    • 구성되지 않음 - 사용자가 Windows 로그인 화면에서 디바이스를 종료하도록 허용합니다.

사용자 계정 컨트롤

  • 안전한 위치가 없는 UIA 무결성
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • 차단 - 파일 시스템의 안전한 위치에 있는 앱은 UIAccess 무결성으로만 실행됩니다.
    • 구성되지 않음 - 앱이 파일 시스템의 안전한 위치에 없더라도 앱이 UIAccess 무결성으로 실행되도록 합니다.

  • 사용자별 위치에 대한 파일 및 레지스트리 쓰기 실패 가상화
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • 사용 - 보호된 위치에 데이터를 쓰는 애플리케이션이 실패합니다.
    • 구성되지 않음 - 애플리케이션 쓰기 실패는 런타임에 파일 시스템 및 레지스트리에 대해 정의된 사용자 위치로 리디렉션됩니다.

  • 서명되고 유효성이 검사된 실행 파일만 상승
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • 사용 - 실행 파일을 실행하기 전에 PKI 인증 경로 유효성 검사를 적용합니다.
    • 구성되지 않음 - 실행 파일을 실행하기 전에 PKI 인증 경로 유효성 검사를 적용하지 마세요.

UIA 권한 상승 프롬프트 동작

  • 관리자에 대한 권한 상승 프롬프트
    기본값: 비 Windows 이진 파일에 대한 동의 요청
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    관리 승인 모드에서 관리자에 대한 권한 상승 프롬프트의 동작을 정의합니다.

    • 구성되지 않음
    • 메시지를 표시하지 않고 상승
    • 보안 데스크톱에서 자격 증명 확인
    • 자격 증명 확인
    • 동의 요청
    • 비 Windows 이진 파일에 대한 동의 확인

  • 표준 사용자에 대한 권한 상승 프롬프트
    기본값: 자격 증명 확인
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    표준 사용자에 대한 권한 상승 프롬프트의 동작을 정의합니다.

    • 구성되지 않음
    • 권한 상승 요청 자동 거부
    • 보안 데스크톱에서 자격 증명 확인
    • 자격 증명 확인

  • 사용자의 대화형 데스크톱으로 권한 상승 프롬프트 라우팅
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • 사용 - 모든 권한 상승 요청이 보안 데스크톱이 아닌 대화형 사용자의 데스크톱으로 이동합니다. 관리자 및 표준 사용자에 대한 프롬프트 동작 정책 설정이 사용됩니다.
    • 구성되지 않음 - 관리자 및 표준 사용자에 대한 프롬프트 동작 정책 설정에 관계없이 모든 권한 상승 요청이 보안 데스크톱으로 이동하도록 강제 적용합니다.

  • 앱 설치에 대한 관리자 권한 프롬프트
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • 사용 - 애플리케이션 설치 패키지가 검색되지 않거나 상승 메시지가 표시되지 않습니다.
    • 구성되지 않음 - 애플리케이션 설치 패키지에 상승된 권한이 필요한 경우 사용자에게 관리 사용자 이름 및 암호를 묻는 메시지가 표시됩니다.

  • 보안 데스크톱이 없는 UIA 권한 상승 프롬프트
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • 사용 - 보안 데스크톱을 사용하지 않고 UIAccess 앱에서 권한 상승을 요청하는 메시지를 표시하도록 허용합니다.

  • 구성되지 않음 - 권한 상승 프롬프트는 보안 데스크톱을 사용합니다.

승인 모드 관리

  • 기본 제공 관리자에 대한 관리 승인 모드
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • 사용 - 기본 제공 관리자 계정이 관리 승인 모드를 사용하도록 허용합니다. 권한 상승이 필요한 모든 작업은 사용자에게 작업을 승인하라는 메시지를 표시합니다.
    • 구성되지 않음 - 전체 관리자 권한으로 모든 앱을 실행합니다.

  • 관리 승인 모드에서 모든 관리자 실행
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • 사용 - 관리 승인 모드를 사용하도록 설정합니다.
    • 구성되지 않음 - 관리 승인 모드 및 모든 관련 UAC 정책 설정을 사용하지 않도록 설정합니다.

Microsoft 네트워크 클라이언트

  • 디지털 서명 통신(서버가 동의하는 경우)
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    SMB 클라이언트가 SMB 패킷 서명을 협상하는지 여부를 결정합니다.

    • 차단 - SMB 클라이언트는 SMB 패킷 서명을 협상하지 않습니다.
    • 구성되지 않음 - Microsoft 네트워크 클라이언트는 세션 설정 시 SMB 패킷 서명을 실행하도록 서버에 요청합니다. 서버에서 패킷 서명을 사용하도록 설정하면 패킷 서명이 협상됩니다.

  • 타사 SMB 서버에 암호화되지 않은 암호 보내기
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • 차단 - SMB(서버 메시지 블록) 리디렉션기는 인증 중에 암호 암호화를 지원하지 않는 타사 SMB 서버에 일반 텍스트 암호를 보낼 수 있습니다.
    • 구성되지 않음 - 일반 텍스트 암호 전송을 차단합니다. 암호가 암호화됩니다.

  • 디지털 서명 통신(항상)
    기본값: 구성되지 않음
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • 사용 - 해당 서버가 SMB 패킷 서명에 동의하지 않는 한 Microsoft 네트워크 클라이언트는 Microsoft 네트워크 서버와 통신하지 않습니다.
    • 구성되지 않음 - 클라이언트와 서버 간에 SMB 패킷 서명이 협상됩니다.

Microsoft 네트워크 서버

  • 디지털 서명 통신(클라이언트가 동의하는 경우)
    기본값: 구성되지 않음
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • 사용 - Microsoft 네트워크 서버는 클라이언트의 요청에 따라 SMB 패킷 서명을 협상합니다. 즉, 클라이언트에서 패킷 서명을 사용하도록 설정하면 패킷 서명이 협상됩니다.
    • 구성되지 않음 - SMB 클라이언트는 SMB 패킷 서명을 협상하지 않습니다.

  • 디지털 서명 통신(항상)
    기본값: 구성되지 않음
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • 사용 - 클라이언트가 SMB 패킷 서명에 동의하지 않는 한 Microsoft 네트워크 서버는 Microsoft 네트워크 클라이언트와 통신하지 않습니다.
    • 구성되지 않음 - 클라이언트와 서버 간에 SMB 패킷 서명이 협상됩니다.

Xbox 서비스

다음 단계

프로필이 만들어지지만 아직 아무 작업도 수행하지 않습니다. 다음으로 프로필을 할당하고 해당 상태 모니터링합니다.

macOS 디바이스에서 엔드포인트 보호 설정을 구성합니다.