공격 표면 감소 규칙 참조
적용 대상:
- 엔드포인트용 Microsoft Microsoft Defender XDR 계획 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender XDR
- Microsoft Defender 바이러스 백신
플랫폼:
- Windows
이 문서에서는 엔드포인트용 MICROSOFT DEFENDER 공격 표면 감소 규칙(ASR 규칙)에 대한 정보를 제공합니다.
중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
유형별 공격 표면 감소 규칙
공격 표면 감소 규칙은 다음 두 가지 유형 중 하나로 분류됩니다.
표준 보호 규칙: 다른 ASR 규칙의 영향 및 구성 요구 사항을 평가하는 동안 항상 사용하도록 권장하는 최소 규칙 집합입니다. 이러한 규칙은 일반적으로 최종 사용자에게 최소한의 눈에 띄는 영향을 미칩니다.
기타 규칙: 공격 표면 감소 규칙 배포 가이드에 설명된 대로 문서화된 배포 단계 [계획 > 테스트(감사) > 사용(블록/경고 모드)]을 따라야 하는 규칙
표준 보호 규칙을 사용하도록 설정하는 가장 쉬운 방법은 간소화된 표준 보호 옵션을 참조하세요.
| ASR 규칙 이름: | 표준 보호 규칙? | 다른 규칙? |
|---|---|---|
| 악용된 취약한 서명된 드라이버의 남용 차단 | 예 | |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | 예 | |
| 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | 예 | |
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) | 예 | |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | 예 | |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | 예 | |
| 잠재적으로 난독 처리된 스크립트의 실행 차단 | 예 | |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | 예 | |
| Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 | 예 | |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | 예 | |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | 예 | |
| WMI 이벤트 구독을 통한 지속성 차단 | 예 | |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | 예 | |
| 안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) | 예 | |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 예 | |
| 복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) | 예 | |
| 서버에 대한 Webshell 만들기 차단 | 예 | |
| Office 매크로에서 Win32 API 호출 차단 | 예 | |
| 랜섬웨어에 대한 고급 보호 사용 | 예 |
바이러스 백신 제외 및 ASR 규칙 Microsoft Defender
Microsoft Defender 바이러스 백신 제외는 일부 공격 표면 감소 규칙과 같은 일부 엔드포인트용 Microsoft Defender 기능에 적용됩니다.
다음 ASR 규칙은 Microsoft Defender 바이러스 백신 제외를 적용하지 않습니다.
참고
규칙별 제외 구성에 대한 자세한 내용은 테스트 공격 표면 감소 규칙 항목의 규칙별 ASR 규칙 구성 섹션을 참조하세요.
ASR 규칙 및 엔드포인트용 Defender 손상 지표(IOC)
다음 ASR 규칙은 IOC(엔드포인트용 Microsoft Defender 손상 지표)를 존중하지 않습니다.
| ASR 규칙 이름 | 설명 |
|---|---|
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) | 파일 또는 인증서에 대한 손상 표시기를 적용하지 않습니다. |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | 파일 또는 인증서에 대한 손상 표시기를 적용하지 않습니다. |
| Office 매크로에서 Win32 API 호출 차단 | 인증서에 대한 손상 지표를 적용하지 않습니다. |
ASR 규칙 지원 운영 체제
다음 표에서는 현재 일반 공급으로 릴리스된 규칙에 대해 지원되는 운영 체제를 나열합니다. 규칙은 이 표에 사전순으로 나열됩니다.
참고
달리 명시되지 않는 한 최소 Windows 10 빌드는 버전 1709(RS3, 빌드 16299) 이상입니다. 최소 Windows Server 빌드는 버전 1809 이상입니다.
Windows Server 2012 R2 및 Windows Server 2016 공격 표면 감소 규칙은 최신 통합 솔루션 패키지를 사용하여 온보딩된 디바이스에서 사용할 수 있습니다. 자세한 내용은 Windows Server 2012 R2 및 2016 미리 보기용 최신 통합 솔루션의 새로운 기능을 참조하세요.
(1) Windows Server 2012 및 2016에 대한 최신 통합 솔루션을 참조합니다. 자세한 내용은 엔드포인트용 Defender 서비스에 Windows Server 온보딩을 참조하세요.
(2) Windows Server 2016 및 Windows Server 2012 R2의 경우 필요한 Microsoft 엔드포인트 Configuration Manager 최소 버전은 버전 2111입니다.
(3) 버전 및 빌드 번호는 Windows 10만 적용됩니다.
ASR 규칙 지원 구성 관리 시스템
이 표에서 참조하는 구성 관리 시스템 버전에 대한 정보 링크는 이 표 아래에 나와 있습니다.
| 규칙 이름 | Microsoft Intune | Microsoft Endpoint Configuration Manager | 그룹 정책[1] | PowerShell[1] |
|---|---|---|---|---|
| 악용된 취약한 서명된 드라이버의 남용 차단 | Y | Y | Y | |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | Y | Y | Y | |
| 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | Y | Y CB 1710 |
Y | Y |
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) | Y | Y CB 1802 |
Y | Y |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | Y | Y CB 1710 |
Y | Y |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | Y | Y CB 1802 |
Y | Y |
| 잠재적으로 난독 처리된 스크립트의 실행 차단 | Y | Y CB 1710 |
Y | Y |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | Y | Y CB 1710 |
Y | Y |
| Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 | Y | Y CB 1710 |
Y | Y |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | Y | Y CB 1710 |
Y | Y |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | Y | Y CB 1710 |
Y | Y |
| WMI 이벤트 구독을 통한 지속성 차단 | Y | Y | Y | |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | Y | Y | Y | |
| 안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) | Y | Y | Y | |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | Y | Y CB 1802 |
Y | Y |
| 복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) | Y | Y | Y | |
| 서버에 대한 Webshell 만들기 차단 | Y | Y | Y | |
| Office 매크로에서 Win32 API 호출 차단 | Y | Y CB 1710 |
Y | Y |
| 랜섬웨어에 대한 고급 보호 사용 | Y | Y CB 1802 |
Y | Y |
(1) 규칙의 GUID를 사용하여 규칙별로 공격 표면 감소 규칙을 구성할 수 있습니다.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- System Center Configuration Manager(SCCM) CB 1710
이제 SCCM Microsoft Configuration Manager.
ASR 규칙별 경고 및 알림 세부 정보
알림 메시지는 차단 모드의 모든 규칙에 대해 생성됩니다. 다른 모드의 규칙은 알림 메시지를 생성하지 않습니다.
"규칙 상태"가 지정된 규칙의 경우:
- ASR 규칙, 규칙 상태> 조합이 있는 <ASR 규칙은 클라우드 블록 수준 높음의 디바이스에 대해서만 엔드포인트용 Microsoft Defender 경고(알림 메시지)를 노출하는 데 사용됩니다. 높은 클라우드 블록 수준에 있지 않은 디바이스는 ASR 규칙, 규칙 상태> 조합에 대한 <경고를 생성하지 않습니다.
- 클라우드 블록 수준 High+의 디바이스에 대해 지정된 상태의 ASR 규칙에 대해 EDR 경고가 생성됩니다.
| 규칙 이름: | 규칙 상태: | EDR에서 경고를 생성합니까? (예 | 아니요) |
알림 메시지를 생성합니까? (예 | 아니요) |
|---|---|---|---|
| 클라우드 블록 수준 High+의 디바이스에만 해당 | 차단 모드에서는클라우드 블록 수준 High의 디바이스에만 해당됩니다. | ||
| 악용된 취약한 서명된 드라이버의 남용 차단 | N | Y | |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | 차단 | Y | Y |
| 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | N | Y | |
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) | N | Y | |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | Y | Y | |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | N | Y | |
| 잠재적으로 난독 처리된 스크립트의 실행 차단 | 감사 | 블록 | Y | Y | N | Y |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | 차단 | Y | Y |
| Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 | N | Y | |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | N | Y | |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | N | Y | |
| WMI 이벤트 구독을 통한 지속성 차단 | 감사 | 블록 | Y | Y | N | Y |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | N | Y | |
| 안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) | N | N | |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 감사 | 블록 | Y | Y | N | Y |
| 복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) | N | N | |
| 서버에 대한 Webshell 만들기 차단 | N | N | |
| Office 매크로에서 Win32 API 호출 차단 | N | Y | |
| 랜섬웨어에 대한 고급 보호 사용 | 감사 | 블록 | Y | Y | N | Y |
GUID 행렬에 대한 ASR 규칙
| 규칙 이름 | 규칙 GUID |
|---|---|
| 악용된 취약한 서명된 드라이버의 남용 차단 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| 잠재적으로 난독 처리된 스크립트의 실행 차단 | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| WMI 이벤트 구독을 통한 지속성 차단 * 파일 및 폴더 제외는 지원되지 않습니다. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| 안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| 복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| 서버에 대한 Webshell 만들기 차단 | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Office 매크로에서 Win32 API 호출 차단 | 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b |
| 랜섬웨어에 대한 고급 보호 사용 | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR 규칙 모드
- 구성되지 않음 또는 사용 안 함: ASR 규칙이 사용하도록 설정되지 않았거나 사용하지 않도록 설정된 상태입니다. 이 상태의 코드 = 0입니다.
- 차단: ASR 규칙이 사용하도록 설정된 상태입니다. 이 상태의 코드는 1입니다.
- 감사: ASR 규칙이 사용하도록 설정된 경우 organization 또는 환경에 미치는 영향에 대해 평가되는 상태입니다(차단 또는 경고로 설정). 이 상태의 코드는 2입니다.
- 경고 ASR 규칙이 사용하도록 설정되고 최종 사용자에게 알림을 표시하지만 최종 사용자가 블록을 바이패스하도록 허용하는 상태입니다. 이 상태의 코드는 6입니다.
경고 모드 는 잠재적으로 위험한 작업에 대해 사용자에게 경고하는 블록 모드 유형입니다. 사용자는 블록 경고 메시지를 무시하고 기본 작업을 허용하도록 선택할 수 있습니다. 사용자는 확인을 선택하여 블록을 적용하거나 블록 시 생성된 최종 사용자 팝업 알림 메시지를 통해 바이패스 옵션인 차단 해제 를 선택할 수 있습니다. 경고가 차단 해제된 후 다음에 경고 메시지가 발생할 때까지 작업이 허용되며, 이때 최종 사용자는 작업을 다시 구성해야 합니다.
허용 단추를 클릭하면 블록이 24시간 동안 표시되지 않습니다. 24시간이 지나면 최종 사용자가 블록을 다시 허용해야 합니다. ASR 규칙에 대한 경고 모드는 RS5+(1809+) 디바이스에서만 지원됩니다. 이전 버전이 있는 디바이스의 ASR 규칙에 바이패스가 할당되면 규칙이 차단 모드가 됩니다.
또한 AttackSurfaceReductionRules_Actions "경고"로 지정하여 PowerShell을 통해 경고 모드로 규칙을 설정할 수도 있습니다. 예시:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
규칙별 설명
악용된 취약한 서명된 드라이버의 남용 차단
이 규칙은 애플리케이션이 취약한 서명된 드라이버를 디스크에 쓰는 것을 방지합니다. 커널에 대한 액세스 권한을 얻기 위해 충분한 권한이 있는 로컬 애플리케이션에서 취약한 서명된 드라이버를 악용할 수 있습니다. 취약한 서명된 드라이버를 사용하면 공격자가 보안 솔루션을 사용하지 않도록 설정하거나 우회할 수 있으므로 결국 시스템 손상이 초래됩니다.
악용된 취약한 서명된 드라이버 규칙의 남용 차단은 시스템에 이미 존재하는 드라이버가 로드되는 것을 차단하지 않습니다.
참고
Intune OMA-URI를 사용하여 이 규칙을 구성할 수 있습니다. 사용자 지정 규칙을 구성하는 Intune OMA-URI를 참조하세요.
PowerShell을 사용하여 이 규칙을 구성할 수도 있습니다.
드라이버를 검사하려면 이 웹 사이트를 사용하여 분석을 위해 드라이버를 제출합니다.
Intune 이름:Block abuse of exploited vulnerable signed drivers
Configuration Manager 이름: 아직 사용할 수 없음
Guid: 56a863a9-875e-4185-98a7-b882c64b5ce5
고급 헌팅 작업 유형:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
이 규칙은 Adobe Reader가 프로세스를 만들지 못하도록 차단하여 공격을 방지합니다.
맬웨어는 소셜 엔지니어링 또는 익스플로잇을 통해 페이로드를 다운로드하고 시작하고 Adobe Reader에서 분리할 수 있습니다. Adobe Reader에서 자식 프로세스가 생성되지 않도록 차단하면 Adobe Reader를 공격 벡터로 사용하려는 맬웨어가 확산되지 않습니다.
Intune 이름:Process creation from Adobe Reader (beta)
Configuration Manager 이름: 아직 사용할 수 없음
Guid: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
고급 헌팅 작업 유형:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
종속성: Microsoft Defender 바이러스 백신
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단
이 규칙은 Office 앱이 자식 프로세스를 만들지 못하도록 차단합니다. Office 앱에는 Word, Excel, PowerPoint, OneNote 및 Access가 포함됩니다.
악의적인 자식 프로세스를 만드는 것은 일반적인 맬웨어 전략입니다. Office를 벡터로 남용하는 맬웨어는 종종 VBA 매크로를 실행하고 코드를 악용하여 더 많은 페이로드를 다운로드하고 실행하려고 시도합니다. 그러나 일부 합법적인 기간 업무 애플리케이션은 양성 목적으로 자식 프로세스를 생성할 수도 있습니다. 명령 프롬프트를 생성하거나 PowerShell을 사용하여 레지스트리 설정을 구성하는 등의 작업을 수행합니다.
Intune 이름:Office apps launching child processes
Configuration Manager 이름:Block Office application from creating child processes
Guid: d4f940ab-401b-4efc-aadc-ad5f3c50688a
고급 헌팅 작업 유형:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
종속성: Microsoft Defender 바이러스 백신
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단
이 규칙은 LSASS(로컬 보안 기관 하위 시스템 서비스)를 잠가 자격 증명 도용을 방지하는 데 도움이 됩니다.
LSASS는 Windows 컴퓨터에 로그인하는 사용자를 인증합니다. Windows의 Microsoft Defender Credential Guard는 일반적으로 LSASS에서 자격 증명을 추출하려는 시도를 방지합니다. 일부 조직에서는 사용자 지정 스마트 카드 드라이버 또는 LSA(로컬 보안 기관)에 로드되는 다른 프로그램과의 호환성 문제로 인해 모든 컴퓨터에서 Credential Guard를 사용하도록 설정할 수 없습니다. 이러한 경우 공격자는 Mimikatz와 같은 도구를 사용하여 LSASS에서 일반 텍스트 암호 및 NTLM 해시를 스크래핑할 수 있습니다.
기본적으로 이 규칙의 상태는 차단으로 설정됩니다. 대부분의 경우 많은 프로세스에서 필요하지 않은 액세스 권한에 대해 LSASS를 호출합니다. 예를 들어 ASR 규칙의 초기 블록이 이후에 성공하는 더 작은 권한에 대한 후속 호출이 발생하는 경우와 같습니다. LSASS에 대한 프로세스 호출에서 일반적으로 요청되는 권한 유형에 대한 자세한 내용은 프로세스 보안 및 액세스 권한을 참조하세요.
ASR 규칙 및 LSA 보호가 유사하게 작동하므로 LSA 보호를 사용하도록 설정한 경우 이 규칙을 사용하도록 설정해도 추가 보호가 제공되지 않습니다. 그러나 LSA 보호를 사용하도록 설정할 수 없는 경우 를 대상으로 lsass.exe하는 맬웨어에 대해 동등한 보호를 제공하도록 이 규칙을 구성할 수 있습니다.
참고
이 시나리오에서 ASR 규칙은 Microsoft Defender 포털의 엔드포인트용 Defender 설정에서 "해당 없음"으로 분류됩니다.
Windows 로컬 보안 기관 하위 시스템 ASR 규칙에서 자격 증명 도용 차단은 WARN 모드를 지원하지 않습니다.
일부 앱에서 코드는 실행 중인 모든 프로세스를 열거하고 완전한 권한으로 열려고 시도합니다. 이 규칙은 앱의 프로세스 열기 작업을 거부하고 세부 정보를 보안 이벤트 로그에 기록합니다. 이 규칙은 많은 노이즈를 생성할 수 있습니다. LSASS를 열거하지만 기능에 실질적인 영향을 주지 않는 앱이 있는 경우 제외 목록에 추가할 필요가 없습니다. 그 자체로 이 이벤트 로그 항목이 반드시 악의적인 위협을 나타내는 것은 아닙니다.
Intune 이름:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager 이름:Block credential stealing from the Windows local security authority subsystem
Guid: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
고급 헌팅 작업 유형:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
종속성: Microsoft Defender 바이러스 백신
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단
이 규칙은 Microsoft Outlook 애플리케이션 내에서 열린 전자 메일 또는 Outlook.com 및 기타 인기 있는 웹 메일 공급자가 다음 파일 형식을 전파하지 못하도록 차단합니다.
- 실행 파일(예: .exe, .dll 또는 .scr)
- 스크립트 파일(예: PowerShell .ps1, Visual Basic .vbs 또는 JavaScript .js 파일)
Intune 이름:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager 이름:Block executable content from email client and webmail
Guid: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
고급 헌팅 작업 유형:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
종속성: Microsoft Defender 바이러스 백신
참고
이메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 규칙에는 사용하는 애플리케이션에 따라 다음과 같은 대체 설명이 있습니다.
- Intune(구성 프로필): 실행 파일 콘텐츠(exe, dll, ps, js, vbs 등)가 전자 메일(webmail/mail 클라이언트)에서 삭제됨(예외 없음)을 실행합니다.
- Configuration Manager: 이메일 및 웹 메일 클라이언트에서 실행 가능한 콘텐츠 다운로드를 차단합니다.
- 그룹 정책: 전자 메일 클라이언트 및 웹 메일에서 실행 가능한 콘텐츠를 차단합니다.
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단
이 규칙은 실행 파일(예: .exe, .dll 또는 .scr)이 시작하지 못하도록 차단합니다. 따라서 신뢰할 수 없거나 알 수 없는 실행 파일을 시작하는 것은 위험할 수 있습니다. 파일이 악의적인 경우 처음에는 명확하지 않을 수 있으므로 위험할 수 있습니다.
중요
이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정 해야 합니다.
실행 파일이 GUID를 사용하는 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단은 Microsoft에서 소유하며 관리자가 지정하지 않습니다.01443614-cd74-433a-b99e-2ecdc07bfc25 이 규칙은 클라우드 제공 보호를 사용하여 신뢰할 수 있는 목록을 정기적으로 업데이트합니다.
개별 파일 또는 폴더(폴더 경로 또는 정규화된 리소스 이름 사용)를 지정할 수 있지만 적용되는 규칙이나 제외는 지정할 수 없습니다.
Intune 이름:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager 이름:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
Guid: 01443614-cd74-433a-b99e-2ecdc07bfc25
고급 헌팅 작업 유형:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
종속성: Microsoft Defender 바이러스 백신, 클라우드 보호
잠재적으로 난독 처리된 스크립트의 실행 차단
이 규칙은 난독 제거된 스크립트 내에서 의심스러운 속성을 검색합니다.
중요
이제 PowerShell 스크립트가 "잠재적으로 난독 처리된 스크립트의 실행 차단" 규칙에 대해 지원됩니다.
스크립트 난독 처리는 맬웨어 작성자와 합법적인 애플리케이션이 지적 재산을 숨기거나 스크립트 로드 시간을 줄이는 데 사용하는 일반적인 기술입니다. 맬웨어 작성자는 또한 난독 처리를 사용하여 악성 코드를 읽기 어렵게 만들어 인간과 보안 소프트웨어의 면밀한 조사를 방해합니다.
Intune 이름:Obfuscated js/vbs/ps/macro code
Configuration Manager 이름:Block execution of potentially obfuscated scripts
Guid: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
고급 헌팅 작업 유형:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
종속성: Microsoft Defender 바이러스 백신, AMSI(맬웨어 방지 검사 인터페이스)
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단
이 규칙은 스크립트가 잠재적으로 악의적으로 다운로드한 콘텐츠를 시작하지 못하도록 방지합니다. JavaScript 또는 VBScript로 작성된 맬웨어는 인터넷에서 다른 맬웨어를 가져오고 시작하는 다운로더 역할을 하는 경우가 많습니다.
일반적이지는 않지만 기간 업무 애플리케이션은 경우에 따라 스크립트를 사용하여 설치 관리자를 다운로드하고 시작합니다.
Intune 이름:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager 이름:Block JavaScript or VBScript from launching downloaded executable content
Guid: d3e037e1-3eb8-44c8-a917-57927947596d
고급 헌팅 작업 유형:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
종속성: Microsoft Defender 바이러스 백신, AMSI
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단
이 규칙은 악성 코드가 디스크에 기록되지 않도록 차단하여 Word, Excel 및 PowerPoint를 포함한 Office 앱이 잠재적으로 악의적인 실행 가능한 콘텐츠를 만들지 못하도록 차단합니다.
Office를 벡터로 남용하는 맬웨어는 Office를 중단하고 악성 구성 요소를 디스크에 저장하려고 시도할 수 있습니다. 이러한 악성 구성 요소는 컴퓨터 재부팅에서 유지되고 시스템에서 유지됩니다. 따라서 이 규칙은 일반적인 지속성 기술을 방어합니다. 이 규칙은 Office 파일에서 실행할 수 있는 Office 매크로에 의해 저장되었을 수 있는 신뢰할 수 없는 파일의 실행도 차단합니다.
Intune 이름:Office apps/macros creating executable content
Configuration Manager 이름:Block Office applications from creating executable content
Guid: 3b576869-a4ec-4529-8536-b80a7769e899
고급 헌팅 작업 유형:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
종속성: Microsoft Defender 바이러스 백신, RPC
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
이 규칙은 Office 앱에서 다른 프로세스로 코드 삽입 시도를 차단합니다.
참고
애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 ASR 규칙은 WARN 모드를 지원하지 않습니다.
중요
이 규칙을 사용하려면 구성 변경 내용이 적용되려면 Microsoft 365 앱(Office 애플리케이션)를 다시 시작해야 합니다.
공격자는 Office 앱을 사용하여 코드 삽입을 통해 악성 코드를 다른 프로세스로 마이그레이션하려고 시도할 수 있으므로 코드가 클린 프로세스로 가장할 수 있습니다.
코드 삽입을 사용하기 위한 알려진 합법적인 비즈니스 용도는 없습니다.
이 규칙은 Word, Excel, OneNote 및 PowerPoint에 적용됩니다.
Intune 이름:Office apps injecting code into other processes (no exceptions)
Configuration Manager 이름:Block Office applications from injecting code into other processes
Guid: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
고급 헌팅 작업 유형:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
종속성: Microsoft Defender 바이러스 백신
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단
이 규칙은 Outlook에서 자식 프로세스를 만드는 동시에 합법적인 Outlook 기능을 계속 허용하는 것을 방지합니다.
이 규칙은 소셜 엔지니어링 공격으로부터 보호하고 코드 악용이 Outlook의 취약성을 악용하는 것을 방지합니다. 또한 사용자의 자격 증명이 손상되면 공격자가 사용할 수 있는 Outlook 규칙 및 양식 악용 으로부터 보호합니다.
참고
이 규칙은 Outlook에서 DLP 정책 팁 및 도구 설명을 차단합니다. 이 규칙은 Outlook 및 Outlook.com 만 적용됩니다.
Intune 이름:Process creation from Office communication products (beta)
Configuration Manager 이름: 사용할 수 없음
Guid: 26190899-1602-49e8-8b27-eb1d0a1ce869
고급 헌팅 작업 유형:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
종속성: Microsoft Defender 바이러스 백신
WMI 이벤트 구독을 통한 지속성 차단
이 규칙은 맬웨어가 WMI를 악용하여 디바이스에서 지속성을 얻지 못하게 합니다.
중요
파일 및 폴더 제외는 이 공격 표면 감소 규칙에 적용되지 않습니다.
파일리스 위협은 파일 시스템에 표시되지 않도록 하고 정기적인 실행 제어를 확보하기 위해 다양한 기법을 사용하여 숨은 상태를 유지합니다. 일부 위협은 WMI 리포지토리 및 이벤트 모델을 악용하여 계속 숨을 수 있습니다.
참고
디바이스에서 (SCCM 에이전트)가 검색되면 CcmExec.exe ASR 규칙은 Microsoft Defender 포털의 엔드포인트용 Defender 설정에서 "해당 없음"으로 분류됩니다.
Intune 이름:Persistence through WMI event subscription
Configuration Manager 이름: 사용할 수 없음
Guid: e6db77e5-3df2-4cf1-b95a-636979351e5b
고급 헌팅 작업 유형:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
종속성: Microsoft Defender 바이러스 백신, RPC
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
이 규칙은 PsExec 및 WMI 를 통해 만든 프로세스가 실행되지 않도록 차단합니다. PsExec 및 WMI는 모두 원격으로 코드를 실행할 수 있습니다. 명령 및 제어 목적으로 맬웨어가 PsExec 및 WMI의 기능을 남용하거나 organization 네트워크 전체에 감염을 확산시킬 위험이 있습니다.
경고
Intune 또는 다른 MDM 솔루션으로 디바이스를 관리하는 경우에만 이 규칙을 사용합니다. 이 규칙은 Configuration Manager 클라이언트가 올바르게 작동하는 데 사용하는 WMI 명령을 차단하기 때문에 Microsoft Endpoint Configuration Manager 통해 관리와 호환되지 않습니다.
Intune 이름:Process creation from PSExec and WMI commands
Configuration Manager 이름: 해당 없음
Guid: d1e49aac-8f56-4280-b9ba-993a6d77406c
고급 헌팅 작업 유형:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
종속성: Microsoft Defender 바이러스 백신
안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기)
이 규칙은 안전 모드에서 컴퓨터를 다시 시작하는 명령의 실행을 방지합니다.
안전 모드는 Windows를 실행하는 데 필요한 필수 파일 및 드라이버만 로드하는 진단 모드입니다. 그러나 안전 모드에서는 많은 보안 제품이 비활성화되거나 제한된 용량으로 작동하므로 공격자가 변조 명령을 추가로 시작하거나 컴퓨터의 모든 파일을 실행하고 암호화할 수 있습니다. 이 규칙은 프로세스가 안전 모드에서 컴퓨터를 다시 시작하지 못하도록 하여 이러한 공격을 차단합니다.
참고
이 기능은 현재 미리 보기로 제공됩니다. 효능을 개선하기 위한 추가 업그레이드가 개발 중입니다.
Intune 이름:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager 이름: 아직 사용할 수 없음
Guid: 33ddedf1-c6e0-47cb-833e-de6133960387
종속성: Microsoft Defender 바이러스 백신
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단
이 규칙을 사용하면 관리자는 SD 카드를 비롯한 USB 이동식 드라이브에서 서명되지 않거나 신뢰할 수 없는 실행 파일이 실행되지 않도록 방지할 수 있습니다. 차단된 파일 형식에는 실행 파일(예: .exe, .dll 또는 .scr)이 포함됩니다.
중요
디스크 드라이브에서 실행될 경우 USB에서 디스크 드라이브로 복사된 파일은 이 규칙에 의해 차단됩니다.
Intune 이름:Untrusted and unsigned processes that run from USB
Configuration Manager 이름:Block untrusted and unsigned processes that run from USB
Guid: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
고급 헌팅 작업 유형:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
종속성: Microsoft Defender 바이러스 백신
복사되거나 가장된 시스템 도구의 사용 차단(미리 보기)
이 규칙은 Windows 시스템 도구의 복사본으로 식별되는 실행 파일의 사용을 차단합니다. 이러한 파일은 원본 시스템 도구의 중복 또는 사기꾼입니다.
일부 악성 프로그램은 검색을 방지하거나 권한을 얻기 위해 Windows 시스템 도구를 복사하거나 가장하려고 할 수 있습니다. 이러한 실행 파일을 허용하면 잠재적인 공격이 발생할 수 있습니다. 이 규칙은 Windows 컴퓨터에서 시스템 도구의 이러한 중복 및 사기꾼의 전파 및 실행을 방지합니다.
참고
이 기능은 현재 미리 보기로 제공됩니다. 효능을 개선하기 위한 추가 업그레이드가 개발 중입니다.
Intune 이름:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager 이름: 아직 사용할 수 없음
Guid: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
종속성: Microsoft Defender 바이러스 백신
서버에 대한 Webshell 만들기 차단
이 규칙은 Microsoft Server Exchange 역할에서 웹 셸 스크립트 만들기를 차단합니다.
웹 셸 스크립트는 공격자가 손상된 서버를 제어할 수 있도록 특별히 작성된 스크립트입니다. 웹 셸에는 악성 명령 수신 및 실행, 악성 파일 다운로드 및 실행, 자격 증명 및 중요한 정보 도용 및 유출, 잠재적 대상 식별 등과 같은 기능이 포함될 수 있습니다.
Intune 이름:Block Webshell creation for Servers
Guid: a8f5898e-1dc8-49a9-9878-85004b8a61e6
종속성: Microsoft Defender 바이러스 백신
Office 매크로에서 Win32 API 호출 차단
이 규칙은 VBA 매크로가 Win32 API를 호출하지 못하도록 방지합니다.
Office VBA는 Win32 API 호출을 사용하도록 설정합니다. 맬웨어는 Win32 API를 호출하여 디스크에 직접 아무것도 쓰지 않고 악성 셸코드를 시작하는 등 이 기능을 남용할 수 있습니다. 대부분의 조직은 다른 방법으로 매크로를 사용하더라도 일상적인 작동에서 Win32 API를 호출하는 기능에 의존하지 않습니다.
Intune 이름:Win32 imports from Office macro code
Configuration Manager 이름:Block Win32 API calls from Office macros
Guid: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
고급 헌팅 작업 유형:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
종속성: Microsoft Defender 바이러스 백신, AMSI
랜섬웨어에 대한 고급 보호 사용
이 규칙은 랜섬웨어에 대한 추가 보호 계층을 제공합니다. 클라이언트 및 클라우드 추론을 모두 사용하여 파일이 랜섬웨어와 유사한지 여부를 확인합니다. 이 규칙은 다음 특성 중 하나 이상이 있는 파일을 차단하지 않습니다.
- 파일이 이미 Microsoft 클라우드에서 공유되지 않는 것으로 확인되었습니다.
- 파일은 유효한 서명된 파일입니다.
- 이 파일은 랜섬웨어로 간주되지 않을 정도로 널리 퍼져 있습니다.
규칙은 랜섬웨어를 방지하기 위해 주의의 측면에 잘못하는 경향이있다.
참고
이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정 해야 합니다.
Intune 이름:Advanced ransomware protection
Configuration Manager 이름:Use advanced protection against ransomware
Guid: c1db55ab-c21a-4637-bb3f-a12568109d35
고급 헌팅 작업 유형:
AsrRansomwareAuditedAsrRansomwareBlocked
종속성: Microsoft Defender 바이러스 백신, 클라우드 보호
참고 항목
- 공격 표면 감소 규칙 배포 개요
- 공격 표면 감소 규칙 배포 계획
- 테스트 공격 표면 감소 규칙
- 공격 표면 감소 규칙 사용
- 공격 표면 감소 규칙 운영
- 공격 표면 감소 규칙 보고서
- 공격 표면 감소 규칙 참조
- 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기