Configuration Manager 사용하여 Windows 디바이스 온보딩

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Configuration Manager 사용하여 엔드포인트를 엔드포인트용 Microsoft Defender 서비스에 온보딩할 수 있습니다.

Configuration Manager 사용하여 디바이스를 온보딩하는 데 사용할 수 있는 몇 가지 옵션이 있습니다.

Windows Server 2012 R2 및 Windows Server 2016 경우 온보딩 단계를 완료한 후 System Center Endpoint Protection 클라이언트를 구성하고 업데이트해야 합니다.

참고

엔드포인트용 Defender는 OOBE(기본 제공 환경) 단계에서 온보딩을 지원하지 않습니다. Windows 설치 또는 업그레이드를 실행한 후 사용자가 OOBE를 완료해야 합니다.

Configuration Manager 애플리케이션에서 검색 규칙을 만들어 디바이스가 온보딩되었는지 지속적으로 확인할 수 있습니다. 애플리케이션은 패키지 및 프로그램과 다른 유형의 개체입니다. 디바이스가 아직 온보딩되지 않은 경우(보류 중인 OOBE 완료 또는 기타 이유로 인해) Configuration Manager 규칙이 상태 변경을 검색할 때까지 디바이스를 다시 온보딩합니다.

이 동작은 "OnboardingState" 레지스트리 값(REG_DWORD 형식) = 1인지 확인하는 검색 규칙을 만들어 수행할 수 있습니다. 이 레지스트리 값은 "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" 아래에 있습니다. 자세한 내용은 System Center 2012 R2 Configuration Manager 검색 방법 구성을 참조하세요.

샘플 컬렉션 설정 구성

각 디바이스에 대해 Microsoft 365 Defender 통해 심층 분석을 위해 파일을 제출하도록 요청할 때 디바이스에서 샘플을 수집할 수 있는지 여부를 명시하는 구성 값을 설정할 수 있습니다.

참고

이러한 구성 설정은 일반적으로 Configuration Manager 통해 수행됩니다.

Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 디바이스에서 샘플 공유 설정을 변경할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 설정하여 불만 사항인지 확인하는 수정 규정 준수 규칙 구성 항목이어야 합니다.

구성은 다음 레지스트리 키 항목을 통해 설정됩니다.

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

여기서 키 유형은 D-WORD입니다. 가능한 값은 다음과 같습니다.

  • 0: 이 디바이스에서 샘플 공유를 허용하지 않습니다.
  • 1: 이 디바이스에서 모든 파일 형식을 공유할 수 있습니다.

레지스트리 키가 없는 경우의 기본값은 1입니다.

System Center Configuration Manager 규정 준수에 대한 자세한 내용은 System Center 2012 R2 Configuration Manager 규정 준수 설정 소개를 참조하세요.

서비스에 디바이스를 온보딩한 후에는 다음 권장 구성 설정으로 디바이스를 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.

디바이스 컬렉션 구성

엔드포인트 Configuration Manager 버전 2002 이상을 사용하는 경우 서버 또는 하위 수준 클라이언트를 포함하도록 배포를 확대하도록 선택할 수 있습니다.

차세대 보호 구성

다음 구성 설정을 사용하는 것이 좋습니다.

검사

  • USB 드라이브와 같은 이동식 스토리지 디바이스 검사: 예

실시간 보호

  • 동작 모니터링 사용: 예
  • 다운로드 및 설치 전에 잠재적으로 원치 않는 애플리케이션에 대한 보호 사용: 예

클라우드 보호 서비스

  • Cloud Protection Service 멤버 자격 유형: 고급 멤버 자격

공격 표면 감소

감사에 사용 가능한 모든 규칙을 구성합니다.

참고

이러한 활동을 차단하면 합법적인 비즈니스 프로세스가 중단됩니다. 가장 좋은 방법은 감사할 모든 항목을 설정하고, 어떤 설정을 켜도 안전한지 식별한 다음, 가양성 검색이 없는 엔드포인트에서 이러한 설정을 사용하도록 설정하는 것입니다.

SCCM(Microsoft System Center Configuration Manager)을 통해 AV 및 ASR 정책을 배포하려면 다음 단계를 수행합니다.

  • Endpoint Protection을 사용하도록 설정하고 사용자 지정 클라이언트 설정을 구성합니다.
  • 명령 프롬프트에서 Endpoint Protection 클라이언트를 설치합니다.
  • Endpoint Protection 클라이언트 설치를 확인합니다.
Endpoint Protection 사용 및 사용자 지정 클라이언트 설정 구성

사용자 지정 클라이언트 설정의 엔드포인트 보호 및 구성을 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 클라이언트 설정을 클릭합니다.

  3. 탭의 만들기 그룹에서 사용자 지정 클라이언트 디바이스 설정 만들기 를 클릭합니다.

  4. 사용자 지정 클라이언트 디바이스 설정 만들기 대화 상자에서 설정 그룹에 대한 이름과 설명을 입력한 다음 Endpoint Protection 을 선택합니다.

  5. 필요한 Endpoint Protection 클라이언트 설정을 구성합니다. 구성할 수 있는 Endpoint Protection 클라이언트 설정의 전체 목록은 클라이언트 설정 정보에서 Endpoint Protection 섹션을 참조하세요.

    중요

    Endpoint Protection에 대한 클라이언트 설정을 구성하기 전에 Endpoint Protection 사이트 시스템 역할을 설치합니다.

  6. [확인]을 클릭하여 [사용자 지정 클라이언트 디바이스 설정 만들기] 대화 상자를 닫습니다. 새 클라이언트 설정은 관리 작업 영역의 클라이언트 설정 노드에 표시됩니다.

  7. 다음으로, 컬렉션에 사용자 지정 클라이언트 설정을 배포합니다. 배포하려는 사용자 지정 클라이언트 설정을 선택합니다. 탭의 클라이언트 설정 그룹에서 배포를 클릭합니다 .

  8. 컬렉션 선택 대화 상자에서 클라이언트 설정을 배포할 컬렉션을 선택한 다음 확인을 클릭합니다. 새 배포는 세부 정보 창의 배포 탭에 표시됩니다.

클라이언트는 다음에 클라이언트 정책을 다운로드할 때 이러한 설정으로 구성됩니다. 자세한 내용은 Configuration Manager 클라이언트에 대한 정책 검색 시작을 참조하세요.

명령 프롬프트에서 Endpoint Protection 클라이언트 설치

명령 프롬프트에서 엔드포인트 보호 클라이언트 설치를 완료하려면 단계를 수행합니다.

  1. Configuration Manager 설치 폴더의 클라이언트 폴더에서 Endpoint Protection 클라이언트 소프트웨어를 설치하려는 컴퓨터로scepinstall.exe복사합니다.

  2. 명령 프롬프트를 관리자 권한으로 엽니다. 설치 관리자를 사용하여 디렉터리를 폴더로 변경합니다. 그런 다음, 다음을 실행 scepinstall.exe하여 필요한 추가 명령줄 속성을 추가합니다.

    속성 설명
    /s 설치 관리자를 자동으로 실행
    /q 설치 파일을 자동으로 추출합니다.
    /i 설치 관리자를 정상적으로 실행
    /policy 설치하는 동안 클라이언트를 구성할 맬웨어 방지 정책 파일 지정
    /sqmoptin Microsoft CEIP(고객 환경 개선 프로그램)에 옵트인
  3. 화면의 지침에 따라 클라이언트 설치를 완료합니다.

  4. 최신 업데이트 정의 패키지를 다운로드한 경우 패키지를 클라이언트 컴퓨터에 복사한 다음 정의 패키지를 두 번 클릭하여 설치합니다.

    참고

    Endpoint Protection 클라이언트 설치가 완료되면 클라이언트는 자동으로 정의 업데이트 검사를 수행합니다. 이 업데이트 확인에 성공하면 최신 정의 업데이트 패키지를 수동으로 설치할 필요가 없습니다.

예: 맬웨어 방지 정책을 사용하여 클라이언트 설치

scepinstall.exe /policy <full path>\<policy file>

Endpoint Protection 클라이언트 설치 확인

참조 컴퓨터에 Endpoint Protection 클라이언트를 설치한 후 클라이언트가 제대로 작동하는지 확인합니다.

  1. 참조 컴퓨터의 Windows 알림 영역에서 System Center Endpoint Protection 엽니다.
  2. System Center Endpoint Protection 대화 상자의 탭에서 실시간 보호 가 켜기로 설정되어 있는지 확인합니다 .
  3. 바이러스 및 스파이웨어 정의 에 대한 최신 정보가 표시되는지 확인합니다.
  4. 참조 컴퓨터가 이미징할 준비가 되었는지 확인하려면 검사 옵션 에서 전체 항목을 선택한 다음 지금 검사를 클릭합니다.

네트워크 보호

감사 또는 차단 모드에서 네트워크 보호를 사용하도록 설정하기 전에 지원 페이지에서 가져올 수 있는 맬웨어 방지 플랫폼 업데이트를 설치했는지 확인합니다.

제어된 폴더 액세스

최소 30일 동안 감사 모드에서 기능을 사용하도록 설정합니다. 이 기간이 지나면 검색을 검토하고 보호된 디렉터리에 쓸 수 있는 애플리케이션 목록을 만듭니다.

자세한 내용은 제어된 폴더 액세스 평가(Evaluate)를 참조하세요.

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

Configuration Manager 사용하여 디바이스 오프보딩

보안상의 이유로 디바이스를 오프보딩하는 데 사용되는 패키지는 다운로드한 날짜 이후 30일 후에 만료됩니다. 디바이스로 전송된 만료된 오프보딩 패키지는 거부됩니다. 오프보딩 패키지를 다운로드할 때 패키지 만료 날짜에 대한 알림이 표시되고 패키지 이름에도 포함됩니다.

참고

온보딩 및 오프보딩 정책은 동일한 디바이스에 동시에 배포해서는 안 되며, 그렇지 않으면 예측할 수 없는 충돌이 발생합니다.

Microsoft Endpoint Manager 현재 분기를 사용하여 디바이스 오프보딩

Microsoft Endpoint Manager 현재 분기를 사용하는 경우 오프보딩 구성 파일 만들기를 참조하세요.

System Center 2012 R2 Configuration Manager 사용하여 디바이스 오프보딩

  1. Microsoft 365 Defender 포털에서 오프보딩 패키지를 가져옵니다.

    1. 탐색 창에서 설정 > 엔드포인트 > 디바이스 관리 > 오프보딩을 선택합니다.
    2. Windows 10 선택하거나 운영 체제로 Windows 11.
    3. 배포 방법 필드에서 System Center Configuration Manager 2012/2012 R2/1511/1602 를 선택합니다.
    4. 패키지 다운로드 를 선택하고 .zip 파일을 저장합니다.
  2. 패키지를 배포할 네트워크 관리자가 액세스할 수 있는 공유 읽기 전용 위치에 .zip 파일의 콘텐츠를 추출합니다. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 라는 파일이 있어야 합니다.

  3. System Center 2012 R2 Configuration Manager 문서의 패키지 및 프로그램 단계에 따라 패키지를 배포합니다.

    패키지를 배포할 미리 정의된 디바이스 컬렉션을 선택합니다.

중요

오프보딩을 사용하면 디바이스가 포털로 센서 데이터 전송을 중지하지만, 디바이스에서 받은 경고에 대한 참조를 포함하여 디바이스의 데이터는 최대 6개월 동안 보존됩니다.

디바이스 구성 모니터링

Microsoft Endpoint Manager 현재 분기를 사용하는 경우 Configuration Manager 콘솔에서 엔드포인트용 기본 제공 Defender 대시보드를 사용합니다. 자세한 내용은 엔드포인트용 Defender - 모니터를 참조하세요.

System Center 2012 R2 Configuration Manager 사용하는 경우 모니터링은 다음 두 부분으로 구성됩니다.

  1. 구성 패키지가 올바르게 배포되었고 네트워크의 디바이스에서 실행 중인지(또는 성공적으로 실행되었는지) 확인합니다.

  2. 디바이스가 엔드포인트용 Defender 서비스를 준수하는지 확인합니다(이렇게 하면 디바이스가 온보딩 프로세스를 완료하고 서비스에 데이터를 계속 보고할 수 있음).

구성 패키지가 올바르게 배포되었는지 확인합니다.

  1. Configuration Manager 콘솔의 탐색 창 아래쪽에 있는 모니터링 을 클릭합니다.

  2. 개요 를 선택한 다음 배포를 선택합니다.

  3. 패키지 이름을 사용하여 배포를 선택합니다.

  4. 완료 통계 및 콘텐츠 상태 아래의 상태 표시기를 검토합니다.

    실패한 배포( 오류, 요구 사항이 충족되지 않음 또는 실패 상태 인 디바이스)가 있는 경우 디바이스 문제를 해결해야 할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 온보딩 문제 해결을 참조하세요.

    오류 없이 성공적인 배포를 보여 주는 Configuration Manager

디바이스가 엔드포인트용 Microsoft Defender 서비스를 준수하는지 확인합니다.

System Center 2012 R2 Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 배포를 모니터링할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 모니터링 하는 수정되지 않는 규정 준수 규칙 구성 항목이어야 합니다.

다음 레지스트리 키 항목을 모니터링합니다.

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

자세한 내용은 System Center 2012 R2 Configuration Manager 규정 준수 설정 소개를 참조하세요.