Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외 구성

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

일반적으로 Microsoft Defender 바이러스 백신에 대한 제외를 정의할 필요가 없습니다. 그러나 필요한 경우 Microsoft Defender 바이러스 백신 검사에서 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다. 이러한 유형의 제외를 사용자 지정 제외라고 합니다. 이 문서에서는 Microsoft Intune 사용하여 Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외를 정의하는 방법을 설명하고 자세한 내용은 다른 리소스에 대한 링크를 포함합니다.

사용자 지정 제외는 예약된 검사, 주문형 검사 및 항상 실시간 보호 및 모니터링에 적용됩니다. 프로세스에서 연 파일에 대한 제외는 실시간 보호에만 적용됩니다.

팁

Microsoft Defender 바이러스 백신 및 엔드포인트용 Defender의 억제, 제출 및 제외에 대한 자세한 개요는 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외를 참조하세요.

제외 구성 및 유효성 검사

주의

Microsoft Defender 바이러스 백신 확장을 아끼지 않고 사용합니다. 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외 관리의 정보를 검토해야 합니다.

Microsoft Intune 사용하여 Microsoft Defender 바이러스 백신 또는 엔드포인트용 Microsoft Defender 관리하는 경우 다음 절차를 사용하여 제외를 정의합니다.

• Intune 바이러스 백신 제외 관리(기존 정책의 경우)
• Intune 제외를 사용하여 새 바이러스 백신 정책 Create

Configuration Manager 또는 그룹 정책 같은 다른 도구를 사용하거나 사용자 지정 제외에 대한 자세한 정보를 원하는 경우 다음 문서를 참조하세요.

• 파일 확장명과 폴더 위치에 따라 제외 구성 및 유효성 검사
• 프로세스에서 연 파일에 대한 제외 구성

Intune 바이러스 백신 제외 관리(기존 정책의 경우)

1. Microsoft Intune 관리 센터에서엔드포인트 보안>바이러스 백신을 선택한 다음, 기존 정책을 선택합니다. (기존 정책이 없거나 새 정책을 만들려는 경우 Intune 제외가 있는 새 바이러스 백신 정책을 Create 건너뜁니다.)

2. 속성을 선택하고 구성 설정 옆에 있는 편집을 선택합니다.

3. 바이러스 백신 제외 Microsoft Defender 확장한 다음 제외를 지정합니다.

   • 제외된 확장명은 파일 형식 확장명에서 정의하는 제외입니다. 이러한 확장명은 파일 경로 또는 폴더가 없는 정의된 확장명을 포함하는 모든 파일 이름에 적용됩니다. 목록의 각 파일 형식을 문자로 | 구분해야 합니다. 예를 들면 lib|obj와 같습니다. 자세한 내용은 ExcludedExtensions를 참조하세요.
   • 제외된 경로는 해당 위치(경로)로 정의하는 제외입니다. 이러한 유형의 제외를 파일 및 폴더 제외라고도 합니다. 목록의 각 경로를 문자로 | 구분합니다. 예를 들면 C:\Example|C:\Example1와 같습니다. 자세한 내용은 ExcludedPaths를 참조하세요.
   • 제외된 프로세스 는 특정 프로세스에서 연 파일에 대한 제외입니다. 목록의 각 파일 형식을 문자로 | 구분합니다. 예를 들면 C:\Example. exe|C:\Example1.exe와 같습니다. 이러한 제외는 실제 프로세스에 대한 것이 아닙니다. 프로세스를 제외하려면 파일 및 폴더 제외를 사용할 수 있습니다. 자세한 내용은 ExcludedProcesses를 참조하세요.

4. 검토 + 저장을 선택한 다음 저장을 선택합니다.

Intune 제외를 사용하여 새 바이러스 백신 정책 Create

1. Microsoft Intune 관리 센터에서엔드포인트 보안>바이러스 백신>+ Create 정책을 선택합니다.

2. 플랫폼(예: Windows 10, Windows 11 및 Windows Server)을 선택합니다.

3. 프로필에서 Microsoft Defender 바이러스 백신 제외를 선택한 다음, Create 선택합니다.

4. Create 프로필 단계에서 프로필의 이름과 설명을 지정한 다음, 다음을 선택합니다.

5. 구성 설정 탭에서 바이러스 백신 제외를 지정한 다음, 다음을 선택합니다.

   • 제외된 확장명은 파일 형식 확장명에서 정의하는 제외입니다. 이러한 확장명은 파일 경로 또는 폴더가 없는 정의된 확장명을 포함하는 모든 파일 이름에 적용됩니다. 목록의 각 파일 형식을 문자로 | 구분합니다. 예를 들면 lib|obj와 같습니다. 자세한 내용은 ExcludedExtensions를 참조하세요.
   • 제외된 경로는 해당 위치(경로)로 정의하는 제외입니다. 이러한 유형의 제외를 파일 및 폴더 제외라고도 합니다. 목록의 각 경로를 문자로 | 구분합니다. 예를 들면 C:\Example|C:\Example1와 같습니다. 자세한 내용은 ExcludedPaths를 참조하세요.
   • 제외된 프로세스 는 특정 프로세스에서 연 파일에 대한 제외입니다. 목록의 각 파일 형식을 문자로 | 구분합니다. 예를 들면 C:\Example. exe|C:\Example1.exe와 같습니다. 이러한 제외는 실제 프로세스에 대한 것이 아닙니다. 프로세스를 제외하려면 파일 및 폴더 제외를 사용할 수 있습니다. 자세한 내용은 ExcludedProcesses를 참조하세요.

6. 범위 태그 탭에서 organization scope 태그를 사용하는 경우 만들 정책에 대한 scope 태그를 지정합니다. ( 범위 태그를 참조하세요.)

7. 할당 탭에서 정책을 적용할 사용자 및 그룹을 지정한 다음, 다음을 선택합니다. (할당에 대한 도움이 필요한 경우 Microsoft Intune 사용자 및 디바이스 프로필 할당을 참조하세요.)

8. 검토 + 만들기 탭에서 설정을 검토한 다음, Create 선택합니다.

제외에 대한 중요 사항

제외를 정의하면 Microsoft Defender 바이러스 백신에서 제공하는 보호가 줄어듭니다. 항상 제외 구현과 관련된 위험을 평가해야 하며 악의적이지 않다고 확신하는 파일만 제외해야 합니다.

제외는 Microsoft Defender 바이러스 백신이 제외 목록에 추가된 파일, 폴더 또는 프로세스와 관련된 이벤트를 차단, 수정 또는 검사하는 기능에 직접적인 영향을 줍니다. 사용자 지정 제외는 바이러스 백신 엔진에 직접 의존하는 기능(예: 맬웨어, 파일 IOC 및 인증서 IOC에 대한 보호)에 영향을 줄 수 있습니다. 프로세스 제외는 네트워크 보호 및 공격 표면 감소 규칙에도 영향을 줍니다. 특히 모든 플랫폼에서 프로세스를 제외하면 네트워크 보호 및 ASR이 트래픽을 검사하거나 특정 프로세스에 대한 규칙을 적용할 수 없습니다.

제외를 정의할 때 다음 사항에 유의하세요.

• 제외는 기술적으로 보호 격차입니다. 제외를 정의할 때 모든 옵션을 고려합니다. 제출, 표시 안 함 및 제외를 참조하세요.

• 정기적으로 제외를 검토합니다. 검토 프로세스의 일부로 완화를 다시 검사하고 다시 적용합니다.

• 이상적으로는 사전 대응을 위해 제외를 정의하지 않는 것이 좋습니다. 예를 들어 나중에 문제가 될 수 있다고 생각하므로 제외하지 마세요. 제외가 완화할 수 있는 성능 또는 애플리케이션 호환성과 관련된 특정 문제에 대해서만 제외를 사용합니다.

• 제외 목록에 대한 변경 내용을 검토하고 감사합니다. 보안 팀은 나중에 혼동을 피하기 위해 특정 제외가 추가된 이유에 대한 컨텍스트를 유지해야 합니다. 보안 팀은 제외가 존재하는 이유에 대한 질문에 대한 구체적인 답변을 제공할 수 있어야 합니다.

Exchange 시스템에서 바이러스 백신 제외 감사

Microsoft Exchange는 Exchange용 2021년 6월 분기별 업데이트(Exchange 서버에서 Windows 바이러스 백신 소프트웨어 실행 참조)부터 AMSI(맬웨어 방지 검색 인터페이스)와의 통합을 지원해 줍니다. 이러한 업데이트를 설치하고 AMSI가 제대로 작동하는지 확인하는 것이 좋습니다. 바이러스 백신 보안 인텔리전스 및 제품 업데이트 Microsoft Defender 참조하세요.

많은 조직에서 성능상의 이유로 바이러스 백신 검사에서 Exchange 디렉터리를 제외합니다. Microsoft는 Exchange 시스템에서 Microsoft Defender 바이러스 백신 제외를 감사하고 환경의 성능에 영향을 주지 않고 제외를 제거할 수 있는지 여부를 평가하여 최고 수준의 보호를 보장하는 것이 좋습니다. 제외는 그룹 정책, PowerShell 또는 Microsoft Intune 같은 시스템 관리 도구를 사용하여 관리할 수 있습니다.

Exchange Server Microsoft Defender 바이러스 백신 제외를 감사하려면 관리자 권한 PowerShell 프롬프트에서 Get-MpPreference 명령을 실행합니다. ( Get-MpPreference를 참조하세요.)

Exchange 프로세스 및 폴더에 대한 제외를 제거할 수 없는 경우 Microsoft Defender 바이러스 백신에서 빠른 검사를 실행하면 제외에 관계없이 Exchange 디렉터리와 파일을 검색합니다.

참고 항목

• Windows Server 2016 이상에서 바이러스 백신 제외 Microsoft Defender
• 제외 정의 시 피해야 하는 일반적인 실수
• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외
• Linux에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사
• macOS에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.