디바이스 프록시 및 인터넷 연결 설정 구성
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
중요
IPv6 전용 트래픽에 대해 구성된 디바이스는 지원되지 않습니다.
엔드포인트용 Defender 센서를 사용하려면 Microsoft Windows HTTP(WinHTTP)가 센서 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신해야 합니다. 포함된 엔드포인트용 Defender 센서는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다.
팁
앞으로 프록시를 인터넷의 게이트웨이로 사용하는 조직의 경우 네트워크 보호를 사용하여 전방 프록시 뒤에서 발생하는 연결 이벤트를 조사할 수 있습니다.
WinHTTP 구성 설정은 Windows 인터넷(WinINet) 검색 프록시 설정과 독립적입니다( WinINet 및 WinHTTP 참조). 다음 검색 방법을 사용하여 프록시 서버를 검색할 수 있습니다.
자동 검색 방법:
투명한 프록시
WPAD(웹 프록시 자동 검색) 프로토콜
참고
네트워크 토폴로지에서 투명한 프록시 또는 WPAD를 사용하는 경우 특별한 구성 설정이 필요하지 않습니다. 프록시의 엔드포인트용 Defender URL 제외에 대한 자세한 내용은 프록시 서버에서 엔드포인트용 Defender 서비스 URL에 대한 액세스 사용을 참조하세요.
수동 정적 프록시 구성:
레지스트리 기반 구성
netsh 명령을 사용하여 구성된 WinHTTP: 안정적인 토폴로지의 데스크톱에만 적합합니다(예: 동일한 프록시 뒤에 있는 회사 네트워크의 데스크톱).
참고
Defender 바이러스 백신 및 EDR 프록시를 독립적으로 설정할 수 있습니다. 다음 섹션에서는 이러한 차이점을 알고 있어야 합니다.
레지스트리 기반 정적 프록시를 사용하여 프록시 서버를 수동으로 구성합니다.
컴퓨터가 인터넷에 연결할 수 없는 경우 진단 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신하도록 EDR(엔드포인트 검색 및 응답용 Defender) 센서에 대한 레지스트리 기반 정적 프록시를 구성합니다.
참고
Windows 10 또는 Windows 11 또는 Windows Server 2019 또는 Windows Server 2022에서 이 옵션을 사용하는 경우 다음(이상) 빌드 및 누적 업데이트 롤업을 수행하는 것이 좋습니다.
- Windows 11
- Windows 10, 버전 1809 또는 Windows Server 2019 또는 Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, 버전 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, 버전 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, 버전 20H2 -https://support.microsoft.com/kb/4601382
이러한 업데이트는 CnC(명령 및 제어) 채널의 연결성과 안정성을 향상시킵니다.
정적 프록시는 GP(그룹 정책)를 통해 구성할 수 있습니다. 그룹 정책 값의 두 설정은 모두 EDR을 사용하기 위해 프록시 서버에 구성되어야 합니다. 그룹 정책은 관리 템플릿에서 사용할 수 있습니다.
관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 서비스에 대한 인증된 프록시 사용 구성
사용하도록 설정하고 인증된 프록시 사용 안 함을 선택합니다.
관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 구성:
프록시를 구성합니다.
그룹 정책 | 레지스트리 키 | 레지스트리 항목 | 값 |
---|---|---|---|
연결된 사용자 환경 및 원격 분석 서비스에 대해 인증된 프록시 사용량 구성 | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1(REG_DWORD) |
연결된 사용자 환경 및 원격 분석 구성 | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port 예: 10.0.0.6:8080 (REG_SZ) |
참고
완전히 오프라인 상태인 디바이스에서 'TelemetryProxyServer' 설정을 사용하는 경우 운영 체제가 온라인 인증서 해지 목록 또는 Windows 업데이트 연결할 수 없음을 의미하며, 값1
이 인 추가 레지스트리 설정을 PreferStaticProxyForHttpRequest
추가해야 합니다.
"PreferStaticProxyForHttpRequest"의 부모 레지스트리 경로 위치는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"입니다.
다음 명령을 사용하여 레지스트리 값을 올바른 위치에 삽입할 수 있습니다.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
위의 레지스트리 값은 MsSense.exe 버전 10.8210.* 이상 또는 버전 10.8049.* 이상부터만 적용됩니다.
Microsoft Defender 바이러스 백신에 대한 정적 프록시 구성
Microsoft Defender 바이러스 백신 클라우드 제공 보호는 새로운 위협과 새로운 위협에 대해 거의 즉각적이고 자동화된 보호를 제공합니다. Defender 바이러스 백신이 활성 맬웨어 방지 솔루션인 경우 사용자 지정 지표 에 연결이 필요합니다. 블록 모드의 EDR의 경우 타사 솔루션을 사용할 때 기본 맬웨어 방지 솔루션이 있습니다.
관리 템플릿에서 사용할 수 있는 그룹 정책 사용하여 정적 프록시를 구성합니다.
관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 서버를 정의합니다.
사용하도록 설정하고 프록시 서버를 정의합니다. URL에는 http:// 또는 https:// 있어야 합니다. https:// 지원되는 버전은 Microsoft Defender 바이러스 백신 업데이트 관리를 참조하세요.
레지스트리 키
HKLM\Software\Policies\Microsoft\Windows Defender
아래에서 정책은 레지스트리 값을ProxyServer
REG_SZ 설정합니다.레지스트리 값
ProxyServer
은 다음 문자열 형식을 사용합니다.<server name or ip>:<port> For example: http://10.0.0.6:8080
참고
완전히 오프라인 상태인 디바이스에서 정적 프록시 설정을 사용하는 경우 운영 체제가 온라인 인증서 해지 목록 또는 Windows 업데이트 연결할 수 없음을 의미하며, dword 값이 0인 추가 레지스트리 설정 SSLOptions를 추가해야 합니다. "SSLOptions"의 부모 레지스트리 경로 위치는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"입니다.
복원력 목적과 클라우드 제공 보호의 실시간 특성을 위해 Microsoft Defender 바이러스 백신은 마지막으로 알려진 작업 프록시를 캐시합니다. 프록시 솔루션이 SSL 검사를 수행하지 않는지 확인합니다. 이렇게 하면 보안 클라우드 연결이 끊어질 수 있습니다.
Microsoft Defender 바이러스 백신은 정적 프록시를 사용하여 업데이트를 다운로드하기 위해 Windows 업데이트 또는 Microsoft 업데이트에 연결하지 않습니다. 대신 Windows 업데이트 사용하도록 구성된 경우 시스템 차원의 프록시를 사용하거나 구성된 대체 순서에 따라 구성된 내부 업데이트 원본을 사용합니다.
필요한 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 자동 구성 정의(.pac)를 사용할 수 있습니다. 여러 프록시를 사용하여 고급 구성을 설정해야 하는 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 > 백신 주소 정의를 사용하여 프록시 서버를 우회하고 Microsoft Defender 바이러스 백신이 해당 대상에 프록시 서버를 사용하지 못하도록 방지합니다.
cmdlet과 함께 PowerShell을
Set-MpPreference
사용하여 다음 옵션을 구성할 수 있습니다.
- ProxyBypass
- ProxyPacUrl
- ProxyServer
참고
프록시를 올바르게 사용하려면 다음 세 가지 프록시 설정을 구성합니다.
- MDE(엔드포인트용 Microsoft Defender)
- AV(바이러스 백신)
- EDR(엔드포인트 검색 및 응답)
netsh 명령을 사용하여 수동으로 프록시 서버 구성
netsh를 사용하여 시스템 전체의 정적 프록시를 구성합니다.
참고
- 이는 Windows 서비스를 포함하여 기본 프록시로 WinHTTP를 사용하는 모든 응용 프로그램에 영향을 미칩니다.
승격된 명령줄을 열기:
- 시작 (으)로 이동하고 cmd를 입력하십시오.
- 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.
다음 명령을 입력하고 Enter를 누릅니다.
netsh winhttp set proxy <proxy>:<port>
예:
netsh winhttp set proxy 10.0.0.6:8080
winhttp 프록시를 재설정하려면 다음 명령을 입력하고 Enter를 누릅니다.
netsh winhttp reset proxy
자세한 내용은 Netsh 명령 구문, 컨텍스트 및 포맷을 참조하십시오.
프록시 서버에서 엔드포인트용 Microsoft Defender 서비스 URL에 대한 액세스 사용
기본적으로 프록시 또는 방화벽이 모든 트래픽을 차단하고 특정 도메인만 허용하는 경우 다운로드 가능한 시트에 나열된 도메인을 허용된 도메인 목록에 추가합니다.
다음 다운로드 가능한 스프레드시트에는 네트워크에서 연결할 수 있어야 하는 서비스 및 관련 URL이 나열되어 있습니다. 이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인합니다. 선택 사항으로, 특별히 허용 규칙을 만들어야 할 수 있습니다.
도메인 목록의 스프레드시트 | 설명 |
---|---|
상용 고객에 대한 URL 목록 엔드포인트용 Microsoft Defender | 상용 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다. 엔드포인트용 Microsoft Defender 계획 1 및 계획 2는 동일한 프록시 서비스 URL을 공유합니다. |
Gov/GCC/DoD에 대한 URL 목록 엔드포인트용 Microsoft Defender | Gov/GCC/DoD 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다. |
프록시 또는 방화벽에 HTTPS 검색(SSL 검사)이 활성화된 경우 위의 표에 나열된 도메인을 HTTPS 검색에서 제외합니다.
방화벽에서 geography 열이 WW인 모든 URL을 엽니다. geography 열이 WW가 아닌 행의 경우 특정 데이터 위치에 대한 URL을 엽니다. 데이터 위치 설정을 확인하려면 데이터 스토리지 위치 확인 및 엔드포인트용 Microsoft Defender 대한 데이터 보존 설정 업데이트를 참조하세요. 모든 종류의 네트워크 검사에서 URL *.blob.core.windows.net
을 제외하지 마세요.
참고
버전 1803 이하에서 실행되는 Windows 디바이스에는 가 필요합니다 settings-win.data.microsoft.com
.
v20을 포함하는 URL은 버전 1803 이상을 실행하는 Windows 디바이스가 있는 경우에만 필요합니다. 예를 들어 us-v20.events.data.microsoft.com
버전 1803 이상을 실행하고 미국 Data Storage 지역에 온보딩하는 Windows 디바이스에 필요합니다.
프록시 또는 방화벽이 엔드포인트용 Defender 센서에서 익명 트래픽을 차단하고 시스템 컨텍스트에서 연결하는 경우 이전에 나열된 URL에 대해 프록시 또는 방화벽에서 익명 트래픽이 허용되는지 확인하는 것이 중요합니다.
참고
Microsoft는 프록시 서버를 제공하지 않습니다. 이러한 URL은 구성하는 프록시 서버를 통해 액세스할 수 있습니다.
MMA(Microsoft Monitoring Agent) - 이전 버전의 Windows 클라이언트 또는 Windows Server에 대한 프록시 및 방화벽 요구 사항
프록시 및 방화벽 구성 정보 목록의 정보는 Windows 7 SP1, Windows 8.1 및 Windows Server 2008 R2*와 같은 이전 버전의 Windows용 Log Analytics 에이전트(Microsoft Monitoring Agent라고도 함)와 통신하는 데 필요합니다.
에이전트 리소스 | 포트 | 방향 | HTTP 검사 바이패스 |
---|---|---|---|
*.ods.opinsights.azure.com | 포트 443 | 아웃바운드 | 예 |
*.oms.opinsights.azure.com | 포트 443 | 아웃바운드 | 예 |
*.blob.core.windows.net | 포트 443 | 아웃바운드 | 예 |
*.azure-automation.net | 포트 443 | 아웃바운드 | 예 |
참고
*이러한 연결 요구 사항은 이전 Windows Server 2016 엔드포인트용 Microsoft Defender MMA가 필요한 Windows Server 2012 R2에 적용됩니다. 이러한 운영 체제를 새 통합 솔루션으로 온보딩하는 지침은 Windows 서버 온보딩 또는 엔드포인트용 Microsoft Defender 서버 마이그레이션 시나리오에서 새 통합 솔루션으로 마이그레이션하는 것입니다.
참고
클라우드 기반 솔루션으로 IP 범위가 변경 될 수 있습니다. DNS 확인 설정으로 이동하는 것이 좋습니다.
MMA(Microsoft Monitoring Agent) 서비스 URL 요구 사항 확인
이전 버전의 Windows에 MMA(Microsoft Monitoring Agent)를 사용할 때 특정 환경에 대한 와일드카드(*) 요구 사항을 제거하려면 다음 지침을 참조하세요.
MMA(Microsoft Monitoring Agent)를 사용하여 이전 운영 체제를 엔드포인트용 Defender에 온보딩합니다(자세한 내용은 엔드포인트용 Defender의 이전 버전의 Windows 온보딩 및 Windows 서버 온보딩 참조).
컴퓨터가 Microsoft 365 Defender 포털에 성공적으로 보고되었는지 확인합니다.
"C:\Program Files\Microsoft Monitoring Agent\Agent"에서 TestCloudConnection.exe 도구를 실행하여 연결의 유효성을 검사하고 특정 작업 영역에 필요한 URL을 가져옵니다.
엔드포인트용 Microsoft Defender URL 목록에서 해당 지역의 전체 요구 사항 목록을 확인합니다(서비스 URL 스프레드시트 참조).
*.ods.opinsights.azure.com, *.oms.opinsights.azure.com 및 *.agentsvc.azure-automation.net URL 엔드포인트에 사용되는 와일드카드(*)를 특정 작업 영역 ID로 바꿀 수 있습니다. 작업 영역 ID는 사용자 환경 및 작업 영역에만 적용됩니다. Microsoft 365 Defender 포털 내 테넌트 온보딩 섹션에서 찾을 수 있습니다.
*.blob.core.windows.net URL 엔드포인트를 테스트 결과의 "방화벽 규칙: *.blob.core.windows.net" 섹션에 표시된 URL로 바꿀 수 있습니다.
참고
클라우드용 Microsoft Defender 통해 온보딩하는 경우 여러 작업 영역을 사용할 수 있습니다. 각 작업 영역에서 온보딩된 컴퓨터에서 TestCloudConnection.exe 절차를 수행해야 합니다(작업 영역 간에 *.blob.core.windows.net URL이 변경되었는지 확인하려면).
엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결 확인
프록시 구성이 성공적으로 완료되었는지 확인합니다. 그런 다음 WinHTTP는 사용자 환경의 프록시 서버를 통해 검색하고 통신할 수 있으며 프록시 서버는 엔드포인트용 Defender 서비스 URL에 대한 트래픽을 허용합니다.
엔드포인트용 Defender 센서가 실행 중인 PC에 엔드포인트용 Microsoft Defender Client Analyzer 도구를 다운로드합니다. 하위 서버의 경우 최신 미리 보기 버전을 사용하여 클라이언트 분석기 도구 베타 엔드포인트용 Microsoft Defender 다운로드할 수 있습니다.
디바이스에서 MDEClientAnalyzer.zip 콘텐츠를 추출합니다.
승격된 명령줄을 열기:
- 시작 (으)로 이동하고 cmd를 입력하십시오.
- 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.
다음 명령을 입력하고 Enter를 누릅니다.
HardDrivePath\MDEClientAnalyzer.cmd
HardDrivePath를 MDEClientAnalyzer 도구가 다운로드된 경로로 바꿉다. 예를 들면
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
이 도구는 HardDrivePath에서 사용할 폴더의MDEClientAnalyzerResult.zip 파일을 만들고 추출합니다.
MDEClientAnalyzerResult.txt 열고 서버 검색 및 서비스 URL에 대한 액세스를 사용하도록 설정하는 프록시 구성 단계를 수행했는지 확인합니다.
이 도구는 엔드포인트용 Defender 서비스 URL의 연결을 확인합니다. 엔드포인트용 Defender 클라이언트가 상호 작용하도록 구성되어 있는지 확인합니다. 이 도구는 엔드포인트용 Defender 서비스와 통신하는 데 사용할 수 있는 각 URL에 대한 MDEClientAnalyzerResult.txt 파일에 결과를 출력합니다. 예를 들면
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
연결 옵션 중 하나가 (200) 상태 반환하는 경우 엔드포인트용 Defender 클라이언트는 이 연결 방법을 사용하여 테스트된 URL과 제대로 통신할 수 있습니다.
그러나 연결 검사 결과가 오류를 나타내는 경우 HTTP 오류가 표시됩니다(HTTP 상태 코드 참조). 그런 다음 프록시 서버에서 엔드포인트용 Defender 서비스 URL에 대한 액세스 사용에서 표시된 테이블의 URL을 사용할 수 있습니다. 사용할 수 있는 URL은 온보딩 절차 중에 선택한 지역에 따라 달라집니다.
참고
연결 분석기 도구의 클라우드 연결 검사는 PSExec 및 WMI 명령에서 시작된 공격 표면 감소 규칙 블록 프로세스 생성과 호환되지 않습니다. 연결 도구를 실행하려면 이 규칙을 일시적으로 사용하지 않도록 설정해야 합니다. 또는 분석기를 실행할 때 ASR 제외를 일시적으로 추가할 수 있습니다.
TelemetryProxyServer가 레지스트리 또는 그룹 정책 통해 설정되면 엔드포인트용 Defender가 대체되고 정의된 프록시에 액세스하지 못합니다.