Windows Server에서 바이러스 백신 제외 Microsoft Defender

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

이 문서에서는 Microsoft Defender 바이러스 백신에 대해 정의할 필요가 없는 제외 유형에 대해 설명합니다.

• 모든 버전의 Windows에서 운영 체제 파일에 대한 기본 제공 제외입니다.
• Windows Server 2016 이상에서 역할에 대한 자동 제외입니다.

제외에 대한 자세한 개요는 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외 관리를 참조하세요.

Windows Server의 제외에 대한 몇 가지 중요한 사항

• 사용자 지정 제외는 자동 제외보다 우선합니다.
• 자동 제외는 RTP(실시간 보호) 검사에만 적용됩니다.
• 빠른 검사, 전체 검사 및 사용자 지정 검사 중에는 자동 제외가 적용되지 않습니다.
• 사용자 지정 및 중복 제외는 자동 제외와 충돌하지 않습니다.
• Microsoft Defender 바이러스 백신은 DISM(배포 이미지 서비스 및 관리) 도구를 사용하여 컴퓨터에 설치된 역할을 결정합니다.
• 운영 체제에 포함되지 않은 소프트웨어에 대해 적절한 제외를 설정해야 합니다.
• Windows Server 2012 R2에는 설치 가능한 기능으로 Microsoft Defender 바이러스 백신이 없습니다. 이러한 서버를 엔드포인트용 Defender에 온보딩하면 Microsoft Defender 바이러스 백신을 설치하고 운영 체제 파일에 대한 기본 제외가 적용됩니다. 그러나 아래 지정된 대로 서버 역할에 대한 제외는 자동으로 적용되지 않으며 이러한 제외를 적절하게 구성해야 합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 서비스에 Windows 서버 온보딩을 참조하세요.
• 기본 제공 제외 및 자동 서버 역할 제외는 Windows 보안 앱에 표시된 표준 제외 목록에 표시되지 않습니다.
• 위협 환경이 변경됨에 따라 Windows의 기본 제공 제외 목록은 최신 상태로 유지됩니다. 이 문서에서는 기본 제공 및 자동 제외의 일부만 나열합니다.

자동 서버 역할 제외

Windows Server 2016 이상에서는 서버 역할에 대한 제외를 정의할 필요가 없습니다. Windows Server 2016 이상에 역할을 설치하는 경우 Microsoft Defender 바이러스 백신에는 서버 역할에 대한 자동 제외 및 역할을 설치하는 동안 추가된 모든 파일이 포함됩니다.

Windows Server 2012 R2는 자동 제외 기능을 지원하지 않습니다. 운영 체제를 설치한 후 추가된 모든 서버 역할 및 소프트웨어에 대한 명시적 제외를 정의해야 합니다.

중요

• 기본 위치는 이 문서에 설명된 위치와 다를 수 있습니다.
• Windows 기능 또는 서버 역할로 포함되지 않은 소프트웨어에 대한 제외를 설정하려면 소프트웨어 제조업체의 설명서를 참조하세요.

자동 제외는 다음과 같습니다.

• Hyper-V 제외
• SYSVOL 파일
• Active Directory 제외
• DHCP 서버 제외
• DNS 서버 제외
• 파일 및 스토리지 서비스 제외
• 인쇄 서버 제외
• 웹 서버 제외
• Windows Server Update Services 제외

Hyper-V 제외

다음 표에서는 Hyper-V 역할을 설치할 때 자동으로 제공되는 파일 형식 제외, 폴더 제외 및 프로세스 제외를 나열합니다.

제외 유형	구체적인
파일 형식	*.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs
폴더	%ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks
프로세스	%systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe

SYSVOL 파일

• %systemroot%\Sysvol\Domain\*.adm
• %systemroot%\Sysvol\Domain\*.admx
• %systemroot%\Sysvol\Domain\*.adml
• %systemroot%\Sysvol\Domain\Registry.pol
• %systemroot%\Sysvol\Domain\*.aas
• %systemroot%\Sysvol\Domain\*.inf
• %systemroot%\Sysvol\Domain\*Scripts.ini
• %systemroot%\Sysvol\Domain\*.ins
• %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory 제외

이 섹션에서는 AD DS(Active Directory Domain Services)를 설치할 때 자동으로 제공되는 제외 사항을 나열합니다.

NTDS 데이터베이스 파일

데이터베이스 파일은 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

• %windir%\Ntds\ntds.dit
• %windir%\Ntds\ntds.pat

AD DS 트랜잭션 로그 파일

트랜잭션 로그 파일은 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

• %windir%\Ntds\EDB*.log
• %windir%\Ntds\Res*.log
• %windir%\Ntds\Edb*.jrs
• %windir%\Ntds\Ntds*.pat
• %windir%\Ntds\TEMP.edb

NTDS 작업 폴더

이 폴더는 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

• %windir%\Ntds\Temp.edb
• %windir%\Ntds\Edb.chk

AD DS 및 AD DS 관련 지원 파일에 대한 프로세스 제외

• %systemroot%\System32\ntfrs.exe
• %systemroot%\System32\lsass.exe

DHCP 서버 제외

이 섹션에서는 DHCP 서버 역할을 설치할 때 자동으로 제공되는 제외 사항을 나열합니다. DHCP 서버 파일 위치는 레지스트리 키의 DatabasePath, DhcpLogFilePath 및 BackupDatabasePath 매개 변수에 의해 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

• %systemroot%\System32\DHCP\*\*.mdb
• %systemroot%\System32\DHCP\*\*.pat
• %systemroot%\System32\DHCP\*\*.log
• %systemroot%\System32\DHCP\*\*.chk
• %systemroot%\System32\DHCP\*\*.edb

DNS 서버 제외

이 섹션에서는 DNS 서버 역할을 설치할 때 자동으로 전달되는 파일 및 폴더 제외 및 프로세스 제외를 나열합니다.

DNS 서버 역할에 대한 파일 및 폴더 제외

• %systemroot%\System32\Dns\*\*.log
• %systemroot%\System32\Dns\*\*.dns
• %systemroot%\System32\Dns\*\*.scc
• %systemroot%\System32\Dns\*\BOOT

DNS 서버 역할에 대한 프로세스 제외

• %systemroot%\System32\dns.exe

파일 및 스토리지 서비스 제외

이 섹션에서는 파일 및 스토리지 서비스 역할을 설치할 때 자동으로 배달되는 파일 및 폴더 제외를 나열합니다. 아래에 나열된 제외에는 클러스터링 역할에 대한 제외가 포함되지 않습니다.

• %SystemDrive%\ClusterStorage
• %clusterserviceaccount%\Local Settings\Temp
• %SystemDrive%\mscs

인쇄 서버 제외

이 섹션에서는 인쇄 서버 역할을 설치할 때 자동으로 전달되는 파일 형식 제외, 폴더 제외 및 프로세스 제외를 나열합니다.

파일 형식 제외

• *.shd
• *.spl

폴더 제외

이 폴더는 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

• %system32%\spool\printers\*

인쇄 서버 역할에 대한 프로세스 제외

• spoolsv.exe

웹 서버 제외

이 섹션에서는 웹 서버 역할을 설치할 때 자동으로 제공되는 폴더 제외 및 프로세스 제외를 나열합니다.

폴더 제외

• %SystemRoot%\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
• %SystemDrive%\inetpub\temp\ASP Compiled Templates
• %systemDrive%\inetpub\logs
• %systemDrive%\inetpub\wwwroot

웹 서버 역할에 대한 프로세스 제외

• %SystemRoot%\system32\inetsrv\w3wp.exe
• %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
• %SystemDrive%\PHP5433\php-cgi.exe

Sysvol\Sysvol 폴더 또는 SYSVOL_DFSR\Sysvol 폴더의 파일 검색 끄기

또는 SYSVOL_DFSR\Sysvol 폴더 및 모든 하위 폴더의 Sysvol\Sysvol 현재 위치는 복제본(replica) 집합 루트의 파일 시스템 재분석 대상입니다. 및 SYSVOL_DFSR\Sysvol 폴더는 Sysvol\Sysvol 기본적으로 다음 위치를 사용합니다.

• %systemroot%\Sysvol\Domain
• %systemroot%\Sysvol_DFSR\Domain

현재 활성 SYSVOL 상태인 경로는 NETLOGON 공유에서 참조되며 다음 하위 키의 SysVol 값 이름으로 확인할 수 있습니다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

이 폴더 및 모든 하위 폴더에서 다음 파일을 제외합니다.

• *.adm
• *.admx
• *.adml
• Registry.pol
• Registry.tmp
• *.aas
• *.inf
• Scripts.ini
• *.ins
• Oscfilter.ini

Windows Server Update Services 제외

이 섹션에서는 WSUS(Windows Server Update Services) 역할을 설치할 때 자동으로 전달되는 폴더 제외를 나열합니다. WSUS 폴더는 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

• %systemroot%\WSUS\WSUSContent
• %systemroot%\WSUS\UpdateServicesDBFiles
• %systemroot%\SoftwareDistribution\Datastore
• %systemroot%\SoftwareDistribution\Download

기본 제공 제외

Microsoft Defender 바이러스 백신은 Windows에 기본 제공되므로 모든 버전의 Windows에서 운영 체제 파일에 대한 제외가 필요하지 않습니다.

기본 제공 제외는 다음과 같습니다.

• Windows "temp.edb" 파일
• 파일 또는 자동 업데이트 파일 Windows 업데이트
• 파일 Windows 보안
• 파일 그룹 정책
• WINS 파일
• FRS(파일 복제 서비스) 제외
• 기본 제공 운영 체제 파일에 대한 프로세스 제외

위협 환경이 변경됨에 따라 Windows의 기본 제공 제외 목록은 최신 상태로 유지됩니다.

Windows "temp.edb" 파일

• %windir%\SoftwareDistribution\Datastore\*\tmp.edb
• %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

파일 또는 자동 업데이트 파일 Windows 업데이트

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %windir%\SoftwareDistribution\Datastore\*\edb.chk
• %windir%\SoftwareDistribution\Datastore\*\edb\*.log
• %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
• %windir%\SoftwareDistribution\Datastore\*\Res\*.log

파일 Windows 보안

• %windir%\Security\database\*.chk
• %windir%\Security\database\*.edb
• %windir%\Security\database\*.jrs
• %windir%\Security\database\*.log
• %windir%\Security\database\*.sdb

파일 그룹 정책

• %allusersprofile%\NTUser.pol
• %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS 파일

• %systemroot%\System32\Wins\*\*.chk
• %systemroot%\System32\Wins\*\*.log
• %systemroot%\System32\Wins\*\*.mdb
• %systemroot%\System32\LogFiles\
• %systemroot%\SysWow64\LogFiles\

FRS(파일 복제 서비스) 제외

• FRS(파일 복제 서비스) 작업 폴더의 파일입니다. FRS 작업 폴더가 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

  • %windir%\Ntfrs\jet\sys\*\edb.chk
  • %windir%\Ntfrs\jet\*\Ntfrs.jdb
  • %windir%\Ntfrs\jet\log\*\*.log

• FRS 데이터베이스 로그 파일. FRS 데이터베이스 로그 파일 폴더가 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

  • %windir%\Ntfrs\*\Edb\*.log

• FRS 준비 폴더입니다. 준비 폴더는 레지스트리 키에 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  • %systemroot%\Sysvol\*\Ntfrs_cmp*\

• FRS 사전 설치 폴더입니다. 이 폴더는 폴더에 의해 지정됩니다. Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

• DFSR(분산 파일 시스템 복제) 데이터베이스 및 작업 폴더입니다. 이러한 폴더는 레지스트리 키로 지정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

  참고

  사용자 지정 위치는 자동 제외 옵트아웃을 참조하세요.

  • %systemdrive%\System Volume Information\DFSR\$db_normal$
  • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
  • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
  • %systemdrive%\System Volume Information\DFSR\*.XML
  • %systemdrive%\System Volume Information\DFSR\$db_dirty$
  • %systemdrive%\System Volume Information\DFSR\$db_clean$
  • %systemdrive%\System Volume Information\DFSR\$db_lostl$
  • %systemdrive%\System Volume Information\DFSR\Dfsr.db
  • %systemdrive%\System Volume Information\DFSR\*.frx
  • %systemdrive%\System Volume Information\DFSR\*.log
  • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
  • %systemdrive%\System Volume Information\DFSR\Tmp.edb

기본 제공 운영 체제 파일에 대한 프로세스 제외

• %systemroot%\System32\dfsr.exe
• %systemroot%\System32\dfsrs.exe

자동 제외 옵트아웃

Windows Server 2016 이상에서는 보안 인텔리전스 업데이트에서 제공하는 미리 정의된 제외는 역할 또는 기능에 대한 기본 경로만 제외합니다. 사용자 지정 경로에 역할 또는 기능을 설치했거나 제외 집합을 수동으로 제어하려는 경우 보안 인텔리전스 업데이트에 제공되는 자동 제외를 옵트아웃해야 합니다. 그러나 자동으로 제공되는 제외는 Windows Server 2016 이상에 최적화되어 있습니다. 제외 목록을 정의하기 전에 제외에 대한 중요 사항을 참조하세요.

경고

자동 제외를 옵트아웃하면 성능에 부정적인 영향을 미치거나 데이터 손상이 발생할 수 있습니다. 자동 서버 역할 제외는 Windows Server 2016, Windows Server 2019 및 Windows Server 2022에 최적화되어 있습니다.

미리 정의된 제외는 기본 경로만 제외하므로 NTDS 및 SYSVOL 폴더를 원래 경로와 다른 다른 드라이브 또는 경로로 이동하는 경우 제외를 수동으로 추가해야 합니다. 폴더 이름 또는 파일 확장명을 기반으로 제외 목록 구성을 참조하세요.

그룹 정책, PowerShell cmdlet 및 WMI를 사용하여 자동 제외 목록을 사용하지 않도록 설정할 수 있습니다.

그룹 정책 사용하여 Windows Server 2016, Windows Server 2019 및 Windows Server 2022에서 자동 제외 목록을 사용하지 않도록 설정합니다.

1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

2. 그룹 정책 관리 편집기컴퓨터 구성으로 이동한 다음 관리 템플릿을 선택합니다.

3. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>제외로 확장합니다.

4. 자동 제외 해제를 두 번 클릭하고 옵션을 사용으로 설정합니다. 그런 다음 확인을 선택합니다.

PowerShell cmdlet을 사용하여 Windows Server에서 자동 제외 목록 사용 안 함

다음 cmdlet을 사용합니다.

Set-MpPreference -DisableAutoExclusions $true

자세한 내용은 다음 리소스를 참조하세요.

• PowerShell cmdlet을 사용하여 Microsoft Defender 바이러스 백신을 구성하고 실행합니다.
• Microsoft Defender 바이러스 백신과 함께 PowerShell을 사용합니다.

WMI(Windows Management Instruction)를 사용하여 Windows Server에서 자동 제외 목록을 사용하지 않도록 설정

다음 속성에 대해 MSFT_MpPreference 클래스의 Set 메서드를 사용합니다.

DisableAutoExclusions

자세한 내용 및 허용되는 매개 변수는 다음을 참조하세요.

• WMIv2 API Windows Defender

사용자 지정 제외 정의

필요한 경우 사용자 지정 제외를 추가하거나 제거할 수 있습니다. 이렇게 하려면 다음 문서를 참조하세요.

• Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외 구성
• 파일 이름, 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사
• 프로세스에서 연 파일에 대한 제외 구성 및 유효성 검사

참고 항목

• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외
• 제외 정의 시 피해야 하는 일반적인 실수
• Microsoft Defender 바이러스 백신 검사 및 수정 결과 사용자 지정, 시작 및 검토
• 엔드포인트용 Microsoft Defender(Mac용)
• Microsoft Defender for Endpoint(Linux용)
• 엔드포인트용 Microsoft Defender(Android용) 기능 구성
• 엔드포인트용 Microsoft Defender(iOS용) 기능 구성

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.