제어된 폴더 액세스 사용자 지정

  • 아티클

적용 대상:

플랫폼

  • Windows

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. 제어된 폴더 액세스는 Windows Server 2019, Windows Server 2022, Windows 10 및 Windows 11 클라이언트에서 지원됩니다. 이 문서에서는 제어된 폴더 액세스 기능을 사용자 지정하는 방법을 설명하고 다음 섹션을 포함합니다.

중요

제어된 폴더 액세스는 악성으로 검색된 활동에 대한 앱을 모니터링합니다. 경우에 따라 합법적인 앱이 파일을 변경하지 못하도록 차단됩니다. 제어된 폴더 액세스가 organization 생산성에 영향을 미치는 경우 감사 모드에서 이 기능을 실행하여 영향을 완전히 평가하는 것이 좋습니다.

추가 폴더 보호

제어된 폴더 액세스는 문서, 사진, 영화 등의 폴더를 포함하여 많은 시스템 폴더 및 기본 위치에 적용됩니다. 보호할 다른 폴더를 추가할 수 있지만 기본 목록에서 기본 폴더를 제거할 수는 없습니다.

다른 폴더를 제어된 폴더 액세스에 추가하면 기본 Windows 라이브러리에 파일을 저장하지 않거나 라이브러리의 기본 위치를 변경한 경우에 유용할 수 있습니다.

네트워크 공유 및 매핑된 드라이브를 지정할 수도 있습니다. 환경 변수가 지원됩니다. 그러나 와일드카드는 그렇지 않습니다.

Windows 보안 앱, 그룹 정책, PowerShell cmdlet 또는 모바일 디바이스 관리 구성 서비스 공급자를 사용하여 보호된 폴더를 추가하고 제거할 수 있습니다.

Windows 보안 앱을 사용하여 추가 폴더 보호

  1. 작업 표시줄에서 방패 아이콘을 선택하거나 시작 메뉴에서 보안을 검색하여 Windows 보안 앱을 엽니다.

  2. 바이러스 & 위협 방지를 선택한 다음 랜섬웨어 보호 섹션까지 아래로 스크롤합니다.

  3. 랜섬웨어 보호 관리를 선택하여 랜섬웨어 보호 창을 엽니다.

  4. 제어된 폴더 액세스 섹션에서 보호된 폴더를 선택합니다.

  5. 사용자 Access Control 프롬프트에서 예를 선택합니다. 보호된 폴더 창이 표시됩니다.

  6. 보호된 폴더 추가를 선택하고 프롬프트에 따라 폴더를 추가합니다.

그룹 정책 사용하여 추가 폴더 보호

  1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다.

  2. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  3. 그룹 정책 관리 편집기컴퓨터 구성>정책>관리 템플릿으로 이동합니다.

  4. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>Windows Defender Exploit Guard>제어 폴더 액세스로 확장합니다.
    참고: 이전 버전의 Windows에서는 Microsoft Defender 바이러스 백신 대신 Windows Defender 바이러스 백신이 표시될 수 있습니다.

  5. 구성된 보호된 폴더를 두 번 클릭한 다음 옵션을 사용으로 설정합니다. 표시를 선택하고 보호할 각 폴더를 지정합니다.

  6. 일반적으로 그룹 정책 개체를 배포합니다.

PowerShell을 사용하여 추가 폴더 보호

  1. 시작 메뉴에서 PowerShell을 입력하고 Windows PowerShell 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.

  2. 다음 PowerShell cmdlet을 입력하고 을 폴더의 경로(예: )로 "c:\apps\"<the folder to be protected> 꿉 있습니다.

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"

  3. 보호하려는 각 폴더에 대해 2단계를 반복합니다. 보호되는 폴더는 Windows 보안 앱에 표시됩니다.

    cmdlet이 표시된 PowerShell 창

중요

를 사용하여 Add-MpPreference 가 아닌 Set-MpPreference목록에 앱을 추가하거나 추가합니다. cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

MDM CSP를 사용하여 추가 폴더 보호

앱이 보호된 폴더를 변경할 수 있도록 ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList CSP(구성 서비스 공급자)를 사용합니다.

특정 앱이 제어된 폴더를 변경할 수 있도록 허용

특정 앱이 항상 안전한 것으로 간주되는지 지정하고 보호된 폴더의 파일에 대한 쓰기 액세스 권한을 부여할 수 있습니다. 사용자가 알고 신뢰하는 특정 앱이 제어된 폴더 액세스 기능에 의해 차단되는 경우 앱 허용이 유용할 수 있습니다.

중요

기본적으로 Windows는 허용된 목록에 친숙한 것으로 간주되는 앱을 추가합니다. 자동으로 추가되는 이러한 앱은 Windows 보안 앱에 표시된 목록에 기록되거나 연결된 PowerShell cmdlet을 사용하여 기록되지 않습니다. 대부분의 앱을 추가할 필요가 없습니다. 앱이 차단되고 있고 앱의 신뢰성을 확인할 수 있는 경우에만 앱을 추가합니다.

앱을 추가할 때 앱의 위치를 지정해야 합니다. 해당 위치의 앱만 보호된 폴더에 액세스할 수 있습니다. 이름이 같은 앱이 다른 위치에 있는 경우 허용 목록에 추가되지 않으며 제어된 폴더 액세스로 인해 차단될 수 있습니다.

허용되는 애플리케이션 또는 서비스는 시작된 후에만 제어된 폴더에 대한 쓰기 권한이 있습니다. 예를 들어 업데이트 서비스는 중지되고 다시 시작될 때까지 허용된 후에도 이벤트를 계속 트리거합니다.

Windows Defender 보안 앱을 사용하여 특정 앱 허용

  1. 보안의 시작 메뉴를 검색하여 Windows 보안 앱을 엽니다.

  2. 바이러스 & 위협 방지 타일(또는 왼쪽 메뉴 모음의 방패 아이콘)을 선택한 다음 랜섬웨어 보호 관리를 선택합니다.

  3. 제어된 폴더 액세스 섹션에서 제어된 폴더 액세스를 통해 앱 허용을 선택합니다.

  4. 허용된 앱 추가를 선택하고 프롬프트에 따라 앱을 추가합니다.

    허용되는 앱 추가 단추

그룹 정책 사용하여 특정 앱 허용

  1. 그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

  2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

  3. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>Windows Defender Exploit Guard>제어 폴더 액세스로 확장합니다.

  4. 허용되는 애플리케이션 구성 설정을 두 번 클릭한 다음 옵션을 사용으로 설정합니다. 표시를 선택합니다.

  5. 값 이름에 실행 파일에 전체 경로를 추가합니다. 값을0설정합니다. 예를 들어 명령 프롬프트를 허용하려면 값 이름을C:\Windows\System32\cmd.exe설정합니다. 값을0설정해야 합니다.

PowerShell을 사용하여 특정 앱 허용

  1. 시작 메뉴에 PowerShell을 입력하고 Windows PowerShell 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

  2. 다음 cmdlet을 입력합니다.

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"

    예를 들어 C:\apps 폴더에 있는 실행 파일 test.exe 추가하려면 cmdlet은 다음과 같습니다.

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

    계속 사용하여 Add-MpPreference -ControlledFolderAccessAllowedApplications 목록에 앱을 더 추가합니다. 이 cmdlet을 사용하여 추가된 앱은 Windows 보안 앱에 표시됩니다.

    애플리케이션을 허용하는 PowerShell cmdlet

중요

를 사용하여 Add-MpPreference 목록에 앱을 추가하거나 추가합니다. cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

MDM CSP를 사용하여 특정 앱 허용

./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.

서명된 실행 파일에서 보호된 폴더에 액세스하도록 허용

엔드포인트용 Microsoft Defender 인증서 및 파일 표시기를 사용하면 서명된 실행 파일이 보호된 폴더에 액세스할 수 있습니다. 구현 세부 정보는 인증서 기반 Create 표시기를 참조하세요.

참고

Powershell을 비롯한 스크립팅 엔진에는 적용되지 않습니다.

알림 사용자 지정

규칙이 트리거되고 앱 또는 파일을 차단할 때 알림을 사용자 지정하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 경고 알림 구성을 참조하세요.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.