다음을 통해 공유


엔드포인트용 Microsoft Defender 디바이스 제어

적용 대상:

엔드포인트용 Microsoft Defender 디바이스 제어 기능을 통해 보안 팀은 사용자가 이동식 스토리지(USB 썸 드라이브, CD, 디스크 등), 프린터, Bluetooth 디바이스 또는 컴퓨터가 있는 기타 디바이스와 같은 주변 장치를 설치하고 사용할 수 있는지 여부를 제어할 수 있습니다. 보안 팀은 다음과 같은 규칙을 구성하도록 디바이스 제어 정책을 구성할 수 있습니다.

  • 사용자가 특정 디바이스(예: USB 드라이브)를 설치하고 사용하지 못하도록 방지
  • 사용자가 특정 예외가 있는 외부 디바이스 를 설치하고 사용하지 못하도록 방지
  • 사용자가 특정 디바이스를 설치하고 사용할 수 있도록 허용
  • 사용자가 Windows 컴퓨터에서 BitLocker로 암호화된 디바이스만 설치하고 사용할 수 있도록 허용

이 목록은 몇 가지 예제를 제공하기 위한 것입니다. 전체 목록이 아닙니다. 고려해야 할 다른 예가 있습니다.

디바이스 제어는 특정 디바이스가 사용자의 컴퓨터에 연결되도록 허용하거나 방지하여 잠재적인 데이터 손실, 맬웨어 또는 기타 사이버 위협으로부터 organization 보호하는 데 도움이 됩니다. 디바이스 제어를 통해 보안 팀은 사용자가 컴퓨터에 설치하고 사용할 수 있는 주변 장치 여부와 주변 장치를 결정할 수 있습니다.

이 문서의 동반자로서 모범 사례를 검토하고 공격 표면 감소 및 차세대 보호와 같은 필수 도구에 대해 알아보려면 엔드포인트용 Microsoft Defender 설정 가이드를 참조하세요. 사용자 환경에 기반한 사용자 지정 환경의 경우 Microsoft 365 관리 센터 엔드포인트용 Defender 자동화 설치 가이드에 액세스할 수 있습니다.

Microsoft 디바이스 제어 기능

Microsoft의 디바이스 제어 기능은 Windows의 디바이스 제어, 엔드포인트용 Defender의 디바이스 제어 및 엔드포인트 DLP(엔드포인트 데이터 손실 방지)의 세 가지 기본 범주로 구성할 수 있습니다.

  • Windows의 디바이스 컨트롤입니다. Windows 운영 체제에는 기본 제공 디바이스 제어 기능이 있습니다. 보안 팀은 사용자가 컴퓨터에 특정 디바이스를 설치하지 못하도록(또는 허용) 디바이스 설치 설정을 구성할 수 있습니다. 정책은 디바이스 수준에서 적용되며 다양한 디바이스 속성을 사용하여 사용자가 디바이스를 설치/사용할 수 있는지 여부를 결정합니다.

    Windows의 디바이스 컨트롤은 BitLocker 및 ADMX 템플릿에서 작동하며 Intune 사용하여 관리할 수 있습니다.

    BitLocker. BitLocker 는 전체 볼륨에 대한 암호화를 제공하는 Windows 보안 기능입니다. 이동식 미디어에 쓰는 데 BitLocker 암호화가 필요할 수 있습니다. Intune 함께 Windows용 BitLocker를 사용하여 디바이스에서 암호화를 적용하도록 정책을 구성할 수 있습니다. 자세한 내용은 Intune 엔드포인트 보안에 대한 디스크 암호화 정책 설정을 참조하세요.

    디바이스 설치. Windows는 특정 유형의 USB 디바이스 설치를 방지하는 기능을 제공합니다.

    Intune 사용하여 디바이스 설치를 구성하는 방법에 대한 자세한 내용은 Intune ADMX 템플릿을 사용하여 USB 디바이스 제한 및 특정 USB 디바이스 허용을 참조하세요.

    그룹 정책 사용하여 디바이스 설치를 구성하는 방법에 대한 자세한 내용은 그룹 정책 사용하여 디바이스 설치 관리를 참조하세요.

  • 엔드포인트용 Defender의 디바이스 제어. 엔드포인트용 Defender의 디바이스 제어는 고급 기능을 제공하며 플랫폼 간입니다.

    • 세부적인 액세스 제어 - 디바이스, 디바이스 유형, 작업(읽기, 쓰기, 실행), 사용자 그룹, 네트워크 위치 또는 파일 형식별로 액세스를 제어하는 정책을 만듭니다.
    • 보고 및 고급 헌팅 - 디바이스 관련 활동 추가에 대한 완전한 가시성.
    • Microsoft Defender 디바이스 제어는 Intune 또는 그룹 정책 사용하여 관리할 수 있습니다.
  • Microsoft Defender 및 Intune 디바이스 제어 Intune 조직에 대한 복잡한 디바이스 제어 정책을 관리하기 위한 풍부한 환경을 제공합니다. 예를 들어 엔드포인트용 Defender에서 디바이스 제한 설정을 구성하고 배포할 수 있습니다. Microsoft Intune 사용하여 디바이스 제어 배포 및 관리를 참조하세요.

  • 엔드포인트 데이터 손실 방지 (엔드포인트 DLP). 엔드포인트 DLP는 Microsoft Purview 솔루션에 온보딩된 디바이스에서 중요한 정보를 모니터링합니다. DLP 정책은 중요한 정보와 저장 또는 사용되는 위치에 대한 보호 조치를 적용할 수 있습니다. 엔드포인트 DLP는 파일 증거를 캡처할 수 있습니다. 엔드포인트 DLP에 대해 알아봅니다.

일반적인 디바이스 제어 시나리오

다음 섹션에서는 시나리오를 검토한 다음 사용할 Microsoft 기능을 식별합니다.

USB 디바이스에 대한 액세스 제어

디바이스 설치 제한, 이동식 미디어 디바이스 제어 또는 엔드포인트 DLP를 사용하여 USB 디바이스에 대한 액세스를 제어할 수 있습니다.

디바이스 설치 제한 구성

Windows에서 사용할 수 있는 디바이스 설치 제한은 디바이스 ID, 디바이스 instance ID 또는 설정 클래스에 따라 드라이버 설치를 허용하거나 거부합니다. 이렇게 하면 모든 이동 식 디바이스를 포함하여 디바이스 관리자의 모든 디바이스를 차단할 수 있습니다. 디바이스 설치 제한이 적용되면 다음 스크린샷과 같이 디바이스 관리자에서 디바이스가 차단됩니다.

차단된 디바이스가 강조 표시된 디바이스 관리자를 보여 주는 스크린샷

디바이스를 클릭하여 자세한 내용을 확인할 수 있습니다.

디바이스 설치 세부 정보입니다.

고급 헌팅에도 레코드가 있습니다. 이 쿼리를 보려면 다음 쿼리를 사용합니다.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

DeviceEvents 쿼리를 보여 주는 스크린샷

디바이스 설치 제한이 구성되고 디바이스가 설치되면 ActionType 이 인 PnPDeviceAllowed 이벤트가 만들어집니다.

자세히 알아보기::

디바이스 제어를 사용하여 이동식 미디어에 대한 액세스 제어

엔드포인트용 Defender에 대한 디바이스 제어는 USB 디바이스의 하위 집합에 대한 세분화된 액세스 제어를 제공합니다. 디바이스 제어는 Windows Portal 디바이스, 이동식 미디어, CD/DVD 및 프린터에 대한 액세스만 제한할 수 있습니다.

참고

Windows에서는 이동식 미디어 디바이스 라는 용어가 USB 디바이스를 의미하지는 않습니다. 모든 USB 디바이스가 이동식 미디어 디바이스인 것은 아닙니다. 이동식 미디어 디바이스로 간주되므로 MDE 디바이스 컨트롤의 scope 디바이스는 Windows에서 디스크(예: E: )를 만들어야 합니다. 디바이스 제어는 정책을 정의하여 해당 디바이스의 디바이스 및 파일에 대한 액세스를 제한할 수 있습니다.

중요

일부 디바이스는 Windows 디바이스 관리자에서 여러 항목을 만듭니다(예: 이동식 미디어 디바이스 및 Windows 휴대용 디바이스). 디바이스가 제대로 작동하려면 물리적 디바이스와 연결된 모든 항목 에 대한 액세스 권한을 부여해야 합니다. 정책이 감사 항목으로 구성된 경우 이벤트가 의 를 사용하여 고급 헌팅 ActionTypeRemovableStoragePolicyTriggered에 표시됩니다.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

이 쿼리는 다음 스크린샷과 같이 정책 이름, 요청된 액세스 및 평결(허용, 거부)을 반환합니다.

디바이스 컨트롤 쿼리를 보여 주는 스크린샷

macOS에서 엔드포인트용 Microsoft Defender 디바이스 제어는 iOS 디바이스, 카메라와 같은 휴대용 디바이스 및 USB 디바이스와 같은 이동식 미디어에 대한 액세스를 제어할 수 있습니다. macOS용 디바이스 제어를 참조하세요.

엔드포인트 DLP를 사용하여 USB로 파일 복사 방지

파일 민감도에 따라 파일을 USB로 복사하지 않도록 하려면 엔드포인트 DLP를 사용합니다.

BitLocker 암호화된 이동식 미디어에 대한 액세스 제어(미리 보기)

BitLocker를 사용하여 이동식 미디어에 대한 액세스를 제어하거나 디바이스가 암호화되었는지 확인합니다.

BitLocker를 사용하여 이동식 미디어에 대한 액세스 거부

Windows는 디바이스가 BitLocker 암호화되지 않는 한 모든 이동식 미디어에 대한 쓰기를 거부하거나 쓰기 액세스를 거부하는 기능을 제공합니다. 자세한 내용은 BitLocker 구성 - Windows 보안.

BitLocker에 대한 디바이스 제어 정책 구성(미리 보기)

엔드포인트용 Microsoft Defender 디바이스 제어는 BitLocker 암호화 상태(암호화 또는 일반)를 기반으로 디바이스에 대한 액세스를 제어합니다. 이렇게 하면 BitLocker가 아닌 암호화된 디바이스에 대한 액세스를 허용하고 감사하기 위해 예외를 만들 수 있습니다.

Mac을 사용하는 경우 디바이스 제어는 APFS 암호화 상태에 따라 이동식 미디어에 대한 액세스를 제어할 수 있습니다. macOS용 디바이스 제어를 참조하세요.

프린터에 대한 액세스 제어

프린터 설치 제한, 인쇄를 위한 디바이스 제어 정책 또는 엔드포인트 DLP를 사용하여 프린터에 대한 액세스를 제어할 수 있습니다.

프린터 설치 제한 설정

Windows의 디바이스 설치 제한은 프린터에 적용할 수 있습니다.

인쇄를 위한 디바이스 제어 정책 구성

엔드포인트용 Microsoft Defender 디바이스 컨트롤은 프린터의 속성(VID/PID), 프린터 유형(네트워크, USB, 회사 등)에 따라 프린터에 대한 액세스를 제어합니다.

디바이스 컨트롤은 인쇄되는 파일 형식을 제한할 수도 있습니다. 디바이스 제어는 회사 이외의 환경에서 인쇄를 제한할 수도 있습니다.

엔드포인트 DLP를 사용하여 분류된 문서 인쇄 방지

정보 분류에 따라 문서 인쇄를 차단하려면 엔드포인트 DLP를 사용합니다.

엔드포인트 DLP를 사용하여 인쇄된 파일의 파일 증거 캡처

인쇄되는 파일의 증거를 캡처하려면 엔드포인트 DLP를 사용합니다.

Bluetooth 디바이스에 대한 액세스 제어

디바이스 컨트롤을 사용하여 Windows 디바이스 또는 엔드포인트 DLP를 사용하여 Bluetooth 서비스에 대한 액세스를 제어할 수 있습니다.

Mac을 사용하는 경우 디바이스 제어가 Bluetooth에 대한 액세스를 제어할 수 있습니다. macOS용 디바이스 제어를 참조하세요.

Windows에서 Bluetooth 서비스에 대한 액세스 제어

관리자는 허용되는 Bluetooth 서비스뿐만 아니라 Bluetooth 서비스의 동작(광고, 검색, 준비 및 프롬프트 허용)을 제어할 수 있습니다. 자세한 내용은 Windows Bluetooth를 참조하세요.

엔드포인트 DLP를 사용하여 디바이스에 문서 복사 방지

중요한 문서를 Bluetooth 디바이스로 복사하는 것을 차단하려면 엔드포인트 DLP를 사용합니다.

엔드포인트 DLP를 사용하여 USB에 복사된 파일의 파일 증거 캡처

USB에 복사되는 파일의 증거를 캡처하려면 엔드포인트 DLP를 사용합니다.

디바이스 제어 정책 샘플 및 시나리오

엔드포인트용 Defender의 디바이스 제어는 보안 팀에 광범위한 시나리오를 가능하게 하는 강력한 액세스 제어 모델을 제공합니다( 디바이스 제어 정책 참조). 탐색할 수 있는 샘플과 시나리오가 포함된 GitHub 리포지토리를 구성했습니다. 다음 리소스를 참조하십시오.

디바이스 컨트롤을 새롭게 사용하는 경우 디바이스 제어 연습을 참조하세요.

디바이스 제어를 위한 필수 구성 요소

엔드포인트용 Defender의 디바이스 제어는 맬웨어 방지 클라이언트 버전 4.18.2103.3 이상이 있는 Windows 10 또는 Windows 11 실행하는 디바이스에 적용할 수 있습니다. (현재 서버는 지원되지 않습니다.)

  • 4.18.2104이상: , , VID_PID파일 경로 기반 GPO 지원 및 을 ComputerSid추가SerialNumberId합니다.
  • 4.18.2105 이상: 에 대한 HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId와일드카드 지원을 추가합니다. 특정 컴퓨터의 특정 사용자 조합, 이동식 SSD(SanDisk Extreme SSD)/USB 연결 SCSI(UAS) 지원.
  • 4.18.2107 이상: Windows 이식 장치(WPD) 지원 추가(태블릿과 같은 모바일 디바이스의 경우); 고급 헌팅에 추가 AccountName 합니다.
  • 4.18.2205 이상: 기본 적용을 프린터로 확장합니다. 거부로 설정하면 프린터도 차단되므로 스토리지만 관리하려는 경우 프린터를 허용하는 사용자 지정 정책을 만들어야 합니다.
  • 4.18.2207 이상: 파일 지원 추가; 일반적인 사용 사례는 "이동식 스토리지에서 읽기/쓰기/실행 액세스 특정 파일에서 사용자를 차단"할 수 있습니다. 네트워크 및 VPN 연결 지원 추가; 일반적인 사용 사례는 "컴퓨터가 회사 네트워크에 연결되지 않을 때 사용자가 이동식 스토리지에 액세스하지 못하도록 차단"할 수 있습니다.

Mac의 경우 macOS용 디바이스 제어를 참조하세요.

현재 디바이스 제어는 서버에서 지원되지 않습니다.

다음 단계