Exploit Protection 계산
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
Exploit Protection은 다른 디바이스에서 확산 및 감염시키는 데 익스플로잇을 사용하는 맬웨어로부터 디바이스를 보호합니다. 운영 체제 또는 개별 앱에 완화를 적용할 수 있습니다. EMET(강화된 완화 환경 도구 키트)에 있던 다양한 기능들이 Exploit Protection에 포함되어 있습니다. (EMET는 지원이 종료되었습니다.)
감사에서 테스트 환경의 특정 앱에 대한 완화가 작동하는 방식을 확인할 수 있습니다. 여기서는 프로덕션 환경에서 Exploit Protection을 사용하도록 설정했다면 있었을 상황을 보여줍니다. 이를 통해 Exploit Protection이 LOB(기간 업무) 앱에 부정적인 영향을 주지 않음을 확인하고 어떤 의심스러운 이벤트나 악의적인 이벤트가 발생하는지 볼 수 있습니다.
테스트에 Exploit Protection 사용
Windows 보안 앱 또는 Windows PowerShell을 사용하여 특정 프로그램에 대한 테스트 모드에서 완화를 설정할 수 있습니다.
Windows 보안 앱
Windows 보안 앱을 엽니다. 작업 표시줄에서 방패 아이콘을 선택하거나 시작 메뉴에서 Windows 보안을 검색합니다.
앱 및 브라우저 컨트롤 타일(또는 왼쪽 메뉴 모음의 앱 아이콘)을 선택한 후 Exploit Protection을 선택합니다.
프로그램 설정으로 이동하여 보호를 적용할 앱을 선택합니다.
- 구성하려는 앱이 이미 나열된 경우 해당 앱을 선택한 다음 편집을 선택합니다.
- 앱이 목록 맨 위에 나열되지 않은 경우 사용자 지정할 프로그램 추가를 선택합니다. 그런 다음 앱을 추가할 방법을 선택합니다.
- 프로그램 이름으로 추가를 사용해 해당 이름으로 실행 중인 모든 프로세스에 완화를 적용합니다. 확장명으로 파일을 지정합니다. 완화를 해당 위치에서 해당 이름의 앱으로만 제한하는 전체 경로를 입력할 수 있습니다.
- 정확한 파일 경로 선택을 사용하여 표준 Windows 탐색기 파일 선택 창에서 원하는 파일을 찾아 선택합니다.
앱을 선택하면 적용할 수 있는 모든 완화 기능 목록이 표시됩니다. 감사를 선택하면 테스트 모드에서만 완화가 적용됩니다. 프로세스, 앱 또는 Windows를 다시 시작해야 하는 경우 알림을 받게 됩니다.
구성하려는 모든 앱 및 완화에 대해 이 절차를 반복합니다. 구성 설정이 완료되면 적용을 선택합니다.
PowerShell
앱 수준 완화를 테스트 모드로 설정하려면 감사 모드 cmdlet과 함께 를 사용합니다Set-ProcessMitigation.
각 완화를 다음 형식으로 구성합니다.
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
여기서,
- <범위>:
- 완화를 특정 앱에 적용해야 함을 표시하는
-Name. 이 플래그 뒤에 앱의 실행 파일을 지정합니다.
- 완화를 특정 앱에 적용해야 함을 표시하는
- <작업>:
- 완화를 사용하도록 설정하는
-Enable- 완화를 사용하지 않도록 설정하는
-Disable
- 완화를 사용하지 않도록 설정하는
- 완화를 사용하도록 설정하는
- <완화>:
- 다음 표에 정의된 완화 cmdlet. 각 완화는 쉼표로 구분됩니다.
| 완화 | 테스트 모드 cmdlet |
|---|---|
| ACG(임의 코드 가드) | AuditDynamicCode |
| 낮은 무결성 이미지 차단 | AuditImageLoad |
| 신뢰할 수 없는 글꼴 차단 | AuditFont, FontAuditOnly |
| 코드 무결성 가드 | AuditMicrosoftSigned, AuditStoreSigned |
| Win32k 시스템 호출 사용 안 함 | AuditSystemCall |
| 자식 프로세스 허용 안 함 | AuditChildProcess |
예를 들어 testing.exe이라는 앱 에 대해 테스트 모드에서 ACG(임의 Code Guard)를 사용하도록 설정하려면 다음 명령을 실행합니다.
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
-Enable을 -Disable로 대체하여 감사 모드를 사용하지 않도록 설정할 수 있습니다.
Exploit Protection 감사 이벤트 검토
차단된 앱을 검토하려면 이벤트 뷰어를 열고 보안 완화 로그에서 다음 이벤트를 필터링합니다.
| 기능 | 공급자/원본 | 이벤트 ID | 설명 |
|---|---|---|---|
| 악용 방지 | 보안 완화(커널 모드/사용자 모드) | 1 | ACG 감사 |
| 악용 방지 | 보안 완화(커널 모드/사용자 모드) | 3 | 자식 프로세스 감사 허용 안 함 |
| 악용 방지 | 보안 완화(커널 모드/사용자 모드) | 5 | 낮은 무결성 이미지 감사 차단 |
| 악용 방지 | 보안 완화(커널 모드/사용자 모드) | 7 | 원격 이미지 감사 차단 |
| 악용 방지 | 보안 완화(커널 모드/사용자 모드) | 9 | win32k 시스템 호출 감사 사용 안 함 |
| 악용 방지 | 보안 완화(커널 모드/사용자 모드) | 11 | 코드 무결성 가드 감사 |
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기