악용에서 장치 보호
적용 대상:
악용 방지 기능은 운영 체제 프로세스 및 앱에 다양한 악용 완화 기술을 자동으로 적용합니다. 악용 방지 기능은 Windows 10 버전 1709, Windows 11 및 Windows Server 버전 1803부터 지원됩니다.
악용 방지는 Defender for Endpoint에서 가장 잘 작동합니다. 이 기능은 일반적인 경고 조사 시나리오의 일부로 악용 방지 이벤트 및 차단에 대한 자세한 보고를 제공합니다.
개별 디바이스에서 악용 방지를 사용하도록 설정한 다음 그룹 정책을 사용하여 XML 파일을 한 번에 여러 디바이스에 배포할 수 있습니다.
디바이스에서 완화가 발견되면 알림 센터에서 알림이 표시됩니다. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다. 규칙을 개별적으로 사용하도록 설정하여 기능에서 모니터링하는 기술을 사용자 지정할 수도 있습니다.
감사 모드를 사용하여 악용 방지를 사용하도록 설정된 경우 조직에 미치는 영향을 평가할 수도 있습니다.
EMET(강화된 완화 환경 도구 키트)의 많은 기능이 악용 방지에 포함되어 있습니다. 실제로 기존 EMET 구성 프로필을 악용 방지로 변환하고 가져올 수 있습니다. 자세한 내용은 악용 보호 구성 가져오기, 내보내기 및 배포하기를 참조하세요.
중요
현재 EMET를 사용 중인 경우 EMET가 2018년 7월 31일에 지원이 종료되었음을 알고 있어야 합니다. Windows 10 EMET를 악용 방지로 바꾸는 것이 좋습니다.
경고
일부 보안 완화 기술에는 일부 애플리케이션과의 호환성 문제가 있을 수 있습니다. 프로덕션 환경 또는 네트워크의 나머지 부분에 구성을 배포하기 전에 감사 모드를 사용하여 모든 대상 사용 시나리오에서 악용 방지 기능을 테스트해야 합니다.
Microsoft Defender 포털에서 악용 방지 이벤트 검토
엔드포인트용 Defender는 경고 조사 시나리오의 일부로 이벤트 및 블록에 대한 자세한 보고를 제공합니다.
고급 헌팅을 사용하여 엔드포인트용 Defender 데이터를 쿼리할 수 있습니다. 감사 모드를 사용하는 경우 고급 헌팅을 사용하여 악용 방지 설정이 환경에 미치는 영향을 확인할 수 있습니다.
다음은 쿼리의 예입니다.
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Windows 이벤트 뷰어 악용 방지 이벤트 검토
Windows 이벤트 로그를 검토하여 악용 방지가 앱을 차단(또는 감사)할 때 생성되는 이벤트를 확인할 수 있습니다.
| 공급자/원본 | 이벤트 ID | 설명 |
|---|---|---|
| 보안 완화 | 1 | ACG 감사 |
| 보안 완화 | 2 | ACG 적용 |
| 보안 완화 | 3 | 자식 프로세스 감사 허용 안 함 |
| 보안 완화 | 4 | 자식 프로세스 블록 허용 안 함 |
| 보안 완화 | 5 | 낮은 무결성 이미지 감사 차단 |
| 보안 완화 | 6 | 낮은 무결성 이미지 블록 차단 |
| 보안 완화 | 7 | 원격 이미지 감사 차단 |
| 보안 완화 | 8 | 원격 이미지 블록 차단 |
| 보안 완화 | 9 | win32k 시스템 호출 감사 사용 안 함 |
| 보안 완화 | 10 | Win32k 시스템 호출 블록 사용 안 함 |
| 보안 완화 | 11 | 코드 무결성 가드 감사 |
| 보안 완화 | 12 | 코드 무결성 가드 블록 |
| 보안 완화 | 13 | EAF 감사 |
| 보안 완화 | 14 | EAF 적용 |
| 보안 완화 | 15 | EAF+ 감사 |
| 보안 완화 | 16 | EAF+ 적용 |
| 보안 완화 | 17 | IAF 감사 |
| 보안 완화 | 18 | IAF 적용 |
| 보안 완화 | 19 | ROP StackPivot 감사 |
| 보안 완화 | 20 | ROP StackPivot 적용 |
| 보안 완화 | 21 | ROP CallerCheck 감사 |
| 보안 완화 | 22 | ROP CallerCheck 적용 |
| 보안 완화 | 23 | ROP SimExec 감사 |
| 보안 완화 | 24 | ROP SimExec 적용 |
| WER-진단 | 5 | CFG 블록 |
| Win32K | 260 | 신뢰할 수 없는 글꼴 |
완화 비교
EMET에서 사용할 수 있는 완화 기능은 기본적으로 Windows 10(버전 1709부터), Windows 11 및 Windows Server(버전 1803부터)의 악용 방지에 포함되어 있습니다.
이 섹션의 표는 EMET와 악용 방지 간의 기본 완화 기능의 가용성과 지원을 나타냅니다.
| 완화 | 악용 방지에서 사용 가능 | EMET에서 사용 가능 |
|---|---|---|
| 임의 코드 가드(ACG) | 예 | 예 "메모리 보호 검사"로 |
| 원격 이미지 차단 | 예 | 예 "라이브러리 검사 로드"로 |
| 신뢰할 수 없는 글꼴 차단 | 예 | 예 |
| 데이터 실행 방지(DEP) | 예 | 예 |
| 주소 필터링 내보내기(EAF) | 예 | 예 |
| 이미지에 대한 강제 임의 지정(필수 ASLR) | 예 | 예 |
| NullPage 보안 완화 | 예 Windows 10 및 Windows 11에 기본적으로 포함 자세한 내용은 Windows 10 보안 기능을 사용하여 위협 완화를 참조하세요. |
예 |
| 메모리 할당 임의 지정(상향식 ASLR) | 예 | 예 |
| 실행 시뮬레이션(SimExec) | 예 | 예 |
| API 호출 확인(CallerCheck) | 예 | 예 |
| 예외 체인 확인(SEHOP) | 예 | 예 |
| 스택 무결성 확인(StackPivot) | 예 | 예 |
| 인증서 신뢰(구성 가능한 인증서 고정) | Windows 10 및 Windows 11은 엔터프라이즈 인증서 고정을 제공합니다. | 예 |
| 힙 분무 할당 | 최신 브라우저 기반 악용에 대해 비효율적입니다. 최신 완화 기능은 더 나은 보호를 제공합니다. 자세한 내용은 Windows 10 보안 기능을 사용하여 위협 완화를 참조하세요. |
예 |
| 낮은 무결성 이미지 차단 | 예 | 아니요 |
| 코드 무결성 가드 | 예 | 아니요 |
| 확장 지점 사용 안 함 | 예 | 아니요 |
| Win32k 시스템 호출 사용 안 함 | 예 | 아니요 |
| 자식 프로세스 허용 안 함 | 예 | 아니요 |
| 주소 필터링 가져오기(IAF) | 예 | 아니요 |
| 핸들 사용 확인 | 예 | 아니요 |
| 힙 무결성 확인 | 예 | 아니요 |
| 이미지 종속성 무결성 확인 | 예 | 아니오 |
참고
EMET에서 사용할 수 있는 고급 ROP 완화는 Windows 10 및 Windows 11의 ACG로 대체되며, 프로세스에 대한 ROP 방지 완화를 활성화하는 과정에서 다른 EMET 고급 설정이 기본적으로 활성화됩니다. Windows 10 기존 EMET 기술을 사용하는 방법에 대한 자세한 내용은 Windows 10 보안 기능을 사용하여 완화 위협을 참조하세요.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기