악용 보호 구성 가져오기, 내보내기 및 배포하기

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Exploit Protection은 익스플로잇을 사용하여 확산 및 감염시키는 맬웨어로부터 디바이스를 보호합니다. 운영 체제 수준 또는 개별 앱 수준에서 적용할 수 있는 여러 완화 기능으로 구성됩니다.

Windows 보안 앱 또는 PowerShell을 사용하여 완화 집합(구성이라고 함)을 만듭니다. 그런 다음 이 구성을 XML 파일로 내보내 네트워크의 여러 디바이스와 공유할 수 있습니다. 그런 다음 모두 동일한 완화 설정 집합을 갖습니다.

구성 파일 만들기 및 내보내기

구성 파일을 내보내기 전에 올바른 설정이 있는지 확인해야 합니다. 먼저 단일 전용 디바이스에서 Exploit Protection을 구성합니다. 완화 구성에 대한 자세한 내용은 Exploit Protection 사용자 지정을 참조하세요.

Exploit Protection을 원하는 상태(시스템 수준 및 앱 수준 완화 모두 포함)로 구성한 경우 Windows 보안 앱 또는 PowerShell을 사용하여 파일을 내보낼 수 있습니다.

Windows 보안 앱을 사용하여 구성 파일 내보내기

1. 작업 표시줄에서 방패 아이콘을 선택해 Windows 보안 앱을 엽니다. 또는 시작 메뉴에서 Windows 보안을 검색합니다.

2. 앱 및 브라우저 컨트롤 타일(또는 왼쪽 메뉴 모음의 앱 아이콘)을 선택한 후 Exploit Protection 설정을 선택합니다.

   

3. Exploit Protection 섹션의 맨 아래에서 설정 내보내기를 선택합니다. 구성을 저장할 XML 파일의 위치와 이름을 선택합니다.

   중요

   기본 구성을 사용하려면 "기본값 사용(켜기)" 대신 "기본적으로 켜기" 설정을 사용하여 XML 파일에서 설정을 올바르게 내보냅니다.

   

   참고

   설정을 내보내면 앱 수준 및 시스템 수준 완화에 대한 모든 설정이 저장됩니다. 즉, 시스템 설정 및 프로그램 설정 섹션 모두에서 파일을 내보낼 필요가 없습니다(섹션 중 하나는 모든 설정을 내보냅니다).

PowerShell을 사용하여 구성 파일 내보내기

1. 시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

2. 다음 cmdlet을 입력합니다.

   Get-ProcessMitigation -RegistryConfigFilePath filename.xml
   

   filename을(를) 원하는 이름 또는 위치로 변경합니다.

   예제 명령:

   Get-ProcessMitigation -RegistryConfigFilePath C:\ExploitConfigfile.xml
   

중요

그룹 정책을 사용하여 구성을 배포하는 경우 구성을 사용할 모든 디바이스가 구성 파일에 액세스할 수 있어야 합니다. 파일을 공유 위치에 배치해야 합니다.

구성 파일 가져오기

이전에 만든 Exploit Protection 구성 파일을 가져올 수 있습니다. PowerShell을 사용하여 구성 파일만 가져올 수 있습니다.

가져온 후 설정이 즉시 적용되고 Windows 보안 앱에서 검토할 수 있습니다.

PowerShell을 사용하여 구성 파일 가져오기

1. 시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

2. 다음 cmdlet을 입력합니다.

   Set-ProcessMitigation -PolicyFilePath filename.xml
   

   filename을 Exploit Protection XML 파일의 위치 및 이름으로 변경합니다.

   예제 명령:

   Set-ProcessMitigation -PolicyFilePath C:\ExploitConfigfile.xml
   

중요

Exploit Protection을 위해 특별히 만들어진 구성 파일을 가져오도록 합니다.

구성 관리 또는 배포

그룹 정책을 사용하여 만든 구성을 네트워크의 여러 디바이스에 배포할 수 있습니다.

중요

그룹 정책을 사용하여 구성을 배포하는 경우 구성을 사용할 모든 디바이스가 구성 XML 파일에 액세스할 수 있어야 합니다. 파일을 공유 위치에 배치해야 합니다.

그룹 정책을 사용하여 구성 배포

1. 그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체 및 편집을 마우스 오른쪽 단추로 클릭합니다.

2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

3. 트리를 Windows 구성 요소Microsoft Defender Exploit Guard>Exploit Protection으로 확장합니다>.

   

4. 일반적인 Exploit Protection 설정 집합 사용을 두 번 클릭하고 옵션을 [사용]으로 설정합니다.

5. 옵션: 섹션에서 다음 예제와 같이 사용하려는 Exploit Protection 구성 파일의 위치 및 파일 이름을 입력합니다.

   • C:\MitigationSettings\Config.XML
   • \\Server\Share\Config.xml
   • https://localhost:8080/Config.xml
   • C:\ExploitConfigfile.xml

6. 확인을 선택하고 평소와 같이 업데이트된 GPO를 배포합니다.

참고 항목

• 악용으로부터 장치 보호
• Exploit Protection 계산
• 악용 방지 사용
• 악용 방지 완화 구성 및 감사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.