그룹 정책 및 네트워크 공유를 사용하여 바이러스 백신 프로덕션 링 배포 Microsoft Defender

적용 대상:

플랫폼

  • Windows
  • Windows Server

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Microsoft Defender는 엔터프라이즈 네트워크가 지능형 위협을 방지, 감지, 조사 및 대응할 수 있도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다.

엔드포인트용 Microsoft Defender는 엔드포인트용 Defender 플랜 1과 플랜 2의 두 가지 플랜으로 제공됩니다. 이제 새로운 Microsoft Defender 취약성 관리 추가 기능이 플랜 2로 제공됩니다.

새 Defender 취약성 관리 추가 기능을 포함하여 각 플랜에 포함된 기능에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 플랜 비교를 참조하세요.

소개

이 문서에서는 그룹 정책 및 네트워크 공유(UNC 경로, SMB, CIFS라고도 함)를 사용하여 링에 Microsoft Defender 바이러스 백신을 배포하는 방법을 설명합니다.

필수 구성 요소

추가 정보에서 읽기 문서를 검토합니다.https://github.com/microsoft/defender-updatecontrols/blob/main/README.md

  1. 최신 Windows Defender .admx 및 .adml 다운로드

  2. 최신 .admx 및 .adml을 도메인 컨트롤러 중앙 저장소에 복사합니다.

  3. 보안 인텔리전스 및 플랫폼 업데이트를 위한 UNC 공유 만들기

파일럿 환경 설정

이 섹션에서는 파일럿 UAT/테스트/QA 환경을 설정하는 프로세스를 설명합니다. 약 10-500* Windows 및/또는 Windows Server 시스템에서는 전체 시스템 수에 따라 달라집니다.

그룹 정책 및 네트워크 공유 환경에 대한 바이러스 백신 링 배포 일정을 Microsoft Defender 예제를 보여 주는 스크린샷

참고

SIU(보안 인텔리전스 업데이트)는 정의 업데이트와 동일한 서명 업데이트와 같습니다.

보안 인텔리전스 및 플랫폼 업데이트를 위한 UNC 공유 만들기

예약된 작업을 사용하여 MMPC 사이트에서 보안 인텔리전스 및 플랫폼 업데이트를 다운로드하도록 네트워크 파일 공유(UNC/매핑된 드라이브)를 설정합니다.

  1. 공유를 프로비전하고 업데이트를 다운로드하려는 시스템에서 스크립트를 저장할 폴더를 만듭니다.

    Start, CMD (Run as admin)
    MD C:\Tool\PS-Scripts\
    
  2. 서명 업데이트를 저장할 폴더를 만듭니다.

    MD C:\Temp\TempSigs\x64
    MD C:\Temp\TempSigs\x86
    
  3. PowerShell 스크립트 설정 CopySignatures.ps1

    Copy-Item -Path "\SourceServer\Sourcefolder" -Destination "\TargetServer\Targetfolder"

  4. 명령줄을 사용하여 예약된 작업을 설정합니다.

    참고

    업데이트에는 전체 및 델타의 두 가지 유형이 있습니다.

    • x64 델타의 경우:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • x64 전체의 경우:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • x86 델타의 경우:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      
    • x86 전체의 경우:

      Powershell (Run as admin)
      
      C:\Tool\PS-Scripts\
      
      ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
      

    참고

    예약된 작업을 만들 때 아래의 작업 스케줄러 Microsoft\Windows\Windows Defender에서 이러한 작업을 찾을 수 있습니다.

  5. 각 작업을 수동으로 실행하고 다음 폴더에 데이터(mpam-d.exe, mpam-fe.exenis_full.exe)가 있는지 확인합니다(다른 위치를 선택했을 수 있음).

    • C:\Temp\TempSigs\x86
    • C:\Temp\TempSigs\x64

    예약된 작업이 실패하면 다음 명령을 실행합니다.

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
    
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
    

    참고

    실행 정책으로 인해 문제가 발생할 수도 있습니다.

  6. 를 가리키는 C:\Temp\TempSigs 공유를 만듭니다(예: \\server\updates).

    참고

    최소한 인증된 사용자는 "읽기" 액세스 권한이 있어야 합니다. 이 요구 사항은 도메인 컴퓨터, 공유 및 NTFS(보안)에도 적용됩니다.

  7. 정책의 공유 위치를 공유로 설정합니다.

    참고

    경로에 x64(또는 x86) 폴더를 추가하지 마세요. mpcmdrun.exe 프로세스는 자동으로 추가합니다.

파일럿(UAT/테스트/QA) 환경 설정

이 섹션에서는 전체 시스템 수에 따라 약 10~500개의 Windows 및/또는 Windows Server 시스템에서 파일럿 UAT/테스트/QA 환경을 설정하는 프로세스를 설명합니다.

참고

Citrix 환경이 있는 경우 1개 이상의 Citrix VM(비영구적) 및/또는(영구)를 포함합니다.

그룹 정책 관리 콘솔(GPMC, GPMC.msc)에서 Microsoft Defender 바이러스 백신 정책을 만들거나 추가합니다.

  1. Microsoft Defender 바이러스 백신 정책을 편집합니다. 예를 들어 MDAV_Settings_Pilot 편집합니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신으로 이동합니다. 세 가지 관련 옵션이 있습니다.

    기능 파일럿 시스템에 대한 권장 사항
    매일 Microsoft Defender 보안 인텔리전스 업데이트에 대한 채널을 선택합니다. 현재 채널(스테이징됨)
    Microsoft Defender 월간 엔진 업데이트 채널을 선택합니다. 베타 채널
    매월 Microsoft Defender 플랫폼 업데이트에 대한 채널을 선택합니다. 베타 채널

    다음 그림에는 세 가지 옵션이 나와 있습니다.

    파일럿 컴퓨터 구성 > 정책 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 업데이트 채널의 화면 캡처를 > 보여 주는 스크린샷

    자세한 내용은 Microsoft Defender 업데이트에 대한 점진적 출시 프로세스 관리를 참조하세요.

  2. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신으로 이동합니다.

  3. 인텔리전스 업데이트의 경우 월별 인텔리전스 업데이트를 Microsoft Defender 채널 선택을 두 번 클릭합니다.

    사용 및 현재 채널(단계적)이 선택된 Microsoft Defender 월간 인텔리전스 업데이트에 대한 채널 선택 페이지의 화면 캡처를 보여 주는 스크린샷.

  4. Microsoft Defender 월간 인텔리전스 업데이트에 대한 채널 선택 페이지에서 사용을 선택하고 옵션에서 현재 채널(단계적)을 선택합니다.

  5. 적용을 선택한 다음 확인을 선택합니다.

  6. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신으로 이동합니다.

  7. 엔진 업데이트의 경우 매월 Microsoft Defender 엔진 업데이트에 대한 채널 선택을 두 번 클릭합니다.

  8. Microsoft Defender 월간 플랫폼 업데이트에 대한 채널 선택 페이지에서 사용을 선택하고 옵션에서 베타 채널을 선택합니다.

  9. 적용을 선택한 다음 확인을 선택합니다.

  10. 플랫폼 업데이트의 경우 매월 Microsoft Defender 플랫폼 업데이트에 대한 채널 선택을 두 번 클릭합니다.

  11. Microsoft Defender 월간 플랫폼 업데이트에 대한 채널 선택 페이지에서 사용을 선택하고 옵션에서 베타 채널을 선택합니다. 이러한 두 설정은 다음 그림에 나와 있습니다.

  12. 적용을 선택한 다음 확인을 선택합니다.

프로덕션 환경 설정

  1. 그룹 정책 관리 콘솔(GPMC, GPMC.msc)에서 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신으로 이동합니다.

    프로덕션 컴퓨터 구성 > 정책 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 업데이트 채널의 화면 캡처를 > 보여 주는 스크린샷

  2. 다음과 같이 세 가지 정책을 설정합니다.

    기능 프로덕션 시스템에 대한 권장 사항 설명
    매일 Microsoft Defender 보안 인텔리전스 업데이트에 대한 채널을 선택합니다. 현재 채널(광범위) 이 설정은 FP를 찾고 프로덕션 시스템이 호환되지 않는 서명 업데이트를 받지 못하도록 하는 3시간의 시간을 제공합니다.
    Microsoft Defender 월간 엔진 업데이트 채널을 선택합니다. 위험 – 시간 지연 업데이트 2일 지연됩니다.
    매월 Microsoft Defender 플랫폼 업데이트에 대한 채널을 선택합니다. 위험 – 시간 지연 업데이트 2일 지연됩니다.
  3. 인텔리전스 업데이트의 경우 월별 인텔리전스 업데이트를 Microsoft Defender 채널 선택을 두 번 클릭합니다.

  4. Microsoft Defender 월간 인텔리전스 업데이트에 대한 채널 선택 페이지에서 사용을 선택하고 옵션에서 현재 채널(광범위)을 선택합니다.

    사용 및 현재 채널(단계적)이 선택된 Microsoft Defender 월간 인텔리전스 업데이트에 대한 채널 선택 페이지의 화면 캡처를 보여 주는 스크린샷.

  5. 적용을 선택한 다음 확인을 선택합니다.

  6. 엔진 업데이트의 경우 매월 Microsoft Defender 엔진 업데이트에 대한 채널 선택을 두 번 클릭합니다.

  7. Microsoft Defender 월간 플랫폼 업데이트에 대한 채널 선택 페이지에서 사용을 선택하고 옵션에서 위험 – 시간 지연을 선택합니다.

  8. 적용을 선택한 다음 확인을 선택합니다.

  9. 플랫폼 업데이트의 경우 매월 Microsoft Defender 플랫폼 업데이트에 대한 채널 선택을 두 번 클릭합니다.

  10. Microsoft Defender 월간 플랫폼 업데이트에 대한 채널 선택 페이지에서 사용을 선택하고 옵션에서 위험 – 시간 지연을 선택합니다.

  11. 적용을 선택한 다음 확인을 선택합니다.

문제가 발생하는 경우

배포에 문제가 발생하는 경우 Microsoft Defender 바이러스 백신 정책을 만들거나 추가합니다.

  1. 그룹 정책 관리 콘솔(GPMC, GPMC.msc)에서 다음 설정을 사용하여 Microsoft Defender 바이러스 백신 정책을 만들거나 추가합니다.

    컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>(관리자 정의) PolicySettingName으로 이동합니다. 예를 들어 MDAV_Settings_Production 마우스 오른쪽 단추를 클릭한 다음 편집을 선택합니다. MDAV_Settings_Production 대한 편집은 다음 그림에 나와 있습니다.

    관리자 정의 Microsoft Defender 바이러스 백신 정책 편집 옵션의 화면 캡처를 보여 주는 스크린샷

  2. 보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의를 선택합니다.

  3. 사용이라는 라디오 단추를 선택합니다.

  4. 옵션:에서 항목을 FileShares로 변경하고 적용을 선택한 다음 확인을 선택합니다. 이 변경 내용은 다음 그림에 나와 있습니다.

    보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의 페이지의 화면 캡처를 보여 주는 스크린샷.

  5. 보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의를 선택합니다.

  6. 사용 안 함이라는 라디오 단추를 선택하고 적용을 선택한 다음 확인을 선택합니다. 사용 안 함 옵션은 다음 그림에 나와 있습니다.

    보안 인텔리전스 업데이트가 비활성화된 보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의 페이지의 화면 캡처를 보여 주는 스크린샷

  7. 그룹 정책 업데이트할 때 변경 내용이 활성화됩니다. 그룹 정책 새로 고치는 방법에는 두 가지가 있습니다.

    • 명령줄에서 그룹 정책 update 명령을 실행합니다. 예를 들어 를 실행합니다 gpupdate / force. 자세한 내용은 gpupdate를 참조하세요.
    • 그룹 정책 자동으로 새로 고칠 때까지 기다립니다. 그룹 정책 90분 +/- 30분마다 새로 고칩니다.

    포리스트/도메인이 여러 개 있는 경우 강제로 복제하거나 10-15분 동안 기다립니다. 그런 다음 그룹 정책 관리 콘솔에서 그룹 정책 업데이트를 강제 적용합니다.

    • 컴퓨터(예: 데스크톱)가 포함된 OU(조직 구성 단위)를 마우스 오른쪽 단추로 클릭하고 그룹 정책 업데이트를 선택합니다. 이 UI 명령은 해당 OU의 모든 컴퓨터에서 gpupdate.exe /force를 수행하는 것과 같습니다. 그룹 정책 강제로 새로 고치는 기능은 다음 그림에 나와 있습니다.

      강제 업데이트를 시작하는 그룹 정책 관리 콘솔의 화면 캡처를 보여 주는 스크린샷

  8. 문제가 해결되면 서명 업데이트 대체 순서 를 원래 설정으로 다시 설정합니다. InternalDefinitionUpdateServder|MicrosoftUpdateServer|MMPC|FileShare.

참고 항목

Microsoft Defender 바이러스 백신 링 배포 개요