이전 버전의 Windows 온보딩

  • 아티클

적용 대상:

플랫폼

  • Windows 7 SP1 Enterprise
  • Windows 7 SP1 Pro
  • Windows 8.1 Pro
  • Windows 8.1 Enterprise
  • Windows Server 2008 R2 SP1

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender는 지원되는 Windows 버전에서 고급 공격 탐지 및 조사 기능을 제공하는 하위 수준 운영 체제를 포함하도록 지원을 확장합니다.

엔드포인트용 Defender에 하위 수준 Windows 클라이언트 엔드포인트를 온보딩하려면 다음을 수행해야 합니다.

Windows Server 2008 R2 SP1의 경우 클라우드용 Microsoft Defender 통해 온보딩할 수 있습니다.

참고

Microsoft Monitoring Agent(옵션 1)를 통해 Windows 서버를 온보딩하려면 엔드포인트용 Defender 독립 실행형 서버 라이선스가 노드당 필요합니다. 또는 클라우드용 Microsoft Defender 통해 Windows 서버를 온보딩하려면 노드당 서버 라이선스에 대한 Microsoft Defender 필요합니다(옵션 2). 클라우드용 Microsoft Defender 지원되는 기능을 참조하세요.

디바이스를 온보딩한 후 검색 테스트를 실행하여 서비스에 올바르게 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Defender 엔드포인트에서 검색 테스트 실행을 참조하세요.

System Center Endpoint Protection 클라이언트 구성 및 업데이트

엔드포인트용 Defender는 System Center Endpoint Protection 통합되어 맬웨어 검색에 대한 가시성을 제공하고 잠재적으로 악성 파일 또는 의심되는 맬웨어를 금지하여 organization 공격 전파를 중지합니다.

이 통합을 사용하려면 다음 단계가 필요합니다.

MMA(Microsoft Monitoring Agent) 설치 및 구성

시작하기 전에

다음 세부 정보를 검토하여 최소 시스템 요구 사항을 확인합니다.

설치 단계

  1. 에이전트 설정 파일 Windows 64비트 에이전트 또는 Windows 32비트 에이전트를 다운로드합니다.

    참고

    MMA 에이전트의 SHA-1 지원 사용 중단으로 인해 MMA 에이전트는 버전 10.20.18029 이상이어야 합니다.

  2. 작업 영역 ID를 가져옵니다.

    • 엔드포인트용 Defender 탐색 창에서 설정 > 디바이스 관리 > 온보딩을 선택합니다.
    • 운영 체제 선택
    • 작업 영역 ID 및 작업 영역 키 복사

  3. 작업 영역 ID 및 작업 영역 키를 사용하여 다음 설치 방법 중 하나를 선택하여 에이전트를 설치합니다.

    참고

    미국 정부 고객인 경우 설치 마법사를 사용하는 경우 "Azure 클라우드"에서 "Azure 미국 정부"를 선택하거나 명령줄 또는 스크립트를 사용하는 경우 "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" 매개 변수를 1로 설정해야 합니다.

  4. 프록시를 사용하여 인터넷에 연결하는 경우 프록시 및 인터넷 연결 설정 구성 섹션을 참조하세요.

완료되면 1시간 이내에 포털에 온보딩된 엔드포인트가 표시됩니다.

프록시 및 인터넷 연결 설정 구성

서버에서 프록시를 사용하여 엔드포인트용 Defender와 통신해야 하는 경우 다음 방법 중 하나를 사용하여 프록시 서버를 사용하도록 MMA를 구성합니다.

프록시 또는 방화벽이 사용 중인 경우 서버가 SSL 가로채기 없이 직접 모든 엔드포인트용 Microsoft Defender 서비스 URL에 액세스할 수 있는지 확인하세요. 자세한 내용은 엔드포인트용 Microsoft Defender 서비스 URL에 대한 액세스 사용을 참조하세요. SSL 가로채기를 사용하면 시스템이 엔드포인트용 Defender 서비스와 통신하지 못하게 됩니다.

완료되면 1시간 이내에 포털에 온보딩된 Windows 서버가 표시됩니다.

클라우드용 Microsoft Defender 통해 Windows 서버 온보딩

  1. Microsoft Defender XDR 탐색 창에서 설정>엔드포인트>디바이스 관리>온보딩을 선택합니다.

  2. 운영 체제로 Windows Server 2008 R2 SP1 을 선택합니다.

  3. 클라우드용 Microsoft Defender 서버 온보딩을 클릭합니다.

  4. 클라우드용 Microsoft Defender 엔드포인트용 Microsoft Defender 온보딩 지침을 따르고 Azure ARC를 사용하는 경우 엔드포인트용 Microsoft Defender 통합 사용의 온보딩 지침을 따릅니다.

온보딩 단계를 완료한 후에는 System Center Endpoint Protection 클라이언트를 구성하고 업데이트해야 합니다.

참고

  • 서버가 예상대로 작동하려면 Microsoft Defender 통해 온보딩하려면 서버에 MMA(Microsoft Monitoring Agent) 설정 내에서 구성된 적절한 작업 영역과 키가 있어야 합니다.
  • 구성되면 적절한 클라우드 관리 팩이 컴퓨터에 배포되고 센서 프로세스(MsSenseS.exe)가 배포되고 시작됩니다.
  • 또한 서버가 OMS 게이트웨이 서버를 프록시로 사용하도록 구성된 경우에도 필요합니다.

온보딩 확인

Microsoft Defender 바이러스 백신 및 엔드포인트용 Microsoft Defender 실행 중인지 확인합니다.

참고

Microsoft Defender 바이러스 백신을 실행할 필요는 없지만 권장됩니다. 다른 바이러스 백신 공급업체 제품이 기본 엔드포인트 보호 솔루션인 경우 수동 모드에서 Defender 바이러스 백신을 실행할 수 있습니다. SENSE(엔드포인트용 Microsoft Defender 센서)가 실행 중인지 확인한 후에만 수동 모드가 켜진 것을 확인할 수 있습니다.

참고

Microsoft Defender 바이러스 백신은 Windows 10 및 Windows 11 대해서만 지원되므로 Windows Server 2008 R2 SP1을 실행할 때는 1단계가 적용되지 않습니다.

  1. 다음 명령을 실행하여 Microsoft Defender 바이러스 백신이 설치되어 있는지 확인합니다.

    sc.exe query Windefend

    결과가 '지정된 서비스가 설치된 서비스로 존재하지 않습니다.'인 경우 Microsoft Defender 바이러스 백신을 설치해야 합니다. 자세한 내용은 Windows 10 Microsoft Defender 바이러스 백신을 참조하세요.

    그룹 정책 사용하여 Windows 서버에서 Microsoft Defender 바이러스 백신을 구성하고 관리하는 방법에 대한 자세한 내용은 그룹 정책 설정을 사용하여 Microsoft Defender 바이러스 백신 구성 및 관리를 참조하세요.

온보딩에 문제가 발생하는 경우 온보딩 문제 해결을 참조하세요.

검색 테스트 실행

새로 온보딩된 디바이스에서 검색 테스트 실행의 단계에 따라 서버가 엔드포인트 서비스용 Defender에 보고하고 있는지 확인합니다.

관리 솔루션이 없는 엔드포인트 온보딩

그룹 정책 사용

1단계: 엔드포인트에 대한 해당 업데이트를 다운로드합니다.

  1. c:\windows\sysvol\domain\scripts(도메인 컨트롤러 중 하나에서 변경 컨트롤이 필요할 수 있음)로 이동합니다.

  2. MMA라는 폴더를 만듭니다.

  3. 다음을 다운로드하여 MMA 폴더에 배치합니다.

    Windows Server 2008 R2 SP1의 경우 다음 업데이트도 필요합니다.

    2018년 2월 월간 롤업 - KB4074598(Windows Server 2008 R2)

    Microsoft 업데이트 카탈로그
    Windows Server 2008 R2 x64용 업데이트 다운로드

    .NET Framework 3.5.1(KB315418)
    Windows Server 2008 R2 x64의 경우

    참고

    이 문서에서는 x64 기반 서버(MMA 에이전트 .exe x64 새 SHA-2 규격 버전)를 사용 중이라고 가정합니다.

2단계: 파일 이름 DeployMMA.cmd 만들기(메모장 사용) cmd 파일에 다음 줄을 추가합니다. 작업 영역 ID 및 키가 필요합니다.

다음 명령이 예제입니다. 다음 값을 바꿉 있습니다.

  • KB - 온보딩 중인 엔드포인트와 관련된 적용 가능한 KB 사용
  • 작업 영역 ID 및 키 - ID 및 키 사용
@echo off
cd "C:"
IF EXIST "C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe" (
exit
) ELSE (

wusa.exe C:\Windows\MMA\Windows6.1-KB3080149-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB4074598-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows6.1-KB3154518-x64.msu /quiet /norestart
wusa.exe C:\Windows\MMA\Windows8.1-KB3080149-x64.msu /quiet /norestart
"c:\windows\MMA\MMASetup-AMD64.exe" /c /t:"C:\Windows\MMA"
c:\windows\MMA\setup.exe /qn NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_ID="<your workspace ID>" OPINSIGHTS_WORKSPACE_KEY="<your workspace key>" AcceptEndUserLicenseAgreement=1

)

그룹 정책 구성

"엔드포인트용 Microsoft Defender 온보딩"과 같은 디바이스를 온보딩하기 위한 새 그룹 정책을 만듭니다.

  • "c:\windows\MMA"라는 그룹 정책 폴더 만들기

    폴더 위치

    그러면 MMA라는 GPO가 적용되고 c:\windows에 저장되는 모든 서버에 새 폴더가 추가됩니다. 여기에는 MMA, 필수 구성 요소 및 설치 스크립트에 대한 설치 파일이 포함됩니다.

  • Net 로그온에 저장된 각 파일에 대해 그룹 정책 파일 기본 설정을 만듭니다.

    그룹 정책 - 1

도메인\NETLOGON\MMA\filename에서 C:\windows\MMA\filename으로 파일을 복사하므로 설치 파일은 서버에 로컬입니다.

mma cmd 속성 배포

프로세스를 반복하지만 COMMON 탭에서 항목 수준 대상 지정을 만들므로 파일은 scope 적절한 플랫폼/운영 체제 버전으로만 복사됩니다.

대상 편집기

Windows Server 2008 R2의 경우 다음이 필요합니다(복사만 수행).

  • Windows6.1-KB3080149-x64.msu
  • Windows6.1-KB3154518-x64.msu
  • Windows6.1-KB4075598-x64.msu

이 작업이 완료되면 시작 스크립트 정책을 만들어야 합니다.

시작 속성

여기서 실행할 파일의 이름은 c:\windows\MMA\DeployMMA.cmd. 서버가 시작 프로세스의 일부로 다시 시작되면 고객 환경 및 진단 원격 분석 KB용 업데이트를 설치한 다음 작업 영역 ID 및 키를 설정하는 동안 MMA 에이전트를 설치하고 서버가 온보딩됩니다.

모든 서버를 다시 부팅하지 않으려면 즉시 작업을 사용하여 deployMMA.cmd 실행할 수도 있습니다.

이 작업은 두 단계로 수행할 수 있습니다. 먼저 GPO 에서 파일 및 폴더 만들기 - GPO가 적용되고 모든 서버에 설치 파일이 있는지 확인하는 시스템 시간을 줍니다. 그런 다음, 즉시 작업을 추가합니다. 다시 부팅하지 않고도 동일한 결과를 얻을 수 있습니다.

스크립트에는 exit 메서드가 있고 MMA가 설치된 경우 다시 실행되지 않으므로 매일 예약된 작업을 사용하여 동일한 결과를 얻을 수도 있습니다. Configuration Manager 규정 준수 정책과 마찬가지로 MMA가 있는지 확인하기 위해 매일 검사.

일정 작업

새 작업 속성

mma 다운로드 속성 배포

작업 스케줄러

Server 2008 R2와 관련된 서버에 대한 온보딩 설명서에서 설명한 대로 아래를 참조하세요. Windows Server 2008 R2 SP1의 경우 다음 요구 사항을 충족하는지 확인합니다.

Windows Server 2008 R2를 온보딩하기 전에 KB가 있는지 검사. 이 프로세스를 통해 Configuration Manager 관리 서버가 없는 경우 모든 서버를 온보딩할 수 있습니다.

엔드포인트 오프보딩

서비스에서 Windows 엔드포인트를 오프보딩하는 두 가지 옵션이 있습니다.

  • MMA 에이전트 제거
  • 엔드포인트용 Defender 작업 영역 구성 제거

참고

오프보딩을 사용하면 Windows 엔드포인트가 포털로 센서 데이터 전송을 중지하지만, 엔드포인트의 데이터(있는 경고에 대한 참조 포함)는 최대 6개월 동안 보존됩니다.

MMA 에이전트 제거

Windows 엔드포인트를 오프보딩하려면 MMA 에이전트를 제거하거나 엔드포인트용 Defender 작업 영역에 보고에서 분리할 수 있습니다. 에이전트를 오프보딩한 후 엔드포인트는 더 이상 엔드포인트용 Defender에 센서 데이터를 보내지 않습니다. 자세한 내용은 에이전트를 사용하지 않도록 설정하려면을 참조하세요.

엔드포인트용 Defender 작업 영역 구성 제거

다음 방법 중 하나를 사용할 수 있습니다.

  • MMA 에이전트에서 엔드포인트용 Defender 작업 영역 구성 제거
  • PowerShell 명령을 실행하여 구성 제거

MMA 에이전트에서 엔드포인트용 Defender 작업 영역 구성 제거

  1. Microsoft Monitoring Agent 속성에서 Azure Log Analytics(OMS) 탭을 선택합니다.

  2. 엔드포인트용 Defender 작업 영역을 선택하고 제거를 클릭합니다.

    작업 영역 창

PowerShell 명령을 실행하여 구성 제거

  1. 작업 영역 ID를 가져옵니다.

    1. 탐색 창에서 설정>온보딩을 선택합니다.
    2. 관련 운영 체제를 선택하고 작업 영역 ID를 가져옵니다.

  2. 관리자 권한 PowerShell을 열고 다음 명령을 실행합니다. 가져온 작업 영역 ID를 사용하고 를 바꿉니다 WorkspaceID.

    $AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg

# Remove OMS Workspace
$AgentCfg.RemoveCloudWorkspace("WorkspaceID")

# Reload the configuration and apply changes
$AgentCfg.ReloadConfiguration()

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.