무단 보호를 사용하여 보안 설정 보호
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender 바이러스 백신
- 비즈니스용 Microsoft Defender
- Microsoft 365 Business Premium
플랫폼
- Windows
- macOS
변조 방지란?
변조 방지는 바이러스 및 위협 방지와 같은 특정 보안 설정이 비활성화되거나 변경되지 않도록 보호하는 데 도움이 되는 엔드포인트용 Microsoft Defender 기능입니다. 일부 종류의 사이버 공격 중에 악의적인 행위자가 디바이스에서 보안 기능을 사용하지 않도록 설정하려고 합니다. 보안 기능을 사용하지 않도록 설정하면 악의적인 행위자가 데이터에 더 쉽게 액세스할 수 있고, 맬웨어를 설치할 수 있으며, 데이터, ID 및 디바이스를 악용할 수 있습니다. 변조 방지는 이러한 유형의 활동을 보호하는 데 도움이 됩니다.
변조 방지는 표준 보호 공격 표면 감소 규칙을 포함하는 변조 방지 기능의 일부입니다. 변조 방지는 기본 제공 보호의 중요한 부분입니다.
변조 방지가 켜져 있으면 어떻게 되나요?
변조 방지가 켜져 있으면 변조로 보호되는 설정을 변경할 수 없습니다.
- 바이러스 및 위협 방지는 계속 활성화되어 있습니다.
- 실시간 보호는 켜져 있습니다.
- 동작 모니터링은 계속 켜져 있습니다.
- IOfficeAntivirus(IOAV)를 비롯한 바이러스 백신 보호는 계속 사용하도록 설정되어 있습니다.
- 클라우드 보호는 계속 사용하도록 설정되어 있습니다.
- 보안 인텔리전스 업데이트가 발생합니다.
- 검색된 위협에 대해 자동 작업이 수행됩니다.
- 알림은 Windows 디바이스의 Windows 보안 앱에 표시됩니다.
- 보관된 파일이 검사됩니다.
- 제외는 수정하거나 추가할 수 없습니다.
서명 릴리스 1.383.1159.0에서 "네트워크 파일 검사 허용"의 기본값에 대한 혼동으로 인해 변조 방지는 더 이상 이 설정을 기본값으로 잠그지 않습니다. 관리되는 환경에서 기본값은 입니다 enabled.
중요
변조 방지가 켜져 있으면 변조로 보호된 설정을 변경할 수 없습니다. Intune 및 Configuration Manager 포함한 호환성이 손상되는 관리 환경을 방지하려면 변조로 보호된 설정에 대한 변경 내용이 성공한 것처럼 보일 수 있지만 실제로는 변조 방지에 의해 차단된다는 점에 유의하세요. 특정 시나리오에 따라 다음과 같은 몇 가지 옵션을 사용할 수 있습니다.
- 디바이스를 변경해야 하고 변조 방지로 인해 변경 내용이 차단되는 경우 문제 해결 모드를 사용하여 디바이스에서 변조 방지를 일시적으로 사용하지 않도록 설정할 수 있습니다.
- Intune 또는 Configuration Manager 사용하여 변조 방지에서 디바이스를 제외할 수 있습니다.
변조 방지를 통해 보안 설정을 볼 수 없습니다. 또한 변조 방지는 타사 바이러스 백신 앱이 Windows 보안 앱에 등록하는 방식에 영향을 주지 않습니다. organization 엔드포인트용 Defender를 사용하는 경우 개별 사용자는 변조 방지 설정을 변경할 수 없습니다. 이러한 경우 보안 팀은 변조 방지를 관리합니다. 자세한 내용은 변조 방지 구성 또는 관리를 어떻게 할까요? 참조하세요.
변조 방지를 사용할 수 있는 디바이스는 무엇인가요?
변조 방지는 다음 버전의 Windows 중 하나를 실행하는 디바이스에서 사용할 수 있습니다.
- Windows 10 및 11(Enterprise 다중 세션 포함)
- Windows Server 2022, Windows Server 2019 및 Windows Server 버전 1803 이상
- Windows Server 2016 및 Windows Server 2012 R2(최신 통합 솔루션 사용)
변조 방지는 Windows와 약간 다르게 작동하지만 Mac에서도 사용할 수 있습니다. 자세한 내용은 변조 방지를 사용하여 macOS 보안 설정 보호를 참조하세요.
팁
기본 제공 보호 에는 기본적으로 변조 방지 설정이 포함됩니다. 자세한 내용은 다음 항목을 참조하세요.
- 기본 제공 보호는 랜섬웨어로부터 보호하는 데 도움이 됩니다 (문서).
- 모든 엔터프라이즈 고객에 대해 변조 방지가 설정됩니다 (기술 커뮤니티 블로그 게시물).
Windows Server 2012 R2, 2016 또는 Windows 버전 1709, 1803 또는 1809의 변조 방지
최신 통합 솔루션인 Windows Server 2016, Windows 10 버전 1709, 1803 또는 1809를 사용하여 Windows Server 2012 R2를 사용하는 경우 Windows 보안 앱에 변조 방지가 표시되지 않습니다. 대신 PowerShell을 사용하여 변조 방지가 사용되는지 여부를 확인할 수 있습니다.
중요
Windows Server 2016 설정 앱은 변조 방지를 사용할 때 실시간 보호의 상태 정확하게 반영하지 않습니다.
PowerShell을 사용하여 변조 방지 및 실시간 보호가 켜져 있는지 확인
Windows PowerShell 앱을 엽니다.
Get-MpComputerStatus PowerShell cmdlet을 사용합니다.
결과 목록에서 또는
RealTimeProtectionEnabled를IsTamperProtected찾습니다. 값이 true 이면 변조 방지를 사용할 수 있습니다.
변조 방지를 구성하거나 관리할 어떻게 할까요? 있나요?
다음 표에 나와 있는 것처럼 Microsoft Intune 및 기타 방법을 사용하여 변조 방지를 구성하거나 관리할 수 있습니다.
| 메서드 | 실행할 수 있는 작업 |
|---|---|
| Microsoft Defender 포털을 사용합니다. | 테넌트 전체에서 변조 방지를 켜거나 끕니다. Microsoft Defender XDR 사용하여 organization 대한 변조 방지 관리를 참조하세요. 이 메서드는 Microsoft Intune 또는 Configuration Manager 관리되는 설정을 재정의하지 않습니다. |
| Microsoft Intune 관리 센터 또는 Configuration Manager 사용합니다. | 변조 방지를 켜거나 끄거나, 테넌트 전체에 적용하거나, 일부 사용자/디바이스에 변조 방지를 적용합니다. 변조 방지에서 특정 디바이스를 제외할 수 있습니다. Intune 사용하여 organization 대한 변조 방지 관리를 참조하세요. Intune만 사용하거나 Configuration Manager 경우에만 Microsoft Defender 바이러스 백신 제외를 변조로부터 보호합니다. 바이러스 백신 제외는 변조 방지를 참조하세요. |
| 테넌트 연결과 함께 Configuration Manager 사용합니다. | 변조 방지를 켜거나 끄거나, 테넌트 전체에 적용하거나, 일부 사용자/디바이스에 변조 방지를 적용합니다. 변조 방지에서 특정 디바이스를 제외할 수 있습니다. Configuration Manager 버전 2006에서 테넌트 연결을 사용하여 organization 대한 변조 방지 관리를 참조하세요. |
| Windows 보안 앱을 사용합니다. | 보안 팀에서 관리하지 않는 개별 디바이스(예: 가정용 디바이스)에서 변조 방지를 켜거나 끕니다. 개별 디바이스에서 변조 방지 관리를 참조하세요. 이 메서드는 Microsoft Defender 포털, Intune 또는 Configuration Manager 설정된 변조 방지 설정을 재정의하지 않으며 조직에서 사용할 수 없습니다. |
팁
그룹 정책 사용하여 Microsoft Defender 바이러스 백신 설정을 관리하는 경우 변조로 보호된 설정에 대한 변경 내용은 무시됩니다. 디바이스를 변경해야 하고 변조 방지로 인해 변경 내용이 차단된 경우 문제 해결 모드를 사용하여 디바이스에서 변조 방지를 일시적으로 사용하지 않도록 설정합니다. 문제 해결 모드가 종료되면 변조로 보호된 설정에 대한 변경 내용이 구성된 상태로 되돌아갑니다.
Microsoft Defender 바이러스 백신 제외 보호
특정 조건에서 변조 방지는 Microsoft Defender 바이러스 백신에 대해 정의된 제외를 보호할 수 있습니다. 자세한 내용은 제외에 대한 변조 보호를 참조하세요.
변조 시도에 대한 정보 보기
변조 시도는 일반적으로 더 큰 사이버 공격이 발생했음을 나타냅니다. 악의적인 행위자가 보안 설정을 유지 및 검색되지 않은 상태로 유지하는 방법으로 변경하려고 합니다. organization 보안 팀의 일원인 경우 이러한 시도에 대한 정보를 보고 위협을 완화하기 위한 적절한 조치를 취할 수 있습니다.
변조 시도가 감지될 때마다 Microsoft Defender 포털(https://security.microsoft.com)에서 경고가 발생합니다.
보안 운영 팀은 엔드포인트용 Microsoft Defender 엔드포인트 검색 및 응답 및 고급 헌팅 기능을 사용하여 이러한 시도를 조사하고 해결할 수 있습니다.
보안 권장 사항 검토
변조 방지는 Microsoft Defender 취약성 관리 기능과 통합됩니다. 보안 권장 사항에는 변조 방지가 켜져 있는지 확인하는 것이 포함됩니다. 예를 들어 취약성 관리 dashboard변조를 검색할 수 있습니다. 결과에서 변조 방지 켜기를 선택하여 자세히 알아보고 켤 수 있습니다.
Microsoft Defender 취약성 관리 대한 자세한 내용은 대시보드 인사이트 - Defender 취약성 관리를 참조하세요.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기