Windows에 대한 인증된 검사

적용 대상:

• Microsoft Defender 취약성 관리
• Microsoft Defender XDR
• 서버 플랜 2에 대한 Microsoft Defender

참고

이 기능을 사용하려면 독립 실행형 Microsoft Defender 취약성 관리 필요하거나 이미 엔드포인트용 Microsoft Defender 플랜 2 고객인 경우 Defender 취약성 관리 추가 기능이 필요합니다.

Windows에 대한 인증된 검사는 관리되지 않는 Windows 디바이스에서 검사를 실행하는 기능을 제공합니다. IP 범위 또는 호스트 이름을 기준으로 원격으로 대상으로 지정하고 디바이스에 원격으로 액세스할 수 있는 자격 증명을 Microsoft Defender 취약성 관리 제공하여 Windows 서비스를 검색할 수 있습니다. 구성된 후에는 대상 비관리형 디바이스가 소프트웨어 취약성에 대해 정기적으로 검사됩니다. 기본적으로 검사는 이 간격을 변경하거나 한 번만 실행하도록 하는 옵션과 함께 4시간마다 실행됩니다.

그런 다음 보안 관리자는 최신 보안 권장 사항을 확인하고 Microsoft Defender 포털에서 대상 디바이스에 대해 최근에 검색된 취약성을 검토할 수 있습니다.

팁

Microsoft Defender 취약성 관리 모든 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? 무료 평가판에 등록하는 방법을 알아보세요.

스캐너 설치

네트워크 디바이스 인증 검사와 마찬가지로 스캐너가 설치된 검사 디바이스가 필요합니다. 스캐너가 아직 설치되어 있지 않은 경우 스캐너 설치를 참조하여 스캐너를 다운로드하고 설치하는 방법에 대한 단계를 참조하세요.

참고

기존 설치된 스캐너에는 변경이 필요하지 않습니다.

필수 구성 요소

다음 섹션에서는 Windows에 대해 인증된 검사를 사용하도록 구성해야 하는 필수 구성 요소를 나열합니다.

계정 검사

디바이스에 원격으로 액세스하려면 검사 계정이 필요합니다. gMsa(그룹 관리 서비스 계정)여야 합니다.

참고

gMSA 계정은 필요한 검사 권한만 있는 최소 권한 계정이며 정기적으로 암호를 순환하도록 설정되어 있는 것이 좋습니다.

gMsa 계정을 만들려면 다음을 수행합니다.

1. PowerShell 창의 도메인 컨트롤러에서 다음을 실행합니다.

   New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
   

   • gmsa1은 만드는 계정의 이름을 의미하며, scanner-win11-I$는 스캐너 에이전트가 실행되는 컴퓨터 이름을 의미합니다. 이 컴퓨터만 계정 암호를 검색할 수 있습니다. 쉼표로 구분된 컴퓨터 목록을 제공할 수 있습니다.
   • Get-ADServiceAccount 및 Set-ADServiceAccount를 사용하여 기존 계정 수정을 수행할 수 있습니다.

2. AD 서비스 계정을 설치하려면 관리자 권한 PowerShell 창을 사용하여 스캐너 에이전트가 실행되는 컴퓨터에서 다음을 실행합니다.

   Install-ADServiceAccount -Identity gmsa1
   

PowerShell에서 이러한 명령을 인식하지 못하는 경우 필요한 PowerShell 모듈이 누락된 것일 수 있습니다. 모듈을 설치하는 방법에 대한 지침은 운영 체제에 따라 달라집니다. 자세한 내용은 그룹 관리 서비스 계정으로 시작 참조하세요.

검사할 디바이스

검사할 각 디바이스에서 검사 계정에 필요한 권한과 함께 필요한 구성에 대한 지침은 아래 표를 사용합니다.

참고

아래 단계는 검사할 각 디바이스에 대한 권한을 구성하고 성능 모니터 사용자 그룹을 사용하는 권장되는 한 가지 방법일 뿐입니다. 다음과 같은 방법으로 권한을 구성할 수도 있습니다.

• 계정을 다른 사용자 그룹에 추가하고 해당 그룹에 필요한 모든 권한을 부여합니다.
• 검사 계정에 이러한 권한을 명시적으로 부여합니다.

그룹 정책을 사용하여 검사할 디바이스 그룹에 권한을 구성하고 적용하려면 그룹 정책을 사용하여 디바이스 그룹 구성을 참조하세요.

검사할 디바이스 요구 사항	설명
WMI(Windows Management Instrumentation)가 사용하도록 설정됨	원격 WMI(Windows Management Instrumentation)를 사용하도록 설정하려면 다음을 수행합니다. Windows Management Instrumentation 서비스가 실행 중인지 확인합니다. 제어판>모든 제어판 항목>Windows Defender 방화벽>허용 애플리케이션으로 이동하여 Windows 방화벽을 통해 WMI(Windows Management Instrumentation)가 허용되는지 확인합니다.
검색 계정은 성능 모니터 사용자 그룹의 구성원입니다.	검사 계정은 검색할 디바이스의 성능 모니터 사용자 그룹의 구성원이어야 합니다.
성능 모니터 사용자 그룹에는 루트/CIMV2 WMI 네임스페이스에 대한 '계정 사용' 및 '원격 사용' 권한이 있습니다.	이러한 권한을 확인하거나 사용하도록 설정하려면 다음을 수행합니다. wmimgmt.msc를 실행합니다. WMI 컨트롤(로컬)을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 보안 탭으로 이동합니다. 관련 WMI 네임스페이스를 선택하고 보안을 선택합니다. 지정된 그룹을 추가하고 를 선택하여 특정 권한을 허용합니다. 고급을 선택하고, 지정된 항목을 선택하고, 편집을 선택합니다. 적용 대상을 "이 네임스페이스 및 하위 네임스페이스"로 설정합니다.
성능 모니터 사용자 그룹에는 DCOM 작업에 대한 권한이 있어야 합니다.	이러한 권한을 확인하거나 사용하도록 설정하려면 다음을 수행합니다. dcomcnfg를 실행합니다. 구성 요소 서비스>컴퓨터>내 컴퓨터로 이동합니다. 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. COM 보안 탭으로 이동합니다. 시작 및 활성화 권한으로 이동하여 제한 편집을 선택합니다. 지정된 그룹을 추가하고 를 선택하여 원격 활성화를 허용합니다.

그룹 정책을 사용하여 디바이스 그룹 구성

그룹 정책을 사용하면 검사 계정에 필요한 권한뿐만 아니라 필요한 구성을 검사할 디바이스 그룹에 대량으로 적용할 수 있습니다.

도메인 컨트롤러에서 다음 단계를 수행하여 디바이스 그룹을 동시에 구성합니다.

단계	설명
새 그룹 정책 개체 만들기	도메인 컨트롤러에서 그룹 정책 관리 콘솔을 엽니다. 다음 단계에 따라 그룹 정책 개체를 Create. 그룹 정책 개체(GPO)가 만들어지면 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 선택하여 그룹 정책 관리 편집기 콘솔을 열고 아래 단계를 완료합니다.
WMI(Windows Management Instrumentation) 사용	원격 WMI(Windows Management Instrumentation)를 사용하도록 설정하려면 다음을 수행합니다. 컴퓨터 구성>정책>Windows 설정>보안 설정>시스템 서비스로 이동합니다. Windows 관리 계측을 마우스 오른쪽 단추로 클릭합니다. 이 정책 정의 설정 상자를 선택하고 자동을 선택합니다.
방화벽을 통해 WMI 허용	방화벽을 통해 WMI(Windows Management Instrumentation)를 허용하려면 다음을 수행합니다. 컴퓨터 구성>정책>Windows 설정>보안 설정>Windows Defender 방화벽 및 고급 보안>인바운드 규칙으로 이동합니다. 마우스 오른쪽 단추를 클릭하고 새 규칙을 선택합니다. 미리 정의된 를 선택하고 목록에서 WMI(Windows Management Instrumentation)를 선택합니다. 그런 후 다음을 선택합니다. Windows 관리 계측(WMI-In) 확인란을 선택합니다. 그런 후 다음을 선택합니다. 연결 허용을 선택합니다. 그런 다음 마침을 선택합니다. 새로 추가된 규칙을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 고급 탭으로 이동하여 도메인만 필요하기 때문에 프라이빗 및 퍼블릭 옵션을 선택 취소합니다.
DCOM 작업을 수행할 수 있는 권한 부여	DCOM 작업을 수행할 수 있는 권한을 부여하려면 다음을 수행합니다. 컴퓨터 구성>정책>Windows 설정보안 설정>>로컬 정책>보안 작업으로 이동합니다. SDDL(보안 설명자 정의 언어) 구문에서 DCOM: 컴퓨터 시작 제한을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이 정책 설정 정의를 선택하고 보안 편집을 선택합니다. 권한을 부여할 사용자 또는 그룹을 추가하고 원격 활성화를 선택합니다.
그룹 정책을 통해 PowerShell 스크립트를 실행하여 Root\CIMV2 WMI 네임스페이스에 권한을 부여합니다.	PowerShell 스크립트를 Create. 필요에 따라 수정할 수 있는 권장 스크립트는 이 문서의 뒷부분에 있는 PowerShell 스크립트 예제 를 참조하세요. 컴퓨터 구성>정책>Windows 설정>스크립트(시작/종료)시작으로> 이동합니다. PowerShell 스크립트 탭으로 이동합니다. 파일 표시를 선택하고 만든 스크립트를 이 폴더에 복사합니다. 스크립트 구성 창으로 돌아가 서 추가를 선택합니다. 스크립트 이름을 입력합니다.

예제 PowerShell 스크립트

다음 PowerShell 스크립트를 시작점으로 사용하여 그룹 정책을 통해 Root\CIMV2 WMI 네임스페이스에 권한을 부여합니다.

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

GPO 정책이 디바이스에 적용되면 필요한 모든 설정이 적용되고 gMSA 계정이 디바이스에 액세스하고 검색할 수 있습니다.

인증된 새 검사 구성

인증된 새 검사를 구성하려면 다음을 수행합니다.

1. Microsoft Defender 포털에서 설정>디바이스 검색>인증 검사로 이동합니다.

2. 새 검사 추가를 선택하고 Windows 인증 검사를 선택하고 다음을 선택합니다.

   

3. 스캔 이름을 입력합니다.

4. 검사 디바이스 선택: 관리되지 않는 디바이스를 검사하는 데 사용할 온보딩된 디바이스입니다.

5. 대상(범위): 검사할 IP 주소 범위 또는 호스트 이름을 입력합니다. 주소를 입력하거나 CSV 파일을 가져올 수 있습니다. 파일을 가져오면 수동으로 추가된 주소가 재정의됩니다.

6. 검사 간격 선택: 기본적으로 검사는 4시간마다 실행되며, '반복 안 함'을 선택하여 검사 간격을 변경하거나 한 번만 실행하도록 할 수 있습니다.

7. 인증 방법 선택 - 다음 두 가지 옵션 중에서 선택할 수 있습니다.

   • Kerberos(기본 설정)
   • 협상

   참고

   협상 옵션은 Kerberos가 실패하는 경우 NTLM으로 대체됩니다. 보안 프로토콜이 아니기 때문에 NTLM을 사용하지 않는 것이 좋습니다.

8. Microsoft Defender 취약성 관리 원격으로 디바이스에 액세스하는 데 사용할 자격 증명을 입력합니다.

   • Azure KeyVault 사용: Azure KeyVault에서 자격 증명을 관리하는 경우 검색 디바이스에서 액세스할 Azure KeyVault URL 및 Azure KeyVault 비밀 이름을 입력하여 자격 증명을 제공할 수 있습니다.
   • Azure KeyVault 비밀 값의 경우 도메인 형식의 gMSA 계정 세부 정보를 사용합니다. 사용자

9. 다음을 선택하여 테스트 검사를 실행하거나 건너뜁니다. 테스트 검사에 대한 자세한 내용은 네트워크 디바이스 검사 및 추가를 참조하세요.

10. 다음을 선택하여 설정을 검토한 다음 제출을 선택하여 새 인증된 검사를 만듭니다.

참고

인증된 스캐너는 현재 FIPS(Federal Information Processing Standards)를 준수하지 않는 암호화 알고리즘을 사용하므로 organization FIPS 규격 알고리즘 사용을 적용할 때 스캐너가 작동할 수 없습니다.

FIPS를 준수하지 않는 알고리즘을 허용하려면 스캐너가 실행되는 디바이스에 대해 레지스트리에서 다음 값을 설정합니다. Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD 값이 Enabled 이고 값이 0x0

FIPS 준수 알고리즘은 미국 연방 정부의 부서 및 기관과 관련하여만 사용됩니다.

Windows API에 대한 인증된 검사

API를 사용하여 새 검사를 만들고 organization 구성된 모든 기존 검사를 볼 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

• 모든 검사 정의 가져오기
• 검사 정의 추가, 삭제 또는 업데이트
• 모든 검사 에이전트 가져오기
• ID로 검사 에이전트 가져오기
• 정의별 검사 기록 가져오기
• 세션별 검사 기록 가져오기

관련 문서

• 네트워크 장치