Configuration Manager에서 Endpoint Protection에 대한 맬웨어 방지 정책을 만들고 배포하는 방법
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 클라이언트 컴퓨터 컬렉션에 맬웨어 방지 정책을 배포하여 Endpoint Protection이 맬웨어 및 기타 위협으로부터 보호하는 방법을 지정할 수 있습니다. 이러한 정책에는 검색 일정, 검사할 파일 및 폴더 유형 및 맬웨어가 검색될 때 수행할 작업에 대한 정보가 포함됩니다. Endpoint Protection을 사용하도록 설정하면 기본 맬웨어 방지 정책이 클라이언트 컴퓨터에 적용됩니다. 제공된 정책 템플릿 중 하나를 사용하거나 환경의 특정 요구 사항을 충족하는 사용자 지정 정책을 만들 수도 있습니다.
Configuration Manager는 미리 정의된 템플릿의 선택을 제공합니다. 다양한 시나리오에 최적화되어 있으며 Configuration Manager로 가져올 수 있습니다. 이러한 템플릿은 ConfigMgr Install Folder>\AdminConsole\XMLStorage\EPTemplates 폴더<에서 사용할 수 있습니다.
중요
새 맬웨어 방지 정책을 만들고 컬렉션에 배포하는 경우 이 맬웨어 방지 정책은 기본 맬웨어 방지 정책을 재정의합니다.
이 항목의 절차를 사용하여 맬웨어 방지 정책을 만들거나 가져오고 계층 구조의 Configuration Manager 클라이언트 컴퓨터에 할당합니다.
참고
이러한 절차를 수행하기 전에 Endpoint Protection 구성에 설명된 대로 Configuration Manager가 Endpoint Protection에 대해 구성되어 있는지 확인합니다.
기본 맬웨어 방지 정책 수정
Configuration Manager 콘솔에서 자산 및 규정 준수를 클릭합니다.
자산 및 규정 준수 작업 영역에서 Endpoint Protection을 확장한 다음 맬웨어 방지 정책을 클릭합니다.
맬웨어 방지 정책 기본 클라이언트 맬웨어 방지 정책을 선택한 다음 홈 탭의 속성 그룹에서 속성을 클릭합니다.
기본 맬웨어 방지 정책 대화 상자에서 이 맬웨어 방지 정책에 필요한 설정을 구성한 다음 확인을 클릭합니다.
참고
구성할 수 있는 설정 목록은 이 항목 의 맬웨어 방지 정책 설정 목록을 참조하세요.
새 맬웨어 방지 정책 만들기
Configuration Manager 콘솔에서 자산 및 규정 준수를 클릭합니다.
자산 및 규정 준수 작업 영역에서 Endpoint Protection을 확장한 다음 맬웨어 방지 정책을 클릭합니다.
홈 탭의 만들기 그룹에서 맬웨어 방지 정책 만들기를 클릭합니다.
맬웨어 방지 정책 만들기 대화 상자의 일반 섹션에서 정책에 대한 이름과 설명을 입력합니다.
맬웨어 방지 정책 만들기 대화 상자에서 이 맬웨어 방지 정책에 필요한 설정을 구성한 다음 확인을 클릭합니다. 구성할 수 있는 설정 목록은 맬웨어 방지 정책 설정 목록을 참조하세요.
새 맬웨어 방지 정책이 맬웨어 방지 정책 목록에 표시되는지 확인합니다.
맬웨어 방지 정책 가져오기
Configuration Manager 콘솔에서 자산 및 규정 준수를 클릭합니다.
자산 및 규정 준수 작업 영역에서 Endpoint Protection을 확장한 다음 맬웨어 방지 정책을 클릭합니다.
홈 탭의 만들기 그룹에서 가져오기를 클릭합니다.
열기 대화 상자에서 가져올 정책 파일로 이동한 다음 열기를 클릭합니다.
맬웨어 방지 정책 만들기 대화 상자에서 사용할 설정을 검토한 다음 확인을 클릭합니다.
새 맬웨어 방지 정책이 맬웨어 방지 정책 목록에 표시되는지 확인합니다.
클라이언트 컴퓨터에 맬웨어 방지 정책 배포
Configuration Manager 콘솔에서 자산 및 규정 준수를 클릭합니다.
자산 및 규정 준수 작업 영역에서 Endpoint Protection을 확장한 다음 맬웨어 방지 정책을 클릭합니다.
맬웨어 방지 정책 목록에서 배포할 맬웨어 방지 정책을 선택합니다. 그런 다음 홈 탭의 배포 그룹에서 배포를 클릭합니다.
참고
배포 옵션은 기본 클라이언트 맬웨어 정책과 함께 사용할 수 없습니다.
컬렉션 선택 대화 상자에서 맬웨어 방지 정책을 배포할 디바이스 컬렉션을 선택한 다음 확인을 클릭합니다.
맬웨어 방지 정책 설정 목록
대부분의 맬웨어 방지 설정은 설명이 아닙니다. 구성하기 전에 자세한 정보가 필요할 수 있는 설정에 대한 자세한 내용은 다음 섹션을 참조하세요.
예약된 검사 설정
검사 유형 - 클라이언트 컴퓨터에서 실행할 두 가지 검사 유형 중 하나를 지정할 수 있습니다.
빠른 검사 - 이 유형의 검사는 일반적으로 맬웨어가 발견되는 메모리 내 프로세스 및 폴더를 확인합니다. 전체 검사보다 적은 리소스가 필요합니다.
전체 검사 - 이 유형의 검사는 빠른 검사에서 검사된 항목에 모든 로컬 파일 및 폴더의 전체 검사를 추가합니다. 이 검사는 빠른 검사보다 오래 걸리며 클라이언트 컴퓨터에서 더 많은 CPU 처리 및 메모리 리소스를 사용합니다.
대부분의 경우 빠른 검사를 사용하여 클라이언트 컴퓨터에서 시스템 리소스 사용을 최소화합니다. 맬웨어 제거에 전체 검사가 필요한 경우 Endpoint Protection은 Configuration Manager 콘솔에 표시되는 경고를 생성합니다. 기본값은 빠른 검사입니다.
참고
엔드포인트가 사용되지 않는 시간에 대한 검사를 예약하는 경우 CPU 제한 구성이 적용되지 않는다는 점에 유의해야 합니다. 검사를 통해 사용 가능한 리소스를 최대한 빠르게 완료할 수 있습니다.
검사 설정
전자 메일 및 전자 메일 첨부 파일 검사 - 예로 설정하여 전자 메일 검사를 켭니다.
USB 드라이브와 같은 이동식 스토리지 디바이스 검사 - 전체 검사 중에 이동식 드라이브를 검사하려면 예로 설정합니다.
네트워크 파일 검사 - 네트워크 파일을 검사하려면 예로 설정합니다.
전체 검사를 실행할 때 매핑된 네트워크 드라이브 검사 - 예로 설정하여 클라이언트 컴퓨터에서 매핑된 네트워크 드라이브를 검사합니다. 이 설정을 사용하도록 설정하면 클라이언트 컴퓨터의 검색 시간이 크게 증가할 수 있습니다.
이 설정을 구성하려면 네트워크 파일 검사 설정을 예로 설정해야 합니다.
기본적으로 이 설정은 아니요로 설정됩니다. 즉, 전체 검사가 매핑된 네트워크 드라이브에 액세스하지 않습니다.
보관된 파일 검색 - 예로 설정하여 .zip 또는 .rar 파일과 같은 보관된 파일을 검색합니다.
사용자가 검사 중에 CPU 사용량을 구성할 수 있도록 허용 - 사용자가 검사 중에 CPU 사용률의 최대 비율을 지정할 수 있도록 하려면 예로 설정합니다. 검사는 사용자가 정의한 최대 부하를 항상 사용하지는 않지만 초과할 수는 없습니다.
예약된 검사의 사용자 제어 - 사용자 제어 수준을 지정합니다. 사용자가 검색 시간만 설정하거나 디바이스에서 바이러스 백신 검사를 완전히 제어 할 수 있도록 허용합니다.
기본 작업 설정
클라이언트 컴퓨터에서 맬웨어가 검색될 때 수행할 작업을 선택합니다. 검색된 맬웨어의 경고 위협 수준에 따라 다음 작업을 적용할 수 있습니다.
권장 - 맬웨어 정의 파일에서 권장되는 작업을 사용합니다.
격리 - 맬웨어를 격리하지만 제거하지는 않습니다.
제거 - 컴퓨터에서 맬웨어를 제거합니다.
허용 - 맬웨어를 제거하거나 격리하지 마세요.
실시간 보호 설정
설정 이름 | 설명 |
---|---|
실시간 보호 사용 | 클라이언트 컴퓨터에 대한 실시간 보호 설정을 구성하려면 예로 설정합니다. 이 설정을 사용하도록 설정하는 것이 좋습니다. |
컴퓨터에서 파일 및 프로그램 활동 모니터링 | Endpoint Protection이 클라이언트 컴퓨터에서 파일 및 프로그램이 실행되기 시작하는 시기를 모니터링하고 해당 컴퓨터에서 수행된 작업 또는 수행된 작업에 대해 경고하도록 하려면 예로 설정합니다. |
시스템 파일 검사 | 이 설정을 사용하면 들어오는 시스템 파일, 나가는 시스템 파일 또는 들어오는 시스템 파일이 맬웨어에 대해 모니터링되는지 여부를 구성할 수 있습니다. 성능상의 이유로 서버에서 들어오거나 나가는 파일 작업이 많은 경우 들어오는 파일과 나가는 파일 검사 의 기본값을 변경해야 할 수 있습니다. |
동작 모니터링 사용 | 컴퓨터 활동 및 파일 데이터를 사용하여 알 수 없는 위협을 감지하려면 이 설정을 사용하도록 설정합니다. 이 설정을 사용하도록 설정하면 컴퓨터에서 맬웨어를 검사하는 데 필요한 시간이 늘어나게 될 수 있습니다. |
네트워크 기반 익스플로잇에 대한 보호 사용 | 네트워크 트래픽을 검사하고 의심스러운 활동을 차단하여 알려진 네트워크 악용으로부터 컴퓨터를 보호하려면 이 설정을 사용하도록 설정합니다. |
스크립트 검사 사용 | 서비스 팩만 없는 Configuration Manager의 경우 컴퓨터에서 실행되는 스크립트에서 의심스러운 활동을 검색하려는 경우 이 설정을 사용하도록 설정합니다. |
다운로드 시 및 설치 전에 잠재적으로 원치 않는 애플리케이션 차단 |
PUA(잠재적 원치 않는 애플리케이션) 는 평판 및 연구 기반 식별을 기반으로 하는 위협 분류입니다. 가장 일반적으로 이러한 애플리케이션은 원치 않는 애플리케이션 번들 또는 번들 애플리케이션입니다. Microsoft Edge는 잠재적으로 원치 않는 애플리케이션을 차단하는 설정도 제공합니다. 원치 않는 애플리케이션에 대한 완전한 보호를 위해 이러한 옵션을 살펴봅니다. 이 보호 정책 설정은 사용할 수 있으며 기본적으로 사용으로 설정됩니다 . 사용하도록 설정하면 이 설정은 다운로드 및 설치 시 PUA를 차단합니다. 그러나 비즈니스 또는 조직의 특정 요구 사항에 맞게 특정 파일 또는 폴더를 제외할 수 있습니다. Configuration Manager 버전 2107부터 이 설정을 감사 하도록 선택할 수 있습니다. 감사 모드에서 PUA 보호를 사용하여 원치 않는 애플리케이션을 차단하지 않고 검색합니다. 감사 모드의 PUA 보호는 회사에서 PUA 보호를 사용하도록 설정하는 것이 사용자 환경에 미칠 영향을 측정하려는 경우에 유용합니다. 감사 모드에서 보호를 사용하도록 설정하면 차단 모드에서 보호를 사용하도록 설정하기 전에 엔드포인트에 미치는 영향을 확인할 수 있습니다. |
제외 설정
Configuration Manager 2012 및 현재 분기에서 제외에 권장되는 폴더, 파일 및 프로세스에 대한 자세한 내용은 Configuration Manager 2012 및 현재 분기 사이트 서버, 사이트 시스템 및 클라이언트에 권장되는 바이러스 백신 제외를 참조하세요.
제외된 파일 및 폴더:
설정을 클릭하여 파일 및 폴더 제외 구성 대화 상자를 열고 Endpoint Protection 검사에서 제외할 파일 및 폴더의 이름을 지정합니다.
매핑된 네트워크 드라이브에 있는 파일 및 폴더를 제외하려면 네트워크 드라이브에 있는 각 폴더의 이름을 개별적으로 지정합니다. 예를 들어 네트워크 드라이브가 F:\MyFolder로 매핑되고 Folder1, Folder2 및 Folder 3이라는 하위 폴더가 포함된 경우 다음 제외를 지정합니다.
F:\MyFolder\Folder1
F:\MyFolder\Folder2
F:\MyFolder\Folder3
버전 1602부터 디바이스 제외를 허용하도록 맬웨어 방지 정책의 제외 설정 섹션에 있는 기존 제외 파일 및 폴더 설정이 개선되었습니다. 예를 들어 이제 다음을 제외로 지정할 수 있습니다. \device\mvfs (Multiversion 파일 시스템의 경우). 정책은 디바이스 경로의 유효성을 검사하지 않습니다. Endpoint Protection 정책은 디바이스 문자열을 해석할 수 있어야 하는 클라이언트의 맬웨어 방지 엔진에 제공됩니다.
제외된 파일 형식:
설정을 클릭하여 파일 형식 제외 구성 대화 상자를 열고 Endpoint Protection 검사에서 제외할 파일 확장자를 지정합니다. 제외 목록에서 항목을 정의할 때 와일드카드를 사용할 수 있습니다. 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요.
제외된 프로세스:
설정을 클릭하여 프로세스 제외 구성 대화 상자를 열고 Endpoint Protection 검사에서 제외할 프로세스를 지정합니다. 제외 목록에서 항목을 정의할 때 와일드카드를 사용할 수 있지만 몇 가지 제한 사항이 있습니다. 자세한 내용은 프로세스 제외 목록에서 와일드카드 사용을 참조하세요.
참고
디바이스가 둘 이상의 맬웨어 방지 정책을 대상으로 하는 경우 바이러스 백신 제외에 대한 설정은 클라이언트에 적용되기 전에 병합됩니다.
고급 설정
재분석 지점 검사 사용 - Endpoint Protection에서 NTFS 재분석 지점을 검사하려면 예로 설정합니다.
재분석 지점에 대한 자세한 내용은 Windows 개발자 센터의 재분석 지점을 참조하세요.
예약된 검사 시작 시간(30분 이내)을 임의로 설정 - 모든 컴퓨터가 맬웨어 방지 검사 결과를 Configuration Manager 데이터베이스에 동시에 보낼 때 발생할 수 있는 네트워크 홍수를 방지하려면 예로 설정합니다. Windows Defender 바이러스 백신의 경우 검사 시작 시간을 0~4시간 간격 또는 FEP 및 SCEP의 경우 모든 간격에 30분을 더하거나 뺀 간격으로 임의로 지정합니다. 이는 VM 또는 VDI 배포에서 유용할 수 있습니다. 이 설정은 단일 호스트에서 여러 가상 머신을 실행하는 경우에도 유용합니다. 맬웨어 방지 검사를 위해 동시 디스크 액세스의 양을 줄이려면 이 옵션을 선택합니다.
Configuration Manager 버전 1602부터 맬웨어 방지 엔진은 추가 분석을 위해 파일 샘플을 Microsoft로 보내도록 요청할 수 있습니다. 기본적으로 이러한 샘플을 보내기 전에 항상 프롬프트가 표시됩니다. 이제 관리자는 다음 설정을 관리하여 이 동작을 구성할 수 있습니다.
자동 샘플 파일 제출을 사용하도록 설정하여 Microsoft에서 검색된 특정 항목이 악성 항목인지 여부를 확인하는 데 도움이 되며 자동 샘플 파일 제출을 사용하도록 설정하려면 예로 설정합니다. 기본적으로 이 설정은 아니요 입니다. 즉, 자동 샘플 파일 제출이 비활성화되고 샘플을 보내기 전에 사용자에게 메시지가 표시됩니다.
사용자가 자동 샘플 파일 제출 설정을 수정할 수 있도록 허용 - 디바이스에 대한 로컬 관리자 권한이 있는 사용자가 클라이언트 인터페이스에서 자동 샘플 파일 제출 설정을 변경할 수 있는지 여부를 결정합니다. 기본적으로 이 설정은 Configuration Manager 콘솔에서만 변경할 수 있으며 디바이스의 로컬 관리자는 이 구성을 변경할 수 없음을 의미하는 "아니요"입니다.
예를 들어 다음은 관리자가 사용하도록 설정한 설정과 사용자의 변경을 방지하기 위해 회색으로 표시된 설정을 보여 줍니다.
위협 재정의 설정
위협 이름 및 재정의 작업 - 설정 을 클릭하여 검사 중에 검색될 때 각 위협 ID에 대해 수행할 수정 작업을 사용자 지정합니다.
참고
Endpoint Protection 구성 직후에는 위협 이름 목록을 사용할 수 없습니다. Endpoint Protection 지점이 위협 정보를 동기화할 때까지 기다린 다음 다시 시도합니다.
Cloud Protection Service
Cloud Protection Service를 사용하면 관리되는 시스템에서 검색된 맬웨어 및 수행된 작업에 대한 정보를 수집할 수 있습니다. 이 정보는 Microsoft로 전송됩니다.
Cloud Protection Service 멤버 자격
- Cloud Protection Service에 가입하지 않음 - 정보가 전송되지 않음
- 기본 - 검색된 맬웨어 목록 수집 및 보내기
- 고급 - 기본 정보뿐만 아니라 개인 정보를 포함할 수 있는 보다 포괄적인 정보입니다. 예를 들어 파일 경로 및 부분 메모리 덤프입니다.
사용자가 Cloud Protection Service 설정을 수정할 수 있도록 허용 - Cloud Protection Service 설정에 대한 사용자 제어를 전환합니다.
의심스러운 파일 차단 수준 - Endpoint Protection Cloud Protection Service에서 의심스러운 파일을 차단할 수준을 지정합니다.
- 일반 - 기본 Windows Defender 차단 수준
- 높음 - 성능을 최적화하는 동안 알 수 없는 파일을 적극적으로 차단합니다(유해하지 않은 파일을 차단할 가능성이 높음)
- 높은 추가 보호 기능 - 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 디바이스 성능에 영향을 미칠 수 있습니다).
- 알 수 없는 프로그램 차단 - 알 수 없는 모든 프로그램 차단
확장된 클라우드 검사가 최대(초) 차단 및 검색 허용 - 서비스에서 파일이 악성으로 알려져 있지 않은지 확인하는 동안 Cloud Protection Service에서 파일을 차단할 수 있는 시간(초)을 지정합니다.
참고
이 설정에 대해 선택하는 시간(초)은 기본 10초 제한 시간 외에 입니다. 예를 들어 0초를 입력하면 Cloud Protection Service에서 파일을 10초 동안 차단합니다.
Cloud Protection Service 보고 세부 정보
빈도 | 수집되거나 전송된 데이터 | 데이터 사용 |
---|---|---|
Windows Defender가 바이러스 및 스파이웨어 보호 또는 정의 파일을 업데이트하는 경우 | - 바이러스 및 스파이웨어 정의 버전 - 바이러스 및 스파이웨어 보호 버전 |
Microsoft는 이 정보를 사용하여 최신 바이러스 및 스파이웨어 업데이트가 컴퓨터에 있는지 확인합니다. 존재하지 않으면 Windows Defender가 자동으로 업데이트되므로 컴퓨터 보호가 최신 상태로 유지됩니다. |
Windows Defender가 컴퓨터에서 잠재적으로 유해하거나 원치 않는 소프트웨어를 발견한 경우 | - 잠재적으로 유해하거나 원치 않는 소프트웨어 의 이름 - 소프트웨어 발견 방법 - Windows Defender가 소프트웨어를 처리하기 위해 취한 모든 작업 - 소프트웨어 의 영향을 받는 파일 - 제조업체의 컴퓨터에 대한 정보(Sysconfig, SysModel, SysMarker) |
Windows Defender는 이 정보를 사용하여 잠재적으로 원치 않는 소프트웨어의 유형과 심각도 및 최선의 조치를 결정합니다. 또한 Microsoft는 이 정보를 사용하여 바이러스 및 스파이웨어 보호의 정확도를 향상시킵니다. |
한 달에 한 번 | - 바이러스 및 스파이웨어 정의 업데이트 상태 - 실시간 바이러스 및 스파이웨어 모니터링 상태(켜기 또는 끄기) |
Windows Defender는 이 정보를 사용하여 컴퓨터에 최신 바이러스 및 스파이웨어 보호 버전 및 정의가 있는지 확인합니다. Microsoft는 또한 실시간 바이러스 및 스파이웨어 모니터링이 켜져 있는지 확인하려고 합니다. 이는 잠재적으로 유해하거나 원치 않는 소프트웨어로부터 컴퓨터를 보호하는 데 중요한 부분입니다. |
설치하는 동안 또는 사용자가 컴퓨터의 바이러스 및 스파이웨어 검사를 수동으로 수행할 때마다 | 컴퓨터 메모리의 실행 중인 프로세스 목록 | 잠재적으로 유해한 소프트웨어에 의해 손상되었을 수 있는 프로세스를 식별합니다. |
Microsoft는 파일 자체의 내용이 아니라 영향을 받는 파일의 이름만 수집합니다. 이 정보는 특정 위협에 특히 취약한 시스템을 결정하는 데 도움이 됩니다.
정의 업데이트 설정
Endpoint Protection 클라이언트 업데이트에 대한 원본 및 순서 설정 - 원본 설정을 클릭하여 정의 및 검사 엔진 업데이트의 원본을 지정합니다. 이러한 원본이 사용되는 순서를 지정할 수도 있습니다. Configuration Manager가 원본 중 하나로 지정된 경우 소프트웨어 업데이트가 클라이언트 업데이트를 다운로드하지 못하는 경우에만 다른 원본이 사용됩니다.
다음 방법 중에서 클라이언트 컴퓨터의 정의를 업데이트하는 경우 클라이언트 컴퓨터는 인터넷에 액세스할 수 있어야 합니다.
Microsoft 업데이트에서 배포된 업데이트
Microsoft 맬웨어 보호 센터에서 배포된 업데이트
중요
클라이언트는 기본 제공 시스템 계정을 사용하여 정의 업데이트를 다운로드합니다. 이러한 클라이언트가 인터넷에 연결할 수 있도록 이 계정에 대한 프록시 서버를 구성해야 합니다.
클라이언트 컴퓨터에 정의 업데이트를 제공하도록 소프트웨어 업데이트 자동 배포 규칙을 구성한 경우 이러한 업데이트는 정의 업데이트 설정에 관계없이 제공됩니다.