참고
비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.
Microsoft에는 커널에서 실행되는 코드에 대한 엄격한 요구 사항이 있습니다. 따라서 악의적인 행위자는 합법적이고 서명된 커널 드라이버의 취약성을 악용하여 커널에서 맬웨어를 실행하고 있습니다. Windows 플랫폼의 여러 장점 중 하나는 독립 하드웨어 공급업체(IHV) 및 OEM과의 강력한 협업입니다. Microsoft는 IHV 및 보안 커뮤니티와 긴밀히 협력하여 고객을 위한 최고 수준의 드라이버 보안을 보장합니다. 드라이버의 취약성이 발견되면 파트너와 협력하여 신속하게 패치를 적용하고 에코시스템에 배포할 수 있습니다. 취약한 드라이버 차단 목록은 다음 특성으로 Windows 에코시스템 전체에서 타사에서 개발한 드라이버에 대한 시스템을 강화하는 데 도움이 되도록 설계되었습니다.
- 공격자가 Windows 커널의 권한을 높이기 위해 악용할 수 있는 알려진 보안 취약성
- 악성 동작(맬웨어) 또는 맬웨어 서명에 사용되는 인증서
- 악의적이지는 않지만 Windows 보안 모델을 우회하고 공격자가 Windows 커널에서 권한을 높이기 위해 악용할 수 있는 동작
드라이버는 Microsoft 보안 인텔리전스 드라이버 제출 페이지에서 보안 분석을 위해 Microsoft에 제출할 수 있습니다. 드라이버 제출에 대한 자세한 내용은 새 Microsoft 취약 및 악성 드라이버 보고 센터를 사용하여 커널 보안 향상을 참조하세요. 드라이버가 수정된 후 블록 규칙 업데이트를 포함하여 문제를 보고하거나 차단 목록에 대한 변경을 요청하려면 Microsoft 보안 인텔리전스 포털을 방문하세요.
참고
드라이버를 차단하면 디바이스 또는 소프트웨어가 오작동할 수 있으며, 드문 경우면 블루 스크린으로 이어질 수 있습니다. 취약한 드라이버 차단 목록은 취약성이 있는 것으로 확인된 모든 드라이버를 차단하도록 보장되지 않습니다. Microsoft는 취약한 드라이버의 보안 위험과 호환성 및 안정성에 대한 잠재적 영향의 균형을 유지하여 차단 목록을 생성하려고 합니다. 언제나처럼 Microsoft는 가능한 한 보안에 대한 명시적 허용 목록 접근 방식을 사용하는 것이 좋습니다.
Microsoft 취약한 드라이버 차단 목록
Windows 11 2022 업데이트를 사용하면 모든 디바이스에 대해 취약한 드라이버 차단 목록이 기본적으로 사용하도록 설정되며 Windows 보안 앱을 통해 켜거나 끌 수 있습니다. Windows Server 2016 제외하면 메모리 무결성(하이퍼바이저로 보호된 코드 무결성 또는 HVCI라고도 함), 스마트 앱 제어 또는 S 모드가 활성화된 경우에도 취약한 드라이버 차단 목록이 적용됩니다. 사용자는 Windows 보안 앱을 사용하여 HVCI를 옵트인할 수 있으며, HVCI는 대부분의 새로운 Windows 11 디바이스에 대해 기본적으로 설정됩니다.
참고
Windows 보안 OS와 별도로 업데이트되며 기본적으로 제공됩니다. 취약한 드라이버 차단 목록 토글이 있는 버전은 최종 유효성 검사 링에 있으며 곧 모든 고객에게 제공됩니다. 처음에는 구성 상태만 볼 수 있고 토글이 회색으로 표시됩니다. 토글을 켜거나 끄는 기능은 향후 Windows 업데이트와 함께 제공됩니다.
Windows 참가자의 경우 HVCI, 스마트 앱 컨트롤 또는 S 모드를 사용할 때 Windows 보안 설정을 사용하여 Microsoft의 취약한 드라이버 차단 목록을 켜거나 끄는 옵션이 회색으로 표시됩니다. Microsoft 취약한 드라이버 차단 목록을 해제하려면 먼저 HVCI 또는 스마트 앱 컨트롤을 사용하지 않도록 설정하거나 디바이스를 S 모드에서 전환하고 디바이스를 다시 시작해야 합니다.
차단 목록은 일반적으로 연간 1~2회 Windows의 새로운 주요 릴리스로 업데이트됩니다. 현재 가장 최신 차단 목록은 Windows 10 20H2 및 Windows 11 21H2 사용자에게도 Windows 업데이트 선택적 업데이트로 사용할 수 있습니다. Microsoft는 정기적으로 Windows 서비스를 통해 향후 업데이트를 게시하는 경우도 있습니다.
항상 최신 드라이버 차단 목록을 원하는 고객은 비즈니스용 App Control을 사용하여 권장되는 최신 드라이버 차단 목록을 적용할 수도 있습니다. 편의를 위해 이 문서의 끝에 컴퓨터에 적용하는 지침과 함께 가장 최신의 취약한 드라이버 차단 목록 다운로드를 제공합니다.
App Control을 사용하여 취약한 드라이버 차단
보안 위협으로부터 디바이스를 보호하기 위해 HVCI 또는 S 모드를 사용하도록 설정하는 것이 좋습니다. 이 설정을 사용할 수 없는 경우 기존 비즈니스용 앱 제어 정책 내에서 이 드라이버 목록을 차단하는 것이 좋습니다. 충분한 테스트 없이 커널 드라이버를 차단하면 디바이스 또는 소프트웨어가 오작동하고 드문 경우 블루 스크린이 발생할 수 있습니다. 먼저 감사 모드 에서 이 정책의 유효성을 검사하고 감사 블록 이벤트를 검토하는 것이 좋습니다.
중요
또한 애플리케이션이 취약한 서명된 드라이버를 디스크에 쓰지 못하도록 ASR(공격 표면 감소) 규칙을 사용하도록 설정하는 것이 좋습니다. ASR 규칙은 시스템에 이미 존재하는 드라이버의 로드를 차단하지 않지만 Microsoft 취약한 드라이버 차단 목록을 사용하도록 설정하거나 이 App Control 정책을 적용하면 기존 드라이버가 로드되지 않습니다.
취약한 드라이버 차단 목록 이진 파일을 다운로드하고 적용하는 단계
취약한 드라이버 차단 목록을 적용하려면 다음 단계를 수행합니다.
- 앱 제어 정책 새로 고침 도구 다운로드
- 취약한 드라이버 차단 목록 이진 파일 다운로드 및 추출
- 감사 전용 버전 또는 적용된 버전을 선택하고 파일 이름을 SiPolicy.p7b로 바꿉니다.
- SiPolicy.p7b를 %windir%\system32\CodeIntegrity에 복사
- 위의 1단계에서 다운로드한 App Control 정책 새로 고침 도구를 실행하여 컴퓨터의 모든 App Control 정책을 활성화하고 새로 고칩니다.
정책이 컴퓨터에 성공적으로 적용되었는지 검사:
- 이벤트 뷰어를 엽니다.
- 애플리케이션 및 서비스 로그로 이동 - Microsoft - Windows - CodeIntegrity - 운영
- 현재 로그 필터링...을 선택합니다.
- "<모든 이벤트 ID"를> "3099"로 바꾸고 확인을 선택합니다.
- PolicyNameBuffer 및 PolicyIdBuffer가 이 문서의 차단 목록 앱 제어 정책 XML 아래쪽에 있는 이름 및 ID PolicyInfo 설정과 일치하는 3099 이벤트를 찾습니다. 참고: 다른 App Control 정책도 있는 경우 컴퓨터에 둘 이상의 3099 이벤트가 있을 수 있습니다.
참고
정책에 의해 차단되는 취약한 드라이버가 이미 실행 중인 경우 해당 드라이버가 차단되도록 컴퓨터를 다시 부팅해야 합니다. 다시 부팅하지 않고 새 App Control 정책을 활성화할 때 실행 중인 프로세스가 종료되지 않습니다.
취약한 드라이버 차단 목록 XML
권장 차단 목록 xml 정책 파일은 Microsoft 다운로드 센터에서 다운로드할 수 있습니다.
이 정책에는 모든 허용 규칙이 포함됩니다. Windows 버전에서 App Control 여러 정책을 지원하는 경우 기존 App Control 정책과 함께 이 정책을 배포하는 것이 좋습니다. 이 정책을 다른 정책과 병합하려는 경우 다른 정책이 명시적 허용 목록을 적용하는 경우 병합하기 전에 모든 허용 규칙을 제거해야 할 수 있습니다. 자세한 내용은 앱 컨트롤 거부 정책 만들기를 참조하세요.
참고
이 정책을 Windows Server 2016 사용하려면 최신 운영 체제를 실행하는 디바이스에서 정책 XML을 변환해야 합니다.