Microsoft Defender XDR 비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩

VDI(가상 데스크톱 인프라)는 최종 사용자가 거의 모든 디바이스(예: 개인용 컴퓨터, 스마트폰 또는 태블릿)에서 엔터프라이즈 가상 데스크톱 인스턴스에 액세스할 수 있도록 하는 IT 인프라 개념으로, organization 사용자에게 물리적 컴퓨터를 제공할 필요가 없습니다. VDI 디바이스를 사용하면 IT 부서가 더 이상 물리적 엔드포인트를 관리, 복구 및 교체할 책임이 없으므로 비용이 절감됩니다. 권한 있는 사용자는 보안 데스크톱 클라이언트 또는 브라우저를 통해 승인된 모든 디바이스에서 동일한 회사 서버, 파일, 앱 및 서비스에 액세스할 수 있습니다.

IT 환경의 다른 시스템과 마찬가지로 이러한 시스템도 고급 위협 및 공격으로부터 보호하기 위해 EDR(엔드포인트 검색 및 대응) 및 바이러스 백신 솔루션이 있어야 합니다.

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

영구 VDI의 - 영구 VDI 머신을 엔드포인트용 Microsoft Defender 온보딩하는 것은 데스크톱 또는 노트북과 같은 물리적 컴퓨터를 온보딩하는 것과 동일한 방식으로 처리됩니다. 그룹 정책, Microsoft Configuration Manager 및 기타 메서드를 사용하여 영구 머신을 온보딩할 수 있습니다. Microsoft Defender 포털의 온https://security.microsoft.com보딩 아래에서 기본 설정 온보딩 방법을 선택하고 해당 형식에 대한 지침을 따릅니다. 자세한 내용은 Windows 클라이언트 온보딩을 참조하세요.

비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩

엔드포인트용 Defender는 비영구 VDI 세션 온보딩을 지원합니다.

VDI 인스턴스를 온보딩할 때 관련 문제가 있을 수 있습니다. 이 시나리오의 일반적인 과제는 다음과 같습니다.

  • 실제 프로비저닝 전에 엔드포인트용 Defender에 온보딩해야 하는 단기 세션의 즉시 조기 온보딩.
  • 디바이스 이름은 일반적으로 새 세션에 다시 사용합니다.

VDI 환경에서 VDI 인스턴스의 수명은 짧을 수 있습니다. VDI 디바이스는 Microsoft Defender 포털에 각 VDI instance 대한 단일 항목 또는 각 디바이스에 대한 여러 항목으로 표시할 수 있습니다.

  • 각 VDI instance 대한 단일 항목입니다. VDI instance 이미 엔드포인트용 Microsoft Defender 온보딩된 후 삭제된 후 동일한 호스트 이름으로 다시 만든 경우 이 VDI instance 나타내는 새 개체가 포털에서 만들어지지 않습니다.

    참고

    이 경우 세션이 만들어질 때(예: 무인 응답 파일을 사용하여) 동일한 디바이스 이름을 구성해야 합니다.

  • 각 디바이스에 대한 여러 항목 - 각 VDI instance 하나씩.

중요

복제 기술을 통해 비영구 VDI를 배포하는 경우 내부 템플릿 VM이 엔드포인트용 Defender에 온보딩되지 않았는지 확인합니다. 이 권장 사항은 복제된 VM이 템플릿 VM과 동일한 senseGuid로 온보딩되지 않도록 하여 VM이 디바이스 목록에 새 항목으로 표시되지 않도록 하는 것입니다.

다음 단계에서는 VDI 디바이스 온보딩을 안내하고 단일 및 여러 항목에 대한 단계를 강조 표시합니다.

경고

리소스 구성이 낮은 환경의 경우 VDI 부팅 프로시저로 인해 엔드포인트용 Defender 센서 온보딩 속도가 느려질 수 있습니다.

온보딩 단계

참고

이 기능이 작동하려면 Windows 서버 온보딩의 지침을 사용하여 먼저 설치 패키지를 적용하여 Windows Server 2016 및 Windows Server 2012 R2를 준비해야 합니다.

  1. 서비스 온보딩 마법사에서 다운로드한 VDI 구성 패키지 .zip 파일(WindowsDefenderATPOnboardingPackage.zip)을 엽니다. Microsoft Defender 포털에서 패키지를 가져올 수도 있습니다.

    1. 탐색 창에서 설정>엔드포인트>디바이스 관리>온보딩을 선택합니다.

    2. 운영 체제를 선택합니다.

    3. 배포 방법 필드에서 비영구 엔드포인트에 대한 VDI 온보딩 스크립트를 선택합니다.

    4. 패키지 다운로드를 클릭하고 .zip 파일을 저장합니다.

  2. .zip 파일에서 추출한 WindowsDefenderATPOnboardingPackage 폴더의 파일을 경로 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup아래의 골든/기본 이미지로 복사합니다.

    1. 각 디바이스에 대해 하나씩 각 세션에 대해 여러 항목을 구현하는 경우 WindowsDefenderATPOnboardingScript.cmd를 복사합니다.

    2. 각 디바이스에 대해 단일 항목을 구현하는 경우 Onboard-NonPersistentMachine.ps1 및 WindowsDefenderATPOnboardingScript.cmd를 모두 복사합니다.

    참고

    폴더가 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 표시되지 않으면 숨겨질 수 있습니다. 파일 탐색기 숨겨진 파일 및 폴더 표시 옵션을 선택해야 합니다.

  3. 로컬 그룹 정책 편집기 창을 열고 컴퓨터 구성>Windows 설정>스크립트>시작으로 이동합니다.

    참고

    도메인 그룹 정책 비영구 VDI 디바이스 온보딩에도 사용할 수 있습니다.

  4. 구현하려는 메서드에 따라 적절한 단계를 수행합니다.

    • 각 디바이스에 대한 단일 항목의 경우:

      PowerShell 스크립트 탭을 선택한 다음 추가를 선택합니다(Windows Explorer 이전에 온보딩 스크립트를 복사한 경로에서 직접 열립니다). PowerShell 스크립트 Onboard-NonPersistentMachine.ps1온보딩으로 이동합니다. 다른 파일은 자동으로 트리거되므로 지정할 필요가 없습니다.

    • 각 디바이스에 대한 여러 항목의 경우:

      스크립트 탭 선택한 다음 추가를 클릭합니다(Windows Explorer 이전에 온보딩 스크립트를 복사한 경로에서 직접 열립니다). 온보딩 bash 스크립트 WindowsDefenderATPOnboardingScript.cmd로 이동합니다.

  5. 솔루션 테스트:

    1. 하나의 디바이스를 사용하여 풀을 만듭니다.

    2. 디바이스에 로그온합니다.

    3. 디바이스에서 로그오프합니다.

    4. 다른 사용자와 함께 디바이스에 로그온합니다.

    5. 구현하려는 메서드에 따라 적절한 단계를 수행합니다.

      • 각 디바이스에 대한 단일 항목의 경우: Microsoft Defender 포털에서 하나의 항목만 확인합니다.
      • 각 디바이스에 대한 여러 항목의 경우: Microsoft Defender 포털에서 여러 항목을 확인합니다.
  6. 탐색 창에서 디바이스 목록을 클릭합니다.

  7. 디바이스 이름을 입력하여 검색 함수를 사용하고 디바이스를 검색 유형으로 선택합니다 .

하위 SKU의 경우(Windows Server 2008 R2)

참고

다른 Windows 서버 버전에 대한 이러한 지침은 MMA가 필요한 Windows Server 2016 및 Windows Server 2012 R2에 대한 이전 엔드포인트용 Microsoft Defender 실행하는 경우에도 적용됩니다. 새 통합 솔루션으로 마이그레이션하는 지침은 엔드포인트용 Microsoft Defender 서버 마이그레이션 시나리오에 있습니다.

다음 레지스트리는 '각 디바이스에 대한 단일 항목'을 달성하는 것이 목표인 경우에만 관련이 있습니다.

  1. 레지스트리 값을 다음으로 설정합니다.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    또는 명령줄 사용:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. 서버 온보딩 프로세스를 따릅니다.

VDI(가상 데스크톱 인프라) 이미지 업데이트(영구 또는 비영구)

VDI에서 실행되는 VM에 업데이트를 쉽게 배포할 수 있는 기능을 통해 이 가이드를 단축하여 머신에서 쉽고 빠르게 업데이트를 받을 수 있는 방법에 초점을 맞춥니다. 업데이트가 호스트 서버의 구성 요소 비트로 확장된 다음 VM이 켜져 있을 때 VM에 직접 다운로드되므로 더 이상 정기적으로 골든 이미지를 만들고 봉인할 필요가 없습니다.

VDI 환경의 기본 이미지(SENSE 서비스가 실행 중임)를 온보딩한 경우 이미지를 다시 프로덕션으로 전환하기 전에 일부 데이터를 오프보딩하고 지워야 합니다.

  1. 컴퓨터를 오프보딩합니다.

  2. CMD 창에서 다음 명령을 실행하여 센서가 중지되었는지 확인합니다.

    sc query sense
    
  3. CMD 창에서 다음 명령을 실행합니다.

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
    exit
    

VDI에 타사 를 사용하고 있나요?

VMware 인스턴트 복제 또는 유사한 기술을 통해 비영구 VDI를 배포하는 경우 내부 템플릿 VM 및 복제본(replica) VM이 엔드포인트용 Defender에 온보딩되지 않았는지 확인합니다. 단일 항목 방법을 사용하여 디바이스를 온보딩하는 경우 온보딩된 VM에서 프로비전된 인스턴트 클론의 senseGuid가 같을 수 있으며 새 항목이 디바이스 인벤토리 보기에 나열되지 않도록 할 수 있습니다(Microsoft Defender 포털에서 자산>디바이스 선택).

기본 이미지, 템플릿 VM 또는 복제본(replica) VM이 단일 입력 방법을 사용하여 엔드포인트용 Defender에 온보딩되는 경우 Defender가 Microsoft Defender 포털에서 새로운 비영구 VDI에 대한 항목을 만들지 못하게 됩니다.

추가 지원을 받으려면 타사 공급업체에 문의하세요.

디바이스를 서비스에 온보딩한 후에는 다음과 같은 권장 구성 설정으로 디바이스를 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.

차세대 보호 구성

다음 구성 설정을 사용하는 것이 좋습니다.

Cloud Protection Service

  • 클라우드 제공 보호 켜기: 예
  • 클라우드 제공 보호 수준: 구성되지 않음
  • Defender Cloud 연장 시간 제한(초): 20

제외

실시간 보호

  • 모든 설정을 켜고 모든 파일을 모니터링하도록 설정

수정

  • 격리된 맬웨어를 유지하는 일 수: 30
  • 샘플 동의 제출: 모든 샘플 자동 보내기
  • 사용자 동의 없이 설치된 앱에 수행할 작업: 사용
  • 검색된 위협에 대한 작업:
    • 낮은 위협: 정리
    • 중간 위협, 높은 위협, 심각한 위협: 격리

검사

  • 보관된 파일 검사: 예
  • 예약된 검사에 낮은 CPU 우선 순위 사용: 구성되지 않음
  • catch-up 전체 검사 사용 안 함: 구성되지 않음
  • Catchup 빠른 검사 사용 안 함: 구성되지 않음
  • 검사당 CPU 사용량 제한: 50
  • 전체 검사 중에 매핑된 네트워크 드라이브 검사: 구성되지 않음
  • 매일 빠른 검사 실행: 오후 12시
  • 검사 유형: 구성되지 않음
  • 예약된 검사를 실행하는 요일: 구성되지 않음
  • 예약된 검사를 실행하는 하루 중 시간: 구성되지 않음
  • 검사를 실행하기 전에 서명 업데이트 확인: 예

업데이트

  • 보안 인텔리전스 업데이트를 검사 빈도 입력: 8
  • 다른 설정은 기본 상태로 둡니다.

사용자 환경

  • Microsoft Defender 앱에 대한 사용자 액세스 허용: 구성되지 않음

변조 방지 사용

  • 변조 방지를 사용하도록 설정하여 Microsoft Defender 사용하지 않도록 설정: 사용

공격 표면 감소

  • 네트워크 보호 사용: 테스트 모드
  • Microsoft Edge용 SmartScreen 필요: 예
  • 악의적인 사이트 액세스 차단: 예
  • 확인되지 않은 파일 다운로드 차단: 예

공격 노출 영역 축소 규칙

  • 감사에 사용 가능한 모든 규칙을 구성합니다.

참고

이러한 활동을 차단하면 합법적인 비즈니스 프로세스가 중단됩니다. 가장 좋은 방법은 감사할 모든 항목을 설정하고, 켜기에 안전한 설정을 지정한 다음, 가양성 검색이 없는 엔드포인트에서 해당 설정을 사용하도록 설정하는 것입니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.