제어된 폴더 액세스 사용

적용 대상:

플랫폼

  • Windows

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱 및 위협으로부터 중요한 데이터를 보호하는 데 도움이 됩니다. 제어된 폴더 액세스는 Windows 10, Windows 11 및 Windows Server 2019에 포함됩니다. 제어된 폴더 액세스는 Windows Server 2012R2 및 2016용 최신 통합 솔루션의 일부로도 포함됩니다.

다음 방법 중 하나라도 사용하여 제어된 폴더 액세스를 사용하도록 설정할 수 있습니다.

organization 일반적인 디바이스 사용량에 영향을 주지 않고 기능이 작동하는 방식을 확인하고 이벤트를 검토할 수 있도록 처음에는 감사 모드를 사용해 보세요.

로컬 관리자 목록 병합을 사용하지 않도록 설정하는 그룹 정책 설정은 제어된 폴더 액세스 설정을 재정의합니다. 또한 제어된 폴더 액세스를 통해 로컬 관리자가 설정한 보호된 폴더 및 허용된 앱을 재정의합니다. 이러한 정책은 다음과 같습니다.

  • Microsoft Defender 바이러스 백신 목록에 대한 로컬 관리자 병합 동작 구성
  • System Center Endpoint Protection 사용자가 제외 및 재정의를 추가할 수 있도록 허용

로컬 목록 병합을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 사용자가 Microsoft Defender 바이러스 백신 정책 설정을 로컬로 수정하도록 방지 또는 허용을 참조하세요.

Windows 보안 앱

  1. 작업 표시줄에서 방패 아이콘을 선택해 Windows 보안 앱을 엽니다. 시작 메뉴에서 Windows 보안 검색할 수도 있습니다.

  2. 바이러스 & 위협 방지 타일(또는 왼쪽 메뉴 모음의 방패 아이콘)을 선택한 다음 랜섬웨어 보호를 선택합니다.

  3. 제어된 폴더 액세스에 대한 스위치를 기로 설정합니다.

참고

*이 방법은 Windows Server 2012R2 또는 2016에서 사용할 수 없습니다.

제어된 폴더 액세스가 그룹 정책, PowerShell 또는 MDM CSP로 구성된 경우 디바이스를 다시 시작한 후 Windows 보안 앱에서 상태가 변경됩니다. 해당 도구를 사용하여 기능이 감사 모드로 설정된 경우 Windows 보안 앱은 상태를 기로 표시합니다. 사용자 프로필 데이터를 보호하는 경우 사용자 프로필이 기본 Windows 설치 드라이브에 있어야 합니다.

Microsoft Intune

  1. Microsoft Intune 관리 센터에 로그인하고 Endpoint Security를 엽니다.

  2. 공격 표면 감소>정책으로 이동합니다.

  3. 플랫폼을 선택하고 Windows 10, Windows 11 및 Windows Server를 선택하고 공격 표면 감소 규칙>만들기 프로필을 선택합니다.

  4. 정책 이름을 지정하고 설명을 추가합니다. 다음을 선택합니다.

  5. 아래로 스크롤하고 제어된 폴더 액세스 사용 드롭다운에서 감사 모드와 같은 옵션을 선택합니다.

    먼저 감사 모드에서 제어된 폴더 액세스를 사용하도록 설정하여 organization 작동 방식을 확인하는 것이 좋습니다. 나중에 사용과 같은 다른 모드로 설정할 수 있습니다.

  6. 필요에 따라 보호해야 하는 폴더를 추가하려면 제어된 폴더 액세스 보호된 폴더를 선택한 다음 폴더를 추가합니다. 이러한 폴더의 파일은 신뢰할 수 없는 애플리케이션에서 수정하거나 삭제할 수 없습니다. 기본 시스템 폴더는 자동으로 보호됩니다. Windows 디바이스의 Windows 보안 앱에서 기본 시스템 폴더 목록을 볼 수 있습니다. 이 설정에 대한 자세한 내용은 정책 CSP - Defender: ControlledFolderAccessProtectedFolders를 참조하세요.

  7. 필요에 따라 신뢰할 수 있는 애플리케이션을 추가하려면 제어된 폴더 액세스 허용 애플리케이션 을 선택한 다음, 보호된 폴더에 액세스할 수 있는 앱을 추가합니다. Microsoft Defender 바이러스 백신은 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 이 설정만 사용하여 추가 애플리케이션을 지정합니다. 이 설정에 대한 자세한 내용은 정책 CSP - Defender: ControlledFolderAccessAllowedApplications를 참조하세요.

  8. 프로필 할당을 선택하고 모든 사용자 & 모든 디바이스에 할당하고 저장을 선택합니다.

  9. 다음을 선택하여 열려 있는 각 블레이드를 저장한 다음, 만들기를 선택합니다.

참고

와일드카드는 애플리케이션에 대해 지원되지만 폴더에는 지원되지 않습니다. 하위 폴더는 보호되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.

MDM(모바일 장치 관리)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders CSP(구성 서비스 공급자)를 사용하여 앱이 보호된 폴더를 변경할 수 있도록 합니다.

Microsoft Configuration Manager

  1. Microsoft Configuration Manager 자산 및 규정 준수>엔드포인트 보호>Windows Defender Exploit Guard로 이동합니다.

  2. >만들기 Exploit Guard 정책을 선택합니다.

  3. 이름 및 설명을 입력하고 , 제어된 폴더 액세스를 선택하고, 다음을 선택합니다.

  4. 변경 내용을 차단하거나 감사할지, 다른 앱을 허용할지 또는 다른 폴더를 추가할지를 선택하고 다음을 선택합니다.

    참고

    와일드카드는 애플리케이션에서 지원되지만 폴더에는 지원되지 않습니다. 하위 폴더는 보호되지 않습니다. 허용되는 앱은 다시 시작될 때까지 이벤트를 계속 트리거합니다.

  5. 설정을 검토하고 다음 을 선택하여 정책을 만듭니다.

  6. 정책을 만든 후 닫습니다.

그룹 정책

  1. 그룹 정책 관리 디바이스에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

  2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

  3. 트리를 Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 제어 폴더 액세스로 확장합니다.

  4. 제어된 폴더 액세스 구성 설정을 두 번 클릭하고 옵션을 사용으로 설정합니다. 옵션 섹션에서 다음 옵션 중 하나를 지정해야 합니다.

    • 사용 - 악의적이고 의심스러운 앱은 보호된 폴더의 파일을 변경할 수 없습니다. Windows 이벤트 로그에 알림이 제공됩니다.
    • 사용 안 함(기본값) - 제어된 폴더 액세스 기능이 작동하지 않습니다. 모든 앱은 보호된 폴더의 파일을 변경할 수 있습니다.
    • 감사 모드 - 악의적이거나 의심스러운 앱이 보호된 폴더의 파일을 변경하려고 하면 변경이 허용됩니다. 그러나 organization 미치는 영향을 평가할 수 있는 Windows 이벤트 로그에 기록됩니다.
    • 디스크 수정만 차단 - 신뢰할 수 없는 앱이 디스크 섹터에 쓰려는 시도는 Windows 이벤트 로그에 기록됩니다. 이러한 로그는 애플리케이션 및 서비스 로그> Microsoft > Windows > Windows Defender > 운영 > ID 1123에서 찾을 수 있습니다.
    • 디스크 수정만 감사 - 보호된 디스크 섹터에 대한 쓰기 시도만 Windows 이벤트 로그에 기록됩니다(애플리케이션 및 서비스 로그>Microsoft>Windows>Windows Defender>옵터레이션>ID 1124). 보호된 폴더의 파일을 수정하거나 삭제하려는 시도는 기록되지 않습니다.

    그룹 정책 옵션 사용 및 감사 모드가 선택됨

중요

제어된 폴더 액세스를 완전히 사용하도록 설정하려면 그룹 정책 옵션을 사용으로 설정하고 옵션 드롭다운 메뉴에서 차단을 선택해야 합니다.

PowerShell

  1. 시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

  2. 다음 cmdlet을 입력합니다.

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

대신 Enabled를 지정 AuditMode 하여 감사 모드에서 기능을 사용하도록 설정할 수 있습니다.

을 사용하여 Disabled 기능을 끕니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.