기업 환경에서 Microsoft Defender 바이러스 백신 구성

기업 환경에서 Microsoft Defender 바이러스 백신 구성

2024년 9월 8일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 기업 환경에서 MDAV(Microsoft Defender Antivirus)를 효과적으로 구성하고 관리하도록 안내하는 것을 목표로 합니다. Windows 운영 체제의 필수적인 부분인 MDAV는 기본 솔루션에서 Microsoft 보안 전략의 강력하고 근본적인 구성 요소로 발전하여 맬웨어, 랜섬웨어, 파일리스 공격을 포함한 광범위한 위협에 대한 차세대 엔드포인트 보호 기능을 제공합니다[1].

소개

끊임없이 진화하는 사이버 위협 환경에서 안정적이고 잘 구성된 바이러스 백신 솔루션을 보유하는 것은 모든 조직의 첫 번째 방어선입니다. Microsoft Defender 바이러스 백신은 중앙에서 관리할 경우 Microsoft 에코시스템과 원활하게 통합되는 강력한 보호 기능을 제공하여 통합된 가시성과 제어 기능을 제공합니다. 이 가이드에서는 기업 환경에서 Defender AV를 구성하여 조직을 일관되고 효과적으로 보호하는 가장 일반적인 방법을 다룹니다.

관리 도구

엔터프라이즈 환경에서 Microsoft Defender AV를 관리하는 방법에는 여러 가지가 있습니다. 가장 일반적인 것은 다음과 같습니다.

  • Microsoft Intune(권장): 최신 클라우드 기반 관리를 사용하는 조직에 적합합니다. 보안 정책을 생성하고 배포하기 위해 Microsoft Endpoint Manager 포털에 중앙 집중식 인터페이스를 제공합니다.
  • 그룹 정책(GPO): 온프레미스 Active Directory 인프라를 갖춘 조직의 경우. 그룹 정책 개체를 통한 구성을 허용합니다.
  • Microsoft Endpoint Configuration Manager(MECM/SCCM): 하이브리드 환경에서 주로 사용되는 대규모 관리용입니다.
  • PowerShell: 세분화된 또는 대량 자동화 및 구성용입니다.

이 가이드에서는 가장 널리 사용되는 두 가지 방법인 IntuneGPO에 중점을 둡니다.

전제조건

  • 운영 체제: Windows 10, Windows 11 또는 Windows Server 2016 이상.
  • 관리 액세스: Intune 관리자(Intune의 경우) 또는 도메인 관리자(GPO의 경우) 권한입니다.
  • 라이선스: Defender AV는 Windows에 포함되어 있습니다. 고급 기능(예: Microsoft Defender for Endpoint)에는 추가 라이선스(예: Microsoft 365 E5)가 필요합니다.

Microsoft Intune을 사용하여 Defender AV 구성

이는 클라우드 관리 장치에 대한 현대적이고 권장되는 접근 방식입니다.

  1. Microsoft Intune 포털: https://intune.microsoft.com으로 이동합니다.
  2. Endpoint Security > 바이러스 백신으로 이동합니다.
  3. 정책 만들기를 클릭합니다.
  4. 선택:
    • 플랫폼: Windows 10 이상
    • 프로필: Microsoft Defender 바이러스 백신
  5. 만들기를 클릭합니다.
  6. 기본: 정책에 이름(예: 'Windows - Defender AV 기본 정책')과 설명을 지정합니다. 다음을 클릭하세요.
  7. 구성 설정: 가장 중요한 단계입니다. 모범 사례에 따라 다음 섹션을 구성합니다.
    • 클라우드 보호:
      • 클라우드 제공 보호 활성화: '예'. 실시간 위협 인텔리전스에 필수적입니다.
      • 클라우드에서 제공되는 보호 수준: '높음'. 더욱 공격적인 탐지 기능을 제공합니다.
      • 확장된 Defender 클라우드 시간 초과: 50초. 클라우드 서비스가 의심스러운 파일을 분석하는 데 더 많은 시간을 제공합니다.
    • 실시간 보호:
      • 실시간 보호 활성화: '예'. Defender 보호의 핵심입니다.
      • 행동 모니터링 활성화: '예'.
      • 다운로드한 모든 파일과 첨부 파일을 검사합니다: '예'.
    • 확인:
      • 매일 빠른 확인 예약: 낮은 사용 시간(예: 12:00)을 설정합니다.
      • 예약 검사 유형: '빠른 검사'.
    • 제외: 보안 위반을 방지하려면 제외를 신중하게 구성하세요. Microsoft Defender 바이러스 백신 제외 정책을 사용하여 이를 중앙에서 관리하세요.
  8. 할당: Azure AD 장치 그룹에 정책을 할당합니다.
  9. 검토 + 생성: 정책을 검토하고 생성합니다.

그룹 정책(GPO)을 사용하여 Defender AV 구성

로컬 Active Directory가 있는 환경의 경우.

  1. 그룹 정책 관리 편집기를 엽니다.
  2. 하나를 만드세요vo GPO를 사용하거나 기존 GPO를 편집하여 원하는 OU(조직 단위)에 연결하세요.
  3. '컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신'으로 이동합니다.
  4. 다음 정책을 구성합니다('활성화'로 설정하고 옵션 조정).
    • Microsoft Defender 바이러스 백신 비활성화: 항상 켜져 있도록 하려면 '비활성화'로 설정하세요.
    • 실시간 보호:
      • 행동 모니터링 활성화
      • 다운로드한 모든 파일 및 첨부 파일 검사
      • 컴퓨터의 파일 및 프로그램 활동 모니터링
    • MAPS(클라우드 보호와 동일):
      • 'Microsoft MAPS 가입': '고급 MAPS'를 선택하세요.
      • '즉시 차단' 기능 구성: 활성화됨.
    • 확인:
      • '검사 유형', '검사 요일' 등 예약 검사 옵션을 구성합니다.

검증 및 모니터링

  • 로컬로: 클라이언트 장치에서 Windows 보안 앱을 열어 "바이러스 및 위협 방지" 설정이 조직에서 관리되는지 확인합니다.
  • PowerShell을 통해: 'Get-MpComputerStatus' 명령을 실행하여 'AMRunningMode'("Normal"이어야 함) 및 서명 날짜를 포함한 바이러스 백신 상태를 확인합니다.
  • Microsoft 365 Defender 포털: Defender for Endpoint가 있는 경우 포털(security.microsoft.com)은 보고서 > 장치 상태에서 모든 장치의 바이러스 백신 상태에 대한 자세한 보고서를 제공합니다.

결론

Microsoft Defender 바이러스 백신을 올바르게 구성하는 것은 조직의 끝점을 보호하는 기본 단계입니다. Microsoft Intune을 사용한 최신 관리를 통해든 GPO를 사용한 기존 관리를 통해든 보안 정책을 일관되게 적용하면 회사의 첫 번째 방어선이 강력하고 탄력적이며 최신 위협에 대해 항상 최신 상태를 유지할 수 있습니다. Microsoft 포털을 통한 지속적인 모니터링은 루프를 닫아 환경의 규정 준수 및 보안을 보장하는 데 필요한 가시성을 제공합니다.

참고자료

[1] 마이크로소프트. (2023). Windows의 Microsoft Defender 바이러스 백신. [2] 마이크로소프트. (2023). Microsoft Intune으로 Microsoft Defender 바이러스 백신을 관리하세요. [3] 마이크로소프트. (2023). 그룹 정책 설정을 사용하여 Microsoft Defender 바이러스 백신을 구성하고 관리합니다.