다음을 통해 공유


공격 표면 감소 규칙 참조

적용 대상:

플랫폼:

  • Windows

이 문서에서는 엔드포인트용 MICROSOFT DEFENDER 공격 표면 감소 규칙(ASR 규칙)에 대한 정보를 제공합니다.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

이 문서의 동반자로서 모범 사례를 검토하고 공격 표면 감소 및 차세대 보호와 같은 필수 도구에 대해 알아보려면 엔드포인트용 Microsoft Defender 설정 가이드를 참조하세요. 사용자 환경에 기반한 사용자 지정 환경의 경우 Microsoft 365 관리 센터 엔드포인트용 Defender 자동화 설치 가이드에 액세스할 수 있습니다.

유형별 공격 표면 감소 규칙

공격 표면 감소 규칙은 다음 두 가지 유형 중 하나로 분류됩니다.

  • Standard 보호 규칙: 다른 ASR 규칙의 효과 및 구성 요구 사항을 평가하는 동안 항상 사용하도록 권장하는 최소 규칙 집합입니다. 이러한 규칙은 일반적으로 최종 사용자에게 최소한의 눈에 띄는 영향을 미칩니다.

  • 기타 규칙: 공격 표면 감소 규칙 배포 가이드에 설명된 대로 문서화된 배포 단계 [계획 > 테스트(감사) > 사용(블록/경고 모드)]을 따라야 하는 규칙

표준 보호 규칙을 사용하도록 설정하는 가장 쉬운 방법은 간소화된 표준 보호 옵션을 참조하세요.

ASR 규칙 이름: Standard 보호 규칙? 다른 규칙?
악용된 취약한 서명된 드라이버의 남용 차단
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단
잠재적으로 난독 처리된 스크립트의 실행 차단
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단
WMI 이벤트 구독을 통한 지속성 차단
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기)
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단
복사되거나 가장된 시스템 도구의 사용 차단(미리 보기)
서버에 대한 Webshell 만들기 차단
Office 매크로에서 Win32 API 호출 차단
랜섬웨어에 대한 고급 보호 사용

바이러스 백신 제외 및 ASR 규칙 Microsoft Defender

Microsoft Defender 바이러스 백신 제외는 일부 공격 표면 감소 규칙과 같은 일부 엔드포인트용 Microsoft Defender 기능에 적용됩니다.

다음 ASR 규칙은 Microsoft Defender 바이러스 백신 제외를 적용하지 않습니다.

ASR 규칙 이름:
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단

참고

규칙별 제외 구성에 대한 자세한 내용은 테스트 공격 표면 감소 규칙 항목의 규칙별 ASR 규칙 구성 섹션을 참조하세요.

ASR 규칙 및 엔드포인트용 Defender 손상 지표(IOC)

다음 ASR 규칙은 IOC(엔드포인트용 Microsoft Defender 손상 지표)를 존중하지 않습니다.

ASR 규칙 이름 설명
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) 파일 또는 인증서에 대한 손상 표시기를 적용하지 않습니다.
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 파일 또는 인증서에 대한 손상 표시기를 적용하지 않습니다.
Office 매크로에서 Win32 API 호출 차단 인증서에 대한 손상 지표를 적용하지 않습니다.

ASR 규칙 지원 운영 체제

다음 표에서는 현재 일반 공급으로 릴리스된 규칙에 대해 지원되는 운영 체제를 나열합니다. 규칙은 이 표에 사전순으로 나열됩니다.

참고

달리 명시되지 않는 한 최소 Windows10 빌드는 버전 1709(RS3, 빌드 16299) 이상입니다. 최소 Windows Server 빌드는 버전 1809 이상입니다. Windows Server 2012 R2 및 Windows Server 2016 공격 표면 감소 규칙은 최신 통합 솔루션 패키지를 사용하여 온보딩된 디바이스에서 사용할 수 있습니다. 자세한 내용은 최신 통합 솔루션의 새로운 Windows Server 2012 R2 및 2016 기능을 참조하세요.

규칙 이름 Windows 11

Windows 10
Windows Server 2022

Windows Server 2019
Windows Server Windows Server 2016 [1, 2] Windows Server
2012 R2 [1, 2]
악용된 취약한 서명된 드라이버의 남용 차단 Y Y Y
버전 1803(반기 엔터프라이즈 채널) 이상
Y Y
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 Y
버전 1809 이상 [3]
Y Y Y Y
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 Y Y Y Y Y
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) Y
버전 1803 이상 [3]
Y Y Y Y
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 Y Y Y Y Y
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 Y
버전 1803 이상 [3]
Y Y Y Y
잠재적으로 난독 처리된 스크립트의 실행 차단 Y Y Y Y Y
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 Y Y Y N N
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 Y Y Y Y Y
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 Y Y Y Y Y
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 Y Y Y Y Y
WMI(Windows Management Instrumentation) 이벤트 구독을 통한 지속성 차단 Y
버전 1903(빌드 18362) 이상 [3]
Y Y
버전 1903(빌드 18362) 이상
N N
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 Y
버전 1803 이상 [3]
Y Y Y Y
안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) Y Y Y Y Y
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 Y Y Y Y Y
복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) Y Y Y Y Y
서버에 대한 Webshell 만들기 차단 N Y
Exchange 역할만
Y
Exchange 역할만
Y
Exchange 역할만
Y
Exchange 역할만
Office 매크로에서 Win32 API 호출 차단 Y N N N N
랜섬웨어에 대한 고급 보호 사용 Y
버전 1803 이상 [3]
Y Y Y Y

(1) Windows Server 2012 및 2016에 대한 최신 통합 솔루션을 참조합니다. 자세한 내용은 엔드포인트용 Defender 서비스에 Windows Server 온보딩을 참조하세요.

(2) Windows Server 2016 및 Windows Server 2012 R2의 경우 필요한 Microsoft 엔드포인트 Configuration Manager 최소 버전은 버전 2111입니다.

(3) 버전 및 빌드 번호는 Windows10에만 적용됩니다.

ASR 규칙 지원 구성 관리 시스템

이 표에서 참조하는 구성 관리 시스템 버전에 대한 정보 링크는 이 표 아래에 나와 있습니다.

규칙 이름 Microsoft Intune Microsoft Endpoint Configuration Manager 그룹 정책[1] PowerShell[1]
악용된 취약한 서명된 드라이버의 남용 차단 Y Y Y
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 Y Y Y
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 Y Y

CB 1710
Y Y
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) Y Y

CB 1802
Y Y
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 Y Y

CB 1710
Y Y
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 Y Y

CB 1802
Y Y
잠재적으로 난독 처리된 스크립트의 실행 차단 Y Y

CB 1710
Y Y
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 Y Y

CB 1710
Y Y
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 Y Y

CB 1710
Y Y
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 Y Y

CB 1710
Y Y
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 Y Y

CB 1710
Y Y
WMI 이벤트 구독을 통한 지속성 차단 Y Y Y
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 Y Y Y
안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) Y Y Y
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 Y Y

CB 1802
Y Y
복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) Y Y Y
서버에 대한 Webshell 만들기 차단 Y Y Y
Office 매크로에서 Win32 API 호출 차단 Y Y

CB 1710
Y Y
랜섬웨어에 대한 고급 보호 사용 Y Y

CB 1802
Y Y

(1) 규칙의 GUID를 사용하여 규칙별로 공격 표면 감소 규칙을 구성할 수 있습니다.

ASR 규칙별 경고 및 알림 세부 정보

알림 메시지는 차단 모드의 모든 규칙에 대해 생성됩니다. 다른 모드의 규칙은 알림 메시지를 생성하지 않습니다.

"규칙 상태"가 지정된 규칙의 경우:

  • 조합이 있는 \ASR Rule, Rule State\ ASR 규칙은 클라우드 블록 수준 "높음"의 디바이스에 대해서만 엔드포인트용 Microsoft Defender 경고(알림 메시지)를 노출하는 데 사용됩니다.
  • 높은 클라우드 블록 수준에 있지 않은 디바이스는 조합 ASR Rule, Rule State 에 대한 경고를 생성하지 않습니다.
  • 클라우드 블록 수준 "High+"의 디바이스에 대해 지정된 상태의 ASR 규칙에 대해 EDR 경고가 생성됩니다.
  • 알림 메시지는 블록 모드에서만 발생하며 클라우드 블록 수준 "높음"의 디바이스에 대해서만 발생합니다.
규칙 이름 규칙 상태 EDR 경고 알림 메시지
악용된 취약한 서명된 드라이버의 남용 차단 N Y
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 차단 Y Y
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 N Y
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) N N
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 Y Y
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 N Y
잠재적으로 난독 처리된 스크립트의 실행 차단 감사 또는 차단 Y(블록 모드)
N(감사 모드)
Y(블록 모드)
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 차단 Y Y
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 N Y
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 N Y
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 N Y
WMI 이벤트 구독을 통한 지속성 차단 감사 또는 차단 Y(블록 모드)
N(감사 모드)
Y(블록 모드)
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 N Y
안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) N N
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 감사 또는 차단 Y(블록 모드)
N(감사 모드)
Y(블록 모드)
복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) N N
서버에 대한 Webshell 만들기 차단 N N
Office 매크로에서 Win32 API 호출 차단 N Y
랜섬웨어에 대한 고급 보호 사용 감사 또는 차단 Y(블록 모드)
N(감사 모드)
Y(블록 모드)

GUID 행렬에 대한 ASR 규칙

규칙 이름 규칙 GUID
악용된 취약한 서명된 드라이버의 남용 차단 56a863a9-875e-4185-98a7-b882c64b5ce5
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 d4f940ab-401b-4efc-aadc-ad5f3c50688a
Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 01443614-cd74-433a-b99e-2ecdc07bfc25
잠재적으로 난독 처리된 스크립트의 실행 차단 5beb7efe-fd9a-4556-801d-275e5ffc04cc
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 d3e037e1-3eb8-44c8-a917-57927947596d
Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 3b576869-a4ec-4529-8536-b80a7769e899
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 26190899-1602-49e8-8b27-eb1d0a1ce869
WMI 이벤트 구독을 통한 지속성 차단
* 파일 및 폴더 제외는 지원되지 않습니다.
e6db77e5-3df2-4cf1-b95a-636979351e5b
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 d1e49aac-8f56-4280-b9ba-993a6d77406c
안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기) 33ddedf1-c6e0-47cb-833e-de6133960387
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
복사되거나 가장된 시스템 도구의 사용 차단(미리 보기) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
서버에 대한 Webshell 만들기 차단 a8f5898e-1dc8-49a9-9878-85004b8a61e6
Office 매크로에서 Win32 API 호출 차단 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b
랜섬웨어에 대한 고급 보호 사용 c1db55ab-c21a-4637-bb3f-a12568109d35

ASR 규칙 모드

  • 구성되지 않음 또는 사용 안 함: ASR 규칙이 사용하도록 설정되지 않았거나 사용하지 않도록 설정된 상태입니다. 이 상태의 코드 = 0입니다.
  • 차단: ASR 규칙이 사용하도록 설정된 상태입니다. 이 상태의 코드는 1입니다.
  • 감사: ASR 규칙이 사용하도록 설정된 경우 organization 또는 환경에 미치는 영향에 대해 평가되는 상태입니다(차단 또는 경고로 설정). 이 상태의 코드는 2입니다.
  • 경고하다 ASR 규칙이 사용하도록 설정되고 최종 사용자에게 알림을 표시하지만 최종 사용자가 블록을 바이패스하도록 허용하는 상태입니다. 이 상태의 코드는 6입니다.

경고 모드 는 잠재적으로 위험한 작업에 대해 사용자에게 경고하는 블록 모드 유형입니다. 사용자는 블록 경고 메시지를 무시하고 기본 작업을 허용하도록 선택할 수 있습니다. 사용자는 확인을 선택하여 블록을 적용하거나 블록 시 생성된 최종 사용자 팝업 알림 메시지를 통해 바이패스 옵션인 차단 해제 를 선택할 수 있습니다. 경고가 차단 해제된 후 다음에 경고 메시지가 발생할 때까지 작업이 허용되며, 이때 최종 사용자는 작업을 다시 구성해야 합니다.

허용 단추를 클릭하면 블록이 24시간 동안 표시되지 않습니다. 24시간이 지나면 최종 사용자가 블록을 다시 허용해야 합니다. ASR 규칙에 대한 경고 모드는 RS5+(1809+) 디바이스에서만 지원됩니다. 이전 버전이 있는 디바이스의 ASR 규칙에 무시가 할당되면 규칙이 차단 모드에 있습니다.

을 "경고"로 지정하여 PowerShell을 AttackSurfaceReductionRules_Actions 통해 경고 모드로 규칙을 설정할 수도 있습니다. 예시:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

규칙별 설명

악용된 취약한 서명된 드라이버의 남용 차단

이 규칙은 애플리케이션이 취약한 서명된 드라이버를 디스크에 쓰는 것을 방지합니다. 커널에 대한 액세스 권한을 얻기 위해 충분한 권한이 있는 로컬 애플리케이션에서 취약한 서명된 드라이버를 악용할 수 있습니다. 취약한 서명된 드라이버를 사용하면 공격자가 보안 솔루션을 사용하지 않도록 설정하거나 우회할 수 있으므로 결국 시스템 손상이 초래됩니다.

악용된 취약한 서명된 드라이버 규칙의 남용 차단은 시스템에 이미 존재하는 드라이버가 로드되는 것을 차단하지 않습니다.

참고

Intune OMA-URI를 사용하여 이 규칙을 구성할 수 있습니다. 사용자 지정 규칙을 구성하는 Intune OMA-URI를 참조하세요. PowerShell을 사용하여 이 규칙을 구성할 수도 있습니다. 드라이버를 검사하려면 이 웹 사이트를 사용하여 분석을 위해 드라이버를 제출합니다.

Intune 이름:Block abuse of exploited vulnerable signed drivers

Configuration Manager 이름: 아직 사용할 수 없음

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

고급 헌팅 작업 유형:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Adobe Reader가 자식 프로세스를 만들지 못하도록 차단

이 규칙은 Adobe Reader가 프로세스를 만들지 못하도록 차단하여 공격을 방지합니다.

맬웨어는 소셜 엔지니어링 또는 익스플로잇을 통해 페이로드를 다운로드하고 시작하고 Adobe Reader에서 분리할 수 있습니다. Adobe Reader에서 자식 프로세스가 생성되지 않도록 차단하면 Adobe Reader를 공격 벡터로 사용하려는 맬웨어가 확산되지 않습니다.

Intune 이름:Process creation from Adobe Reader (beta)

Configuration Manager 이름: 아직 사용할 수 없음

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

고급 헌팅 작업 유형:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

종속성: Microsoft Defender 바이러스 백신

모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단

이 규칙은 Office 앱이 자식 프로세스를 만들지 못하도록 차단합니다. Office 앱에는 Word, Excel, PowerPoint, OneNote 및 Access가 포함됩니다.

악의적인 자식 프로세스를 만드는 것은 일반적인 맬웨어 전략입니다. Office를 벡터로 남용하는 맬웨어는 종종 VBA 매크로를 실행하고 코드를 악용하여 더 많은 페이로드를 다운로드하고 실행하려고 시도합니다. 그러나 일부 합법적인 기간 업무 애플리케이션은 양성 목적으로 자식 프로세스를 생성할 수도 있습니다. 명령 프롬프트를 생성하거나 PowerShell을 사용하여 레지스트리 설정을 구성하는 등의 작업을 수행합니다.

Intune 이름:Office apps launching child processes

Configuration Manager 이름:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

고급 헌팅 작업 유형:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

종속성: Microsoft Defender 바이러스 백신

Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단

참고

LSA 보호를 사용하도록 설정하고 Credential Guard를 사용하도록 설정한 경우 이 공격 표면 감소 규칙은 필요하지 않습니다.

이 규칙은 LSASS(로컬 보안 기관 하위 시스템 서비스)를 잠가 자격 증명 도용을 방지하는 데 도움이 됩니다.

LSASS는 Windows 컴퓨터에 로그인하는 사용자를 인증합니다. Windows의 Microsoft Defender Credential Guard는 일반적으로 LSASS에서 자격 증명을 추출하려는 시도를 방지합니다. 일부 조직에서는 사용자 지정 스마트 카드 드라이버 또는 LSA(로컬 보안 기관)에 로드되는 다른 프로그램과의 호환성 문제로 인해 모든 컴퓨터에서 Credential Guard를 사용하도록 설정할 수 없습니다. 이러한 경우 공격자는 Mimikatz와 같은 도구를 사용하여 LSASS에서 일반 텍스트 암호 및 NTLM 해시를 스크래핑할 수 있습니다.

기본적으로 이 규칙의 상태는 차단으로 설정됩니다. 대부분의 경우 많은 프로세스에서 필요하지 않은 액세스 권한에 대해 LSASS를 호출합니다. 예를 들어 ASR 규칙의 초기 블록이 이후에 성공하는 더 작은 권한에 대한 후속 호출이 발생하는 경우와 같습니다. LSASS에 대한 프로세스 호출에서 일반적으로 요청되는 권한 유형에 대한 자세한 내용은 프로세스 보안 및 액세스 권한을 참조하세요.

ASR 규칙 및 LSA 보호가 유사하게 작동하므로 LSA 보호를 사용하도록 설정한 경우 이 규칙을 사용하도록 설정해도 추가 보호가 제공되지 않습니다. 그러나 LSA 보호를 사용하도록 설정할 수 없는 경우 를 대상으로 lsass.exe하는 맬웨어에 대해 동등한 보호를 제공하도록 이 규칙을 구성할 수 있습니다.

  1. ASR 감사 이벤트는 알림 메시지를 생성하지 않습니다. 그러나 LSASS ASR 규칙은 많은 양의 감사 이벤트를 생성하므로 거의 모두 블록 모드에서 규칙을 사용하도록 설정할 때 무시해도 안전하므로 감사 모드 평가를 건너뛰고 작은 디바이스 집합부터 시작하여 나머지를 포함하도록 점진적으로 확장하여 모드 배포를 차단하도록 선택할 수 있습니다.
  2. 규칙은 친숙한 프로세스에 대한 차단 보고서/알림을 표시하지 않습니다. 중복 블록에 대한 보고서를 삭제하도록 설계되었습니다. 따라서 알림 메시지 사용 여부와 관계없이 차단 모드에서 규칙을 사용하도록 설정하는 것이 적합합니다. 
  3. 경고 모드의 ASR은 사용자에게 "차단 해제" 단추가 포함된 차단 알림 메시지를 표시하도록 설계되었습니다. LSASS ASR 블록 및 대용량의 "무시 안전" 특성으로 인해 이 규칙에 WARN 모드는 권장되지 않습니다(알림 메시지 사용 또는 사용 안 함 여부에 관계없이).

참고

이 시나리오에서 ASR 규칙은 Microsoft Defender 포털의 엔드포인트용 Defender 설정에서 "해당 없음"으로 분류됩니다. Windows 로컬 보안 기관 하위 시스템 ASR 규칙에서 자격 증명 도용 차단은 WARN 모드를 지원하지 않습니다. 일부 앱에서 코드는 실행 중인 모든 프로세스를 열거하고 완전한 권한으로 열려고 시도합니다. 이 규칙은 앱의 프로세스 열기 작업을 거부하고 세부 정보를 보안 이벤트 로그에 기록합니다. 이 규칙은 많은 노이즈를 생성할 수 있습니다. LSASS를 열거하지만 기능에 실질적인 영향을 주지 않는 앱이 있는 경우 제외 목록에 추가할 필요가 없습니다. 그 자체로 이 이벤트 로그 항목이 반드시 악의적인 위협을 나타내는 것은 아닙니다.

Intune 이름:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager 이름:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

고급 헌팅 작업 유형:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

종속성: Microsoft Defender 바이러스 백신

알려진 문제: 이러한 애플리케이션 및 "Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단" 규칙은 호환되지 않습니다.

애플리케이션 이름 자세한 내용
Quest Dirsync 암호 동기화 Windows Defender를 설치할 때 Dirsync 암호 동기화가 작동하지 않습니다. 오류: "VirtualAllocEx 실패: 5" (4253914)

기술 지원을 받으려면 소프트웨어 공급업체에 문의하세요.

전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단

이 규칙은 Microsoft Outlook 애플리케이션 내에서 열린 전자 메일 또는 Outlook.com 및 기타 인기 있는 웹 메일 공급자가 다음 파일 형식을 전파하지 못하도록 차단합니다.

  • 실행 파일(예: .exe, .dll 또는 .scr)
  • 스크립트 파일(예: PowerShell .ps1, Visual Basic .vbs 또는 JavaScript .js 파일)

Intune 이름:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager 이름:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

고급 헌팅 작업 유형:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

종속성: Microsoft Defender 바이러스 백신

참고

이메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 규칙에는 사용하는 애플리케이션에 따라 다음과 같은 대체 설명이 있습니다.

  • Intune(구성 프로필): 실행 파일 콘텐츠(exe, dll, ps, js, vbs 등)가 전자 메일(webmail/mail 클라이언트)에서 삭제됨(예외 없음)을 실행합니다.
  • Configuration Manager: 이메일 및 웹 메일 클라이언트에서 실행 가능한 콘텐츠 다운로드를 차단합니다.
  • 그룹 정책: 전자 메일 클라이언트 및 웹 메일에서 실행 가능한 콘텐츠를 차단합니다.

실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단

이 규칙은 실행 파일(예: .exe, .dll 또는 .scr)이 시작하지 못하도록 차단합니다. 따라서 신뢰할 수 없거나 알 수 없는 실행 파일을 시작하는 것은 위험할 수 있습니다. 파일이 악의적인 경우 처음에는 명확하지 않을 수 있으므로 위험할 수 있습니다.

중요

이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정 해야 합니다. 실행 파일이 GUID를 사용하는 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단은 Microsoft에서 소유하며 관리자가 지정하지 않습니다.01443614-cd74-433a-b99e-2ecdc07bfc25 이 규칙은 클라우드 제공 보호를 사용하여 신뢰할 수 있는 목록을 정기적으로 업데이트합니다. 개별 파일 또는 폴더(폴더 경로 또는 정규화된 리소스 이름 사용)를 지정할 수 있지만 적용되는 규칙이나 제외는 지정할 수 없습니다.

Intune 이름:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager 이름:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

고급 헌팅 작업 유형:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

종속성: Microsoft Defender 바이러스 백신, 클라우드 보호

잠재적으로 난독 처리된 스크립트의 실행 차단

이 규칙은 난독 제거된 스크립트 내에서 의심스러운 속성을 검색합니다.

참고

이제 PowerShell 스크립트가 "잠재적으로 난독 처리된 스크립트의 실행 차단" 규칙에 대해 지원됩니다.

중요

이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정해야 합니다.

스크립트 난독 처리는 맬웨어 작성자와 합법적인 애플리케이션이 지적 재산을 숨기거나 스크립트 로드 시간을 줄이는 데 사용하는 일반적인 기술입니다. 맬웨어 작성자는 또한 난독 처리를 사용하여 악성 코드를 읽기 어렵게 만들어 인간과 보안 소프트웨어의 면밀한 조사를 방해합니다.

Intune 이름:Obfuscated js/vbs/ps/macro code

Configuration Manager 이름:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

고급 헌팅 작업 유형:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

종속성: Microsoft Defender 바이러스 백신, AMSI(맬웨어 방지 검사 인터페이스)

JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단

이 규칙은 스크립트가 잠재적으로 악의적으로 다운로드한 콘텐츠를 시작하지 못하도록 방지합니다. JavaScript 또는 VBScript로 작성된 맬웨어는 인터넷에서 다른 맬웨어를 가져오고 시작하는 다운로더 역할을 하는 경우가 많습니다. 일반적이지는 않지만 기간 업무 애플리케이션은 경우에 따라 스크립트를 사용하여 설치 관리자를 다운로드하고 시작합니다.

Intune 이름:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager 이름:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

고급 헌팅 작업 유형:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

종속성: Microsoft Defender 바이러스 백신, AMSI

Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단

이 규칙은 악성 코드가 디스크에 기록되지 않도록 차단하여 Word, Excel 및 PowerPoint를 포함한 Office 앱이 잠재적으로 악의적인 실행 가능한 콘텐츠를 만들지 못하도록 차단합니다. Office를 벡터로 남용하는 맬웨어는 Office를 중단하고 악성 구성 요소를 디스크에 저장하려고 시도할 수 있습니다. 이러한 악성 구성 요소는 컴퓨터 재부팅에서 유지되고 시스템에서 유지됩니다. 따라서 이 규칙은 일반적인 지속성 기술을 방어합니다. 이 규칙은 Office 파일에서 실행할 수 있는 Office 매크로에 의해 저장되었을 수 있는 신뢰할 수 없는 파일의 실행도 차단합니다.

Intune 이름:Office apps/macros creating executable content

Configuration Manager 이름:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

고급 헌팅 작업 유형:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

종속성: Microsoft Defender 바이러스 백신, RPC

Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단

이 규칙은 Office 앱에서 다른 프로세스로 코드 삽입 시도를 차단합니다.

참고

애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 ASR 규칙은 WARN 모드를 지원하지 않습니다.

중요

이 규칙을 사용하려면 구성 변경 내용이 적용되려면 Microsoft 365 앱(Office 애플리케이션)를 다시 시작해야 합니다.

공격자는 Office 앱을 사용하여 코드 삽입을 통해 악성 코드를 다른 프로세스로 마이그레이션하려고 시도할 수 있으므로 코드가 클린 프로세스로 가장할 수 있습니다. 코드 삽입을 사용하기 위한 알려진 합법적인 비즈니스 용도는 없습니다.

이 규칙은 Word, Excel, OneNote 및 PowerPoint에 적용됩니다.

Intune 이름:Office apps injecting code into other processes (no exceptions)

Configuration Manager 이름:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

고급 헌팅 작업 유형:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

종속성: Microsoft Defender 바이러스 백신

알려진 문제: 이러한 애플리케이션 및 "Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단" 규칙은 호환되지 않습니다.

애플리케이션 이름 자세한 내용
Avecto(BeyondTrust) Privilege Guard 2024년 9월(플랫폼: 4.18.24090.11 | 엔진 1.1.24090.11).
Heimdal 보안 해당 없음

기술 지원을 받으려면 소프트웨어 공급업체에 문의하세요.

Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단

이 규칙은 Outlook에서 자식 프로세스를 만드는 동시에 합법적인 Outlook 기능을 계속 허용하는 것을 방지합니다. 이 규칙은 소셜 엔지니어링 공격으로부터 보호하고 코드 악용이 Outlook의 취약성을 악용하는 것을 방지합니다. 또한 사용자의 자격 증명이 손상되면 공격자가 사용할 수 있는 Outlook 규칙 및 양식 악용 으로부터 보호합니다.

참고

이 규칙은 Outlook에서 DLP 정책 팁 및 도구 설명을 차단합니다. 이 규칙은 Outlook 및 Outlook.com 만 적용됩니다.

Intune 이름:Process creation from Office communication products (beta)

Configuration Manager 이름: 사용할 수 없음

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

고급 헌팅 작업 유형:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

종속성: Microsoft Defender 바이러스 백신

WMI 이벤트 구독을 통한 지속성 차단

이 규칙은 맬웨어가 WMI를 악용하여 디바이스에서 지속성을 얻지 못하게 합니다.

파일리스 위협은 파일 시스템에 표시되지 않도록 하고 정기적인 실행 제어를 확보하기 위해 다양한 기법을 사용하여 숨은 상태를 유지합니다. 일부 위협은 WMI 리포지토리 및 이벤트 모델을 악용하여 계속 숨을 수 있습니다.

참고

디바이스에서 (SCCM 에이전트)가 검색되면 CcmExec.exe ASR 규칙은 Microsoft Defender 포털의 엔드포인트용 Defender 설정에서 "해당 없음"으로 분류됩니다.

Intune 이름:Persistence through WMI event subscription

Configuration Manager 이름: 사용할 수 없음

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

고급 헌팅 작업 유형:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

종속성: Microsoft Defender 바이러스 백신, RPC

PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단

이 규칙은 PsExecWMI 를 통해 만든 프로세스가 실행되지 않도록 차단합니다. PsExec 및 WMI는 모두 원격으로 코드를 실행할 수 있습니다. 명령 및 제어 목적으로 맬웨어가 PsExec 및 WMI의 기능을 남용하거나 organization 네트워크 전체에 감염을 확산시킬 위험이 있습니다.

경고

Intune 또는 다른 MDM 솔루션으로 디바이스를 관리하는 경우에만 이 규칙을 사용합니다. 이 규칙은 Configuration Manager 클라이언트가 올바르게 작동하는 데 사용하는 WMI 명령을 차단하기 때문에 Microsoft Endpoint Configuration Manager 통해 관리와 호환되지 않습니다.

Intune 이름:Process creation from PSExec and WMI commands

Configuration Manager 이름: 해당 없음

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

고급 헌팅 작업 유형:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

종속성: Microsoft Defender 바이러스 백신

안전 모드에서 컴퓨터 다시 부팅 차단(미리 보기)

이 규칙은 안전 모드에서 컴퓨터를 다시 시작하는 명령의 실행을 방지합니다. 안전 모드는 Windows를 실행하는 데 필요한 필수 파일 및 드라이버만 로드하는 진단 모드입니다. 그러나 안전 모드에서는 많은 보안 제품이 비활성화되거나 제한된 용량으로 작동하므로 공격자가 변조 명령을 추가로 시작하거나 컴퓨터의 모든 파일을 실행하고 암호화할 수 있습니다. 이 규칙은 프로세스가 안전 모드에서 컴퓨터를 다시 시작하지 못하도록 하여 이러한 공격을 차단합니다.

참고

이 기능은 현재 미리 보기로 제공됩니다. 효능을 개선하기 위한 추가 업그레이드가 개발 중입니다.

Intune 이름:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager 이름: 아직 사용할 수 없음

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

고급 헌팅 작업 유형:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

종속성: Microsoft Defender 바이러스 백신

USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단

이 규칙을 사용하면 관리자는 SD 카드를 비롯한 USB 이동식 드라이브에서 서명되지 않거나 신뢰할 수 없는 실행 파일이 실행되지 않도록 방지할 수 있습니다. 차단된 파일 형식에는 실행 파일(예: .exe, .dll 또는 .scr)이 포함됩니다.

중요

디스크 드라이브에서 실행될 경우 USB에서 디스크 드라이브로 복사된 파일은 이 규칙에 의해 차단됩니다.

Intune 이름:Untrusted and unsigned processes that run from USB

Configuration Manager 이름:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

고급 헌팅 작업 유형:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

종속성: Microsoft Defender 바이러스 백신

복사되거나 가장된 시스템 도구의 사용 차단(미리 보기)

이 규칙은 Windows 시스템 도구의 복사본으로 식별되는 실행 파일의 사용을 차단합니다. 이러한 파일은 원본 시스템 도구의 중복 또는 사기꾼입니다. 일부 악성 프로그램은 검색을 방지하거나 권한을 얻기 위해 Windows 시스템 도구를 복사하거나 가장하려고 할 수 있습니다. 이러한 실행 파일을 허용하면 잠재적인 공격이 발생할 수 있습니다. 이 규칙은 Windows 컴퓨터에서 시스템 도구의 이러한 중복 및 사기꾼의 전파 및 실행을 방지합니다.

참고

이 기능은 현재 미리 보기로 제공됩니다. 효능을 개선하기 위한 추가 업그레이드가 개발 중입니다.

Intune 이름:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager 이름: 아직 사용할 수 없음

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

고급 헌팅 작업 유형:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

종속성: Microsoft Defender 바이러스 백신

서버에 대한 Webshell 만들기 차단

이 규칙은 Microsoft Server Exchange 역할에서 웹 셸 스크립트 만들기를 차단합니다. 웹 셸 스크립트는 공격자가 손상된 서버를 제어할 수 있도록 특별히 작성된 스크립트입니다. 웹 셸에는 악성 명령 수신 및 실행, 악성 파일 다운로드 및 실행, 자격 증명 및 중요한 정보 도용 및 유출, 잠재적 대상 식별 등과 같은 기능이 포함될 수 있습니다.

Intune 이름:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

종속성: Microsoft Defender 바이러스 백신

Office 매크로에서 Win32 API 호출 차단

이 규칙은 VBA 매크로가 Win32 API를 호출하지 못하도록 방지합니다. Office VBA는 Win32 API 호출을 사용하도록 설정합니다. 맬웨어는 Win32 API를 호출하여 디스크에 직접 아무것도 쓰지 않고 악성 셸코드를 시작하는 등 이 기능을 남용할 수 있습니다. 대부분의 조직은 다른 방법으로 매크로를 사용하더라도 일상적인 작동에서 Win32 API를 호출하는 기능에 의존하지 않습니다.

Intune 이름:Win32 imports from Office macro code

Configuration Manager 이름:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

고급 헌팅 작업 유형:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

종속성: Microsoft Defender 바이러스 백신, AMSI

랜섬웨어에 대한 고급 보호 사용

이 규칙은 랜섬웨어에 대한 추가 보호 계층을 제공합니다. 클라이언트 및 클라우드 추론을 모두 사용하여 파일이 랜섬웨어와 유사한지 여부를 확인합니다. 이 규칙은 다음 특성 중 하나 이상이 있는 파일을 차단하지 않습니다.

  • 파일이 이미 Microsoft 클라우드에서 공유되지 않는 것으로 확인되었습니다.
  • 파일은 유효한 서명된 파일입니다.
  • 이 파일은 랜섬웨어로 간주되지 않을 정도로 널리 퍼져 있습니다.

규칙은 랜섬웨어를 방지하기 위해 주의의 측면에 잘못하는 경향이있다.

참고

이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정 해야 합니다.

Intune 이름:Advanced ransomware protection

Configuration Manager 이름:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

고급 헌팅 작업 유형:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

종속성: Microsoft Defender 바이러스 백신, 클라우드 보호

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.