다음을 통해 공유

Microsoft Defender XDR 비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩

  • 아티클

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

VDI(가상 데스크톱 인프라)는 최종 사용자가 거의 모든 디바이스(예: 개인용 컴퓨터, 스마트폰 또는 태블릿)에서 엔터프라이즈 가상 데스크톱 인스턴스에 액세스할 수 있도록 하는 IT 인프라 개념으로, organization 사용자에게 물리적 컴퓨터를 제공할 필요가 없습니다. VDI 디바이스를 사용하면 IT 부서가 더 이상 물리적 엔드포인트를 관리, 복구 및 교체할 책임이 없기 때문에 비용이 절감됩니다. 권한 있는 사용자는 보안 데스크톱 클라이언트 또는 브라우저를 통해 승인된 모든 디바이스에서 동일한 회사 서버, 파일, 앱 및 서비스에 액세스할 수 있습니다.

IT 환경의 다른 시스템과 마찬가지로 VDI 디바이스에는 고급 위협 및 공격으로부터 보호하기 위한 EDR(엔드포인트 검색 및 대응) 및 바이러스 백신 솔루션이 있어야 합니다.

참고

영구 VDI의 - 영구 VDI 머신을 엔드포인트용 Microsoft Defender 온보딩하는 것은 데스크톱 또는 노트북과 같은 물리적 컴퓨터를 온보딩하는 것과 동일한 방식으로 처리됩니다. 그룹 정책, Microsoft Configuration Manager 및 기타 메서드를 사용하여 영구 머신을 온보딩할 수 있습니다. Microsoft Defender 포털의 온https://security.microsoft.com보딩 아래에서 기본 설정 온보딩 방법을 선택하고 해당 형식에 대한 지침을 따릅니다. 자세한 내용은 Windows 클라이언트 온보딩을 참조하세요.

비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩

엔드포인트용 Defender는 비영구 VDI 세션 온보딩을 지원합니다. VDI 인스턴스를 온보딩할 때 관련 문제가 있을 수 있습니다. 이 시나리오의 일반적인 과제는 다음과 같습니다.

  • 실제 프로비저닝 전에 엔드포인트용 Defender에 온보딩해야 하는 단기 세션의 즉시 조기 온보딩.

  • 디바이스 이름은 일반적으로 새 세션에 다시 사용합니다.

  • VDI 환경에서 VDI 인스턴스의 수명은 짧을 수 있습니다. VDI 디바이스는 Microsoft Defender 포털에 각 VDI instance 대한 단일 항목 또는 각 디바이스에 대한 여러 항목으로 표시할 수 있습니다.

    • 각 VDI instance 대한 단일 항목입니다. VDI instance 이미 엔드포인트용 Microsoft Defender 온보딩된 후 삭제된 후 동일한 호스트 이름으로 다시 만든 경우 이 VDI instance 나타내는 새 개체가 포털에서 만들어지지 않습니다. 이 경우 세션이 만들어질 때(예: 무인 응답 파일을 사용하여) 동일한 디바이스 이름을 구성해야 합니다.

    • 각 디바이스에 대한 여러 항목 - 각 VDI instance 하나씩.

중요

복제 기술을 통해 비영구 VDI를 배포하는 경우 내부 템플릿 VM이 엔드포인트용 Defender에 온보딩되지 않았는지 확인합니다. 이 권장 사항은 복제된 VM이 템플릿 VM과 동일한 senseGuid로 온보딩되지 않도록 하여 VM이 디바이스 목록에 새 항목으로 표시되지 않도록 하는 것입니다.

다음 단계에서는 VDI 디바이스 온보딩을 안내하고 단일 및 여러 항목에 대한 단계를 강조 표시합니다.

경고

리소스 구성이 낮은 환경의 경우 VDI 부팅 프로시저로 인해 엔드포인트용 Defender 센서 온보딩 속도가 느려질 수 있습니다.

온보딩 단계

참고

이 기능이 작동하려면 Windows 서버 온보딩의 지침을 사용하여 먼저 설치 패키지를 적용하여 Windows Server 2016 및 Windows Server 2012 R2를 준비해야 합니다.

  1. 서비스 온보딩 마법사에서 다운로드한 VDI 구성 패키지 파일(WindowsDefenderATPOnboardingPackage.zip)을 엽니다. Microsoft Defender 포털에서 패키지를 가져올 수도 있습니다.

    1. 탐색 창에서 설정>엔드포인트>디바이스 관리>온보딩을 선택합니다.

    2. 운영 체제를 선택합니다.

    3. 배포 방법 필드에서 비영구 엔드포인트에 대한 VDI 온보딩 스크립트를 선택합니다.

    4. 패키지 다운로드를 선택하고 파일을 저장합니다.

  2. 압축된 폴더에서 WindowsDefenderATPOnboardingPackage 추출된 폴더의 파일을 경로 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup아래의 골든/기본 이미지로 복사합니다.

    • 각 디바이스에 대해 여러 항목(각 세션에 대해 하나씩)을 구현하는 경우 를 복사 WindowsDefenderATPOnboardingScript.cmd합니다.

    • 각 디바이스에 대해 단일 항목을 구현하는 경우 및 WindowsDefenderATPOnboardingScript.cmd를 모두 Onboard-NonPersistentMachine.ps1 복사합니다.

    참고

    폴더가 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 표시되지 않으면 숨겨질 수 있습니다. 파일 탐색기 숨겨진 파일 및 폴더 표시 옵션을 선택해야 합니다.

  3. 로컬 그룹 정책 편집기 창을 열고 컴퓨터 구성>Windows 설정> 스크립트시작으로> 이동합니다.

    참고

    도메인 그룹 정책 비영구 VDI 디바이스 온보딩에도 사용할 수 있습니다.

  4. 구현하려는 메서드에 따라 적절한 단계를 수행합니다.

    메서드 단계
    각 디바이스에 대한 단일 항목 1. PowerShell 스크립트 탭을 선택한 다음 추가를 선택합니다(Windows Explorer 이전에 온보딩 스크립트를 복사한 경로에서 직접 열립니다).
    2. PowerShell 스크립트 Onboard-NonPersistentMachine.ps1온보딩으로 이동합니다. 다른 파일은 자동으로 트리거되므로 지정할 필요가 없습니다.
    각 디바이스에 대한 여러 항목 1. 스크립트 탭을 선택한 다음 추가를 선택합니다(Windows Explorer 이전에 온보딩 스크립트를 복사한 경로에서 직접 열립니다).
    2. 온보딩 bash 스크립트 WindowsDefenderATPOnboardingScript.cmd로 이동합니다.

  5. 다음 단계에 따라 솔루션을 테스트합니다.

    1. 하나의 디바이스를 사용하여 풀을 만듭니다.

    2. 디바이스에 로그인합니다.

    3. 디바이스에서 로그아웃합니다.

    4. 다른 계정을 사용하여 디바이스에 로그인합니다.

    5. 구현하려는 메서드에 따라 적절한 단계를 수행합니다.

  6. 탐색 창에서 디바이스 목록을 선택합니다.

  7. 디바이스 이름을 입력하여 검색 함수를 사용하고 디바이스를 검색 유형으로 선택합니다 .

하위 SKU의 경우(Windows Server 2008 R2)

참고

다른 Windows 서버 버전에 대한 이러한 지침은 MMA가 필요한 Windows Server 2016 및 Windows Server 2012 R2에 대한 이전 엔드포인트용 Microsoft Defender 실행하는 경우에도 적용됩니다. 새 통합 솔루션으로 마이그레이션하는 지침은 엔드포인트용 Microsoft Defender 서버 마이그레이션 시나리오에 있습니다.

다음 레지스트리는 각 디바이스에 대해 단일 항목을 달성하는 것이 목표인 경우에만 관련이 있습니다.

  1. 레지스트리 값을 다음과 같이 설정합니다.

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    또는 다음과 같이 명령줄을 사용할 수 있습니다.

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. 서버 온보딩 프로세스를 따릅니다.

VDI(가상 데스크톱 인프라) 이미지 업데이트(영구 또는 비영구)

VDI에서 실행되는 VM에 업데이트를 쉽게 배포할 수 있는 기능을 통해 이 가이드를 단축하여 머신에서 쉽고 빠르게 업데이트를 받을 수 있는 방법에 초점을 맞춥니다. 업데이트가 호스트 서버의 구성 요소 비트로 확장된 다음 VM이 켜져 있을 때 VM에 직접 다운로드되므로 더 이상 정기적으로 골든 이미지를 만들고 봉인할 필요가 없습니다.

VDI 환경의 기본 이미지(SENSE 서비스가 실행 중임)를 온보딩한 경우 이미지를 다시 프로덕션으로 전환하기 전에 일부 데이터를 오프보딩하고 지워야 합니다.

  1. 컴퓨터를 오프보딩합니다.

  2. CMD 창에서 다음 명령을 실행하여 센서가 중지되었는지 확인합니다.

    
sc query sense

  3. CMD 창에서 다음 명령을 실행합니다.

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

VDI에 타사 를 사용하고 있나요?

VMware 인스턴트 복제 또는 유사한 기술을 통해 비영구 VDI를 배포하는 경우 내부 템플릿 VM 및 복제본(replica) VM이 엔드포인트용 Defender에 온보딩되지 않았는지 확인합니다. 단일 항목 방법을 사용하여 디바이스를 온보딩하는 경우 온보딩된 VM에서 프로비전된 인스턴트 클론의 senseGuid가 같을 수 있으며 새 항목이 디바이스 인벤토리 보기에 나열되지 않도록 할 수 있습니다(Microsoft Defender 포털에서 자산>디바이스 선택).

기본 이미지, 템플릿 VM 또는 복제본(replica) VM이 단일 항목 메서드를 사용하여 엔드포인트용 Defender에 온보딩되는 경우 엔드포인트용 Defender가 Microsoft Defender 포털에서 새로운 비영구 VDI에 대한 항목을 만드는 것을 중지합니다.

추가 지원을 받으려면 타사 공급업체에 문의하세요.

디바이스를 서비스에 온보딩한 후에는 다음과 같은 권장 구성 설정으로 디바이스를 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.

차세대 보호 구성

이 링크의 구성 설정은 원격 데스크톱 또는 가상 데스크톱 인프라 환경에서 Microsoft Defender 바이러스 백신 구성을 권장합니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.