다음을 통해 공유

원격 데스크톱 또는 가상 데스크톱 인프라 환경에서 Microsoft Defender 바이러스 백신 구성

  • 아티클

적용 대상:

플랫폼

  • Windows

이 문서는 Microsoft Defender 바이러스 백신 기능만 사용하는 고객을 위해 설계되었습니다. 다른 디바이스 보호 기능과 함께 Microsoft Defender 바이러스 백신을 포함하는 엔드포인트용 Microsoft Defender 있는 경우 Microsoft Defender XDR 비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩을 참조하세요.

RDS(원격 데스크톱) 또는 비영구 VDI(가상 데스크톱 인프라) 환경에서 Microsoft Defender 바이러스 백신을 사용할 수 있습니다. 이 문서의 지침을 사용하여 사용자가 로그인할 때마다 RDS 또는 VDI 환경에 직접 다운로드하도록 업데이트를 구성할 수 있습니다.

이 가이드에서는 다음 방법을 포함하여 최적의 보호 및 성능을 위해 VM에서 Microsoft Defender 바이러스 백신을 구성하는 방법을 설명합니다.

중요

VDI는 Windows Server 2012 또는 Windows Server 2016 호스트할 수 있지만 이전 버전의 Windows에서 사용할 수 없는 보호 기술 및 기능이 증가하여 VM(가상 머신)이 최소 Windows 10 버전 1607을 실행해야 합니다.

보안 인텔리전스용 전용 VDI 파일 공유 설정

Windows 10 버전 1903에서 Microsoft는 다운로드한 보안 인텔리전스 업데이트의 압축을 풀고 호스트 컴퓨터에 오프로드하는 공유 보안 인텔리전스 기능을 도입했습니다. 이 메서드는 개별 컴퓨터에서 CPU, 디스크 및 메모리 리소스의 사용을 줄입니다. 공유 보안 인텔리전스는 이제 Windows 10 버전 1703 이상에서 작동합니다. 그룹 정책 또는 PowerShell을 사용하여 이 기능을 설정할 수 있습니다.

그룹 정책

  1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 열고 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  2. 그룹 정책 관리 편집기 컴퓨터 구성으로 이동합니다.

  3. 관리 템플릿을 선택합니다. 트리를 Windows 구성 요소Microsoft Defender 바이러스 백신>보안 인텔리전스 업데이트 확장합니다>.

  4. VDI 클라이언트에 대한 보안 인텔리전스 위치 정의를 두 번 클릭한 다음 옵션을 사용으로 설정합니다. 필드가 자동으로 나타납니다.

  5. 필드에 를 입력합니다 \\<File Server shared location\>\wdav-update. 이 값에 대한 도움말은 다운로드 및 압축 풀기 를 참조하세요.

  6. 확인을 선택한 다음, 테스트하려는 VM에 그룹 정책 개체를 배포합니다.

PowerShell

  1. 각 RDS 또는 VDI 디바이스에서 다음 cmdlet을 사용하여 기능을 사용하도록 설정합니다.

    Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

  2. 일반적으로 PowerShell 기반 구성 정책을 VM에 푸시하는 것처럼 업데이트를 푸시합니다. (이 문서의 다운로드 및 패키지 해제 섹션을 참조하세요. 공유 위치 항목을 찾습니다.)

최신 업데이트 다운로드 및 압축 풀기

이제 새 업데이트 다운로드 및 설치를 시작할 수 있습니다. 이 섹션에는 사용할 수 있는 샘플 PowerShell 스크립트가 포함되어 있습니다. 이 스크립트는 새 업데이트를 다운로드하고 VM을 준비하는 가장 쉬운 방법입니다. 그런 다음 예약된 작업을 사용하여 관리 컴퓨터에서 특정 시간에 실행되도록 스크립트를 설정해야 합니다. 또는 Azure, Intune 또는 Configuration Manager PowerShell 스크립트를 사용하는 데 익숙한 경우 해당 스크립트를 대신 사용할 수 있습니다.


$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

패키지가 다운로드되고 압축을 풀 때마다 VM이 새 업데이트를 받도록 예약된 작업을 하루에 한 번 실행하도록 설정할 수 있습니다. 하루에 한 번 시작하는 것이 좋지만 영향을 이해하기 위해 빈도를 늘리거나 줄이는 실험을 해야 합니다.

보안 인텔리전스 패키지는 일반적으로 3~4시간마다 한 번씩 게시됩니다. 4시간보다 짧은 빈도를 설정하는 것은 아무런 이점 없이 관리 컴퓨터의 네트워크 오버헤드를 증가하기 때문에 권장되지 않습니다.

VM을 대신하여 업데이트를 한 간격으로 가져오고 사용할 수 있도록 파일 공유에 배치하도록 단일 서버 또는 컴퓨터를 설정할 수도 있습니다. 이 구성은 디바이스가 공유에 대한 공유 및 읽기 액세스 권한(NTFS 권한)이 있는 경우 업데이트를 가져올 수 있도록 할 수 있습니다. 이 구성을 설정하려면 다음 단계를 수행합니다.

  1. SMB/CIFS 파일 공유를 만듭니다.

  2. 다음 예제를 사용하여 다음 공유 권한이 있는 파일 공유를 만듭니다.

    
PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    참고

    인증된 사용자:읽기:에 대한 NTFS 권한이 추가됩니다.

    이 예제에서 파일 공유는 입니다 \\FileServer.fqdn\mdatp$\wdav-update.

PowerShell 스크립트를 실행하도록 예약된 작업 설정

  1. 관리 컴퓨터에서 시작 메뉴를 열고 를 입력합니다 Task Scheduler. 결과에서 작업 스케줄러를 선택한 다음, 측면 패널에서 작업 만들기... 를 선택합니다.

  2. 이름을 로 지정합니다 Security intelligence unpacker.

  3. 트리거 탭에서 새로 만들기... 를 선택합니다.>매일확인을 선택합니다.

  4. 작업 탭에서 새로 만들기...를 선택합니다.

  5. 프로그램/스크립트 필드에 를 지정 PowerShell 합니다.

  6. 인수 추가 필드에 를 입력-ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1한 다음 확인을 선택합니다.

  7. 다른 설정을 적절하게 구성합니다.

  8. 확인을 선택하여 예약된 작업을 저장합니다.

업데이트를 수동으로 시작하려면 작업을 마우스 오른쪽 단추로 클릭한 다음 실행을 선택합니다.

수동으로 다운로드 및 압축 풀기

모든 작업을 수동으로 수행하려는 경우 스크립트의 동작을 복제하기 위해 수행할 작업은 다음과 같습니다.

  1. 인텔리전스 업데이트를 저장하기 위해 호출된 wdav_update 시스템 루트에 새 폴더를 만듭니다. 예를 들어 폴더 c:\wdav_update를 만듭니다.

  2. GUID 이름으로 아래 wdav_update 하위 폴더 만들기(예: ) {00000000-0000-0000-0000-000000000000}

    예제는 다음과 같습니다. c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    참고

    GUID의 마지막 12자리가 매번 새 폴더가 만들어지도록 파일이 다운로드된 연도, 월, 일 및 시간이 되도록 스크립트를 설정합니다. 매번 파일이 동일한 폴더에 다운로드되도록 변경할 수 있습니다.

  3. 에서 GUID 폴더로 보안 인텔리전스 패키지를 https://www.microsoft.com/wdsi/definitions 다운로드합니다. 파일의 이름은 mpam-fe.exe이어야 합니다.

  4. 명령 프롬프트 창을 열고 만든 GUID 폴더로 이동합니다. /X 추출 명령을 사용하여 파일을 추출합니다. 예를 들어 mpam-fe.exe /X입니다.

    참고

    VM은 추출된 업데이트 패키지로 새 GUID 폴더를 만들거나 기존 폴더가 새 추출된 패키지로 업데이트될 때마다 업데이트된 패키지를 선택합니다.

바이러스 백신 구성 설정 Microsoft Defender

다음 권장 구성 설정으로 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.  VDI 환경에 최적화되어 있습니다.

최신 Windows 그룹 정책 관리 템플릿은 중앙 저장소 만들기 및 관리에서 사용할 수 있습니다.

뿌리

  • 사용자 동의 없이 설치된 애플리케이션에 대한 검색 구성: Enabled - Block

  • 목록에 대한 로컬 관리자 병합 동작을 구성합니다. Disabled

  • 제외가 로컬 관리자에게 표시되는지 여부를 제어합니다. Enabled

  • 일상적인 수정 끄기: Disabled

  • 예약된 검사를 임의로 지정합니다. Enabled

클라이언트 인터페이스

  • 헤드리스 UI 모드 사용: Enabled

    참고

    이 정책은 organization 최종 사용자로부터 전체 Microsoft Defender 바이러스 백신 사용자 인터페이스를 숨깁니다.

  • 모든 알림을 표시하지 않습니다. Enabled

참고

경우에 따라 Microsoft Defender 바이러스 백신 알림이 여러 세션으로 전송되거나 유지됩니다. 사용자 혼동을 방지하기 위해 Microsoft Defender 바이러스 백신 사용자 인터페이스를 잠글 수 있습니다. 알림을 표시하지 않도록 설정하면 검색이 수행되거나 수정 작업이 수행되면 바이러스 백신이 Microsoft Defender 알림이 표시되지 않습니다. 그러나 보안 운영 팀은 공격이 감지되고 중지된 경우 검사 결과를 확인합니다. 초기 액세스 경고와 같은 경고가 생성되고 Microsoft Defender 포털에 표시됩니다.

지도

  • Microsoft MAPS에 가입(클라우드 제공 보호 켜기): Enabled - Advanced MAPS

  • 추가 분석이 필요한 경우 파일 샘플 보내기: Send all samples (more secure) 또는 Send safe sample (less secure)

MPEngine

  • 확장 클라우드 검사 구성:20

  • 클라우드 보호 수준 선택: Enabled - High

  • 파일 해시 계산 기능 사용: Enabled

참고

"파일 해시 계산 기능 사용"은 표시기 – 파일 해시를 사용하는 경우에만 필요합니다.  파일 해시를 가져오려면 디스크의 각 이진 파일을 구문 분석해야 하므로 CPU 사용률이 높아질 수 있습니다.

실시간 보호

  • 들어오고 나가는 파일 및 프로그램 활동에 대한 모니터링을 구성합니다. Enabled – bi-directional (full on-access)

  • 컴퓨터에서 파일 및 프로그램 활동 모니터링: Enabled

  • 다운로드한 모든 파일 및 첨부 파일을 검사합니다. Enabled

  • 동작 모니터링 켜기: Enabled

  • 실시간 보호를 사용하도록 설정할 때마다 프로세스 검사를 켭니다. Enabled

  • 원시 볼륨 쓰기 알림을 켭니다. Enabled

스캔

  • 예약된 검사를 실행하기 전에 최신 바이러스 및 스파이웨어 보안 인텔리전스를 확인합니다. Enabled

  • 보관 파일 검사: Enabled

  • 네트워크 파일 검사: Not configured

  • 압축된 실행 파일을 검사합니다. Enabled

  • 이동식 드라이브 검사: Enabled

  • 캐치업 전체 검사 켜기(캐치업 전체 검사 사용 안 함): Not configured

  • 캐치업 빠른 검색 켜기(catchup quick scan 사용 안 함): Not configured

    참고

    강화하려는 경우 VM이 오프라인 상태이고 두 개 이상의 연속 예약된 검사를 놓친 경우에 도움이 되는 "캐치업 빠른 검사 켜기"를 사용으로 변경할 수 있습니다.  그러나 예약된 검사를 실행하므로 추가 CPU를 사용합니다.

  • 전자 메일 검사를 켭니다. Enabled

  • 추론을 켭니다. Enabled

  • 재분석 지점 검사를 켭니다. Enabled

일반 예약 검사 설정

  • 예약된 검사에 대해 낮은 CPU 우선 순위 구성(예약된 검사에 낮은 CPU 우선 순위 사용): Not configured

  • 검사 중 CPU 사용률의 최대 백분율을 지정합니다(검사당 CPU 사용량 제한):. 50

  • 컴퓨터가 켜졌지만 사용 중이 아닌 경우에만 예약된 검사를 시작합니다(ScanOnlyIfIdle). Not configured

  • 다음 cmdlet을 사용하여 디바이스가 수동 모드인 경우 유휴 상태가 될 때마다 빠른 또는 예약된 검사를 중지합니다.

    
Set-MpPreference -ScanOnlyIfIdleEnabled $false

"컴퓨터가 켜졌지만 사용 중이 아닌 경우에만 예약된 검사 시작"이라는 설정은 고밀도 환경에서 상당한 CPU 경합을 방지합니다.

매일 빠른 검사

  • 하루에 빠른 검사를 실행할 간격을 지정합니다. Not configured

  • 매일 빠른 검사 시간을 지정합니다(매일 빠른 검사 실행: 12 PM

매주 예약된 검사 실행(빠른 또는 전체)

  • 예약된 검사에 사용할 검사 유형을 지정합니다(스캔 유형). Not configured

  • 예약된 검사를 실행할 시간(예약된 검사를 실행하려면 요일)을 지정합니다. Not configured

  • 예약된 검사를 실행할 요일을 지정합니다(예약된 검사를 실행하는 시간). Not configured

보안 인텔리전스 업데이트

  • 보안 인텔리전스 업데이트 후 검색 켜기(업데이트 후 검사 사용 안 함): Disabled

    참고

    보안 인텔리전스 업데이트 후 검사를 사용하지 않도록 설정하면 업데이트를 받은 후 검색이 발생하지 않습니다. 빠른 검사를 실행한 경우 기본 이미지를 만들 때 이 설정을 적용할 수 있습니다. 이렇게 하면 새로 업데이트된 VM이 다시 검사를 수행하지 못하도록 할 수 있습니다(기본 이미지를 만들 때 이미 검사했기 때문에).

    중요

    업데이트 후 검사를 실행하면 VM이 최신 보안 인텔리전스 업데이트로 보호되도록 할 수 있습니다. 이 옵션을 사용하지 않도록 설정하면 VM의 보호 수준이 줄어들고 기본 이미지를 처음 만들거나 배포할 때만 사용해야 합니다.

  • 보안 인텔리전스 업데이트에 대해 검사 간격을 지정합니다(보안 인텔리전스 업데이트를 검사 빈도 입력).Enabled - 8

  • 다른 설정은 기본 상태로 둡니다.

위협

  • 검색될 때 기본 작업을 수행하지 않아야 하는 위협 경고 수준을 지정합니다. Enabled

  • 다음 표와 같이 , High (4), Medium (2)Low (1) 모두를 Quarantine (2)로 설정합니다Severe (5).

    값 이름
    1 (낮음) 2
    2 (중간) 2
    4 (높음) 2
    5 (심각) 2

공격 노출 영역 축소 규칙

사용 가능한 모든 규칙을 로 구성합니다 Audit.

네트워크 보호 사용

사용자 및 앱이 위험한 웹 사이트에 액세스하지 못하도록 방지(네트워크 보호 사용): Enabled - Audit mode.

Microsoft Edge용 SmartScreen

  • Microsoft Edge용 SmartScreen 필요: Yes

  • 악의적인 사이트 액세스 차단: Yes

  • 확인되지 않은 파일 다운로드 차단: Yes

Windows Defender 캐시 유지 관리 예약 작업 실행

비영구 및/또는 영구 VDI 환경에 대해 "Windows Defender 캐시 유지 관리" 예약 작업을 최적화합니다. 봉인하기 전에 기본 이미지에서 이 작업을 실행합니다.

  1. 작업 스케줄러 mmc(taskschd.msc)를 엽니다.

  2. 작업 스케줄러 라이브러리>Microsoft>Windows>Defender를 확장한 다음 Windows Defender 캐시 유지 관리를 마우스 오른쪽 단추로 클릭합니다.

  3. 실행을 선택하고 예약된 작업을 완료하도록 합니다.

    경고

    이렇게 하지 않으면 캐시 유지 관리 작업이 각 VM에서 실행되는 동안 CPU 사용률이 높아질 수 있습니다.

변조 방지 사용

변조 방지를 사용하도록 설정하여 Microsoft Defender 포털에서 Microsoft Defender 바이러스 백신을 사용하지 않도록 설정합니다.

제외

제외를 추가해야 한다고 생각되는 경우 엔드포인트용 Microsoft Defender 대한 제외 관리 및 바이러스 백신 Microsoft Defender 참조하세요.

다음 단계

Windows 기반 VDI VM에 EDR(엔드포인트 검색 및 응답)도 배포하는 경우 Microsoft Defender XDR 비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩을 참조하세요.

참고 항목

비 Windows 플랫폼에서 엔드포인트용 Defender에 대한 정보를 찾고 있는 경우 다음 리소스를 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.