정책 CSP - Defender
AllowArchiveScanning
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
이 정책 설정을 사용하면 .ZIP 또는 .CAB 파일과 같은 보관 파일에서 악성 소프트웨어 및 원치 않는 소프트웨어에 대한 검사를 구성할 수 있습니다.
이 설정을 사용하거나 구성하지 않으면 보관 파일이 검색됩니다.
이 설정을 사용하지 않도록 설정하면 보관 파일이 검색되지 않습니다. 그러나 보관 파일은 항상 직접 검사하는 동안 검사됩니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 보관된 파일에서 검사를 해제합니다. |
1(기본값) | 허용됩니다. 보관 파일을 검사합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableArchiveScanning |
이름 | 보관 파일 검사 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
레지스트리 값 이름 | DisableArchiveScanning |
ADMX 파일 이름 | WindowsDefender.admx |
AllowBehaviorMonitoring
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
이 정책 설정을 사용하면 동작 모니터링을 구성할 수 있습니다.
이 설정을 사용하거나 구성하지 않으면 동작 모니터링이 사용하도록 설정됩니다.
이 설정을 사용하지 않도록 설정하면 동작 모니터링이 비활성화됩니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 동작 모니터링을 해제합니다. |
1(기본값) | 허용됩니다. 실시간 동작 모니터링을 켭니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | RealtimeProtection_DisableBehaviorMonitoring |
이름 | 동작 모니터링 켜기 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 실시간 보호 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
레지스트리 값 이름 | DisableBehaviorMonitoring |
ADMX 파일 이름 | WindowsDefender.admx |
AllowCloudProtection
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
이 정책 설정을 사용하면 Microsoft MAPS에 가입할 수 있습니다. Microsoft MAPS는 잠재적 위협에 대응하는 방법을 선택하는 데 도움이 되는 온라인 커뮤니티입니다. 커뮤니티는 또한 새로운 악성 소프트웨어 감염의 확산을 중지하는 데 도움이됩니다.
검색된 소프트웨어에 대한 기본 또는 추가 정보를 보내도록 선택할 수 있습니다. 추가 정보는 Microsoft가 새 보안 인텔리전스를 만들고 컴퓨터를 보호하는 데 도움이 됩니다. 이 정보에는 유해한 소프트웨어가 제거된 경우 컴퓨터에서 검색된 항목의 위치와 같은 항목이 포함될 수 있습니다. 정보는 자동으로 수집되어 전송됩니다. 경우에 따라 개인 정보가 의도치 않게 Microsoft로 전송될 수 있습니다. 그러나 Microsoft는 이 정보를 사용하여 귀하를 식별하거나 연락하지 않습니다.
가능한 옵션은 다음과 같습니다.
(0x0) 사용 안 함(기본값)(0x1) 기본 멤버 자격(0x2) 고급 멤버 자격입니다.
기본 멤버 자격은 소프트웨어가 어디에서 왔는지, 적용하거나 자동으로 적용되는 작업, 작업이 성공했는지 여부 등 검색된 소프트웨어에 대한 기본 정보를 Microsoft에 보냅니다.
고급 멤버 자격은 기본 정보 외에도 소프트웨어 위치, 파일 이름, 소프트웨어 작동 방법 및 컴퓨터에 미치는 영향을 포함하여 악성 소프트웨어, 스파이웨어 및 잠재적으로 원치 않는 소프트웨어에 대한 자세한 정보를 Microsoft에 보냅니다.
이 설정을 사용하도록 설정하면 지정된 멤버 자격으로 Microsoft MAPS에 가입하게 됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 Microsoft MAPS에 가입하지 않습니다.
Windows 10 기본 멤버 자격을 더 이상 사용할 수 없으므로 값을 1 또는 2로 설정하면 디바이스가 고급 멤버 자격으로 등록됩니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 Microsoft Active Protection Service를 끕니다. |
1(기본값) | 허용됩니다. Microsoft Active Protection Service를 켭니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | SpynetReporting |
이름 | Microsoft 지도 가입 |
요소 이름 | Microsoft MAPS에 가입합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > MAPS |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Spynet |
ADMX 파일 이름 | WindowsDefender.admx |
AllowEmailScanning
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
이 정책 설정을 사용하면 전자 메일 검사를 구성할 수 있습니다. 전자 메일 검사를 사용하도록 설정하면 엔진은 메일 본문 및 첨부 파일을 분석하기 위해 특정 형식에 따라 사서함 및 메일 파일을 구문 분석합니다. pst(Outlook), dbx, mbx, mime(Outlook Express), binhex(Mac)와 같은 여러 전자 메일 형식이 현재 지원됩니다. Email 검사는 최신 전자 메일 클라이언트에서 지원되지 않습니다.
이 설정을 사용하도록 설정하면 전자 메일 검사가 활성화됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 전자 메일 검사가 비활성화됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 허용되지 않음 전자 메일 검사를 끕니다. |
1 | 허용됩니다. 전자 메일 검사를 켭니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableEmailScanning |
이름 | 전자 메일 검사 켜기 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
레지스트리 값 이름 | DisableEmailScanning |
ADMX 파일 이름 | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
이 정책 설정을 사용하면 매핑된 네트워크 드라이브 검사를 구성할 수 있습니다.
이 설정을 사용하도록 설정하면 매핑된 네트워크 드라이브가 검사됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 매핑된 네트워크 드라이브가 검색되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 허용되지 않음 매핑된 네트워크 드라이브에서 검사를 사용하지 않도록 설정합니다. |
1 | 허용됩니다. 매핑된 네트워크 드라이브를 검사합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableScanningMappedNetworkDrivesForFullScan |
이름 | 매핑된 네트워크 드라이브에서 전체 검사 실행 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
레지스트리 값 이름 | DisableScanningMappedNetworkDrivesForFullScan |
ADMX 파일 이름 | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
이 정책 설정을 사용하면 전체 검사를 실행할 때 USB 플래시 드라이브와 같은 이동식 드라이브의 콘텐츠에서 악성 소프트웨어 및 원치 않는 소프트웨어를 검색할지 여부를 관리할 수 있습니다.
이 설정을 사용하도록 설정하면 모든 유형의 검사 중에 이동식 드라이브가 검사됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 전체 검사 중에 이동식 드라이브가 검색되지 않습니다. 이동식 드라이브는 빠른 검사 및 사용자 지정 검사 중에 계속 검사될 수 있습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 허용되지 않음 이동식 드라이브에서 검사를 끕니다. |
1 | 허용됩니다. 이동식 드라이브를 검색합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableRemovableDriveScanning |
이름 | 이동식 드라이브 검사 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
레지스트리 값 이름 | DisableRemovableDriveScanning |
ADMX 파일 이름 | WindowsDefender.admx |
AllowIntrusionPreventionSystem
참고
이 정책은 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
Windows Defender 침입 방지 기능을 허용하거나 허용하지 않습니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 |
1(기본값) | 허용됩니다. |
AllowIOAVProtection
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
이 정책 설정을 사용하면 다운로드한 모든 파일 및 첨부 파일에 대한 검사를 구성할 수 있습니다.
이 설정을 사용하거나 구성하지 않으면 다운로드한 모든 파일 및 첨부 파일을 검색할 수 있습니다.
이 설정을 사용하지 않도록 설정하면 다운로드한 모든 파일 및 첨부 파일에 대한 검색이 비활성화됩니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 |
1(기본값) | 허용됩니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | RealtimeProtection_DisableIOAVProtection |
이름 | 다운로드한 모든 파일 및 첨부 파일 검사 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 실시간 보호 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
레지스트리 값 이름 | DisableIOAVProtection |
ADMX 파일 이름 | WindowsDefender.admx |
AllowOnAccessProtection
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
이 정책 설정을 사용하면 파일 및 프로그램 활동에 대한 모니터링을 구성할 수 있습니다.
이 설정을 사용하거나 구성하지 않으면 파일 및 프로그램 활동에 대한 모니터링이 사용하도록 설정됩니다.
이 설정을 사용하지 않도록 설정하면 파일 및 프로그램 활동에 대한 모니터링이 비활성화됩니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 |
1(기본값) | 허용됩니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | RealtimeProtection_DisableOnAccessProtection |
이름 | 사용자의 컴퓨터에서 파일 및 프로그램 활동 모니터링 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 실시간 보호 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
레지스트리 값 이름 | DisableOnAccessProtection |
ADMX 파일 이름 | WindowsDefender.admx |
AllowRealtimeMonitoring
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
Windows Defender 실시간 모니터링 기능을 허용하거나 허용하지 않습니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 실시간 모니터링 서비스를 해제합니다. |
1(기본값) | 허용됩니다. 실시간 모니터링 서비스를 켜고 실행합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | DisableRealtimeMonitoring |
이름 | 실시간 보호 끄기 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 실시간 보호 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
레지스트리 값 이름 | DisableRealtimeMonitoring |
ADMX 파일 이름 | WindowsDefender.admx |
AllowScanningNetworkFiles
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
이 정책 설정을 사용하면 네트워크를 통해 액세스되는 파일에 대해 예약된 검사 및 주문형(수동으로 시작) 검사를 구성할 수 있습니다. 이 설정을 사용하도록 설정하는 것이 좋습니다.
참고
실시간 보호(액세스 시) 검사는 이 정책의 영향을 받지 않습니다.
- 이 설정을 사용하도록 설정하거나 이 설정을 구성하지 않으면 네트워크 파일이 검색됩니다.
- 이 설정을 사용하지 않도록 설정하면 네트워크 파일이 검색되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 허용되지 않음 네트워크 파일의 검사를 해제합니다. |
1 | 허용됩니다. 네트워크 파일을 검사합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableScanningNetworkFiles |
이름 | 네트워크 파일 검사 구성 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
레지스트리 값 이름 | DisableScanningNetworkFiles |
ADMX 파일 이름 | WindowsDefender.admx |
AllowScriptScanning
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
Windows Defender 스크립트 검사 기능을 허용하거나 허용하지 않습니다.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 |
1(기본값) | 허용됩니다. |
AllowUserUIAccess
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
이 정책 설정을 사용하면 사용자에게 AM UI를 표시할지 여부를 구성할 수 있습니다.
이 설정을 사용하도록 설정하면 사용자가 AM UI를 사용할 수 없습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 허용되지 않음 사용자가 UI에 액세스하지 못하도록 합니다. |
1(기본값) | 허용됩니다. 사용자가 UI에 액세스할 수 있도록 합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | UX_Configuration_UILockdown |
이름 | 헤드리스 UI 모드 사용 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 클라이언트 인터페이스 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\UX 구성 |
레지스트리 값 이름 | UILockdown |
ADMX 파일 이름 | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
ASR(공격 표면 감소) 규칙에서 파일 및 경로를 제외합니다.
사용:
옵션 섹션의 ASR 규칙에서 제외해야 하는 폴더 또는 파일 및 리소스를 지정합니다.
새 줄에 각 규칙을 이름-값 쌍으로 입력합니다.
- 이름 열: 폴더 경로 또는 정규화된 리소스 이름을 입력합니다. 예를 들어 "C:\Windows"는 해당 디렉터리의 모든 파일을 제외합니다. "C:\Windows\App.exe"는 해당 특정 폴더의 특정 파일만 제외합니다.
- 값 열: 각 항목에 대해 "0"을 입력합니다.
비활성화:
ASR 규칙에는 제외가 적용되지 않습니다.
구성되지 않음:
사용 안 함과 동일합니다.
공격 표면 감소 규칙 구성 GP 설정에서 ASR 규칙을 구성할 수 있습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | ExploitGuard_ASR_ASROnlyExclusions |
이름 | 공격 표면 감소 규칙에서 파일 및 경로 제외 |
요소 이름 | ASR 규칙에서 제외됩니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 공격 표면 감소 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
ADMX 파일 이름 | WindowsDefender.admx |
AttackSurfaceReductionRules
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
각 ASR(공격 표면 감소) 규칙의 상태를 설정합니다.
이 설정을 사용하도록 설정한 후 옵션 섹션에서 각 규칙을 다음으로 설정할 수 있습니다.
- 차단: 규칙이 적용됩니다.
- 감사 모드: 규칙이 일반적으로 이벤트를 발생시키는 경우 해당 규칙이 기록됩니다(규칙이 실제로 적용되지는 않지만).
- 끄기: 규칙이 적용되지 않음
- 구성되지 않음: 규칙이 기본값으로 사용하도록 설정됨
- 경고: 규칙이 적용되고 최종 사용자에게 블록을 바이패스할 수 있는 옵션이 있습니다.
ASR 규칙을 사용하지 않도록 설정하지 않으면 ASR 규칙에 대한 감사 이벤트의 하위 샘플이 구성되지 않은 값으로 수집됩니다.
사용:
이 설정의 옵션 섹션에서 각 ASR 규칙의 상태를 지정합니다.
새 줄에 각 규칙을 이름-값 쌍으로 입력합니다.
- 이름 열: 유효한 ASR 규칙 ID 입력
- 값 열: 연결된 규칙에 대해 지정하려는 상태와 관련된 상태 ID를 입력합니다.
다음 상태 ID는 값 열 아래에 허용됩니다.
- 1(블록)
- 0(끄기)
- 2(감사)
- 5(구성되지 않음)
- 6(경고)
예제:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx 1 xxxx-xxxx-xxxx-xx 2
비활성화:
ASR 규칙이 구성되지 않습니다.
구성되지 않음:
사용 안 함과 동일합니다.
"공격 표면 감소 규칙에서 파일 및 경로 제외" GP 설정에서 폴더 또는 파일을 제외할 수 있습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | ExploitGuard_ASR_Rules |
이름 | 공격 표면 감소 규칙 구성 |
요소 이름 | 각 ASR 규칙에 대한 상태를 설정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 공격 표면 감소 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
ADMX 파일 이름 | WindowsDefender.admx |
AvgCPULoadFactor
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
이 정책 설정을 사용하면 검사 중에 허용되는 최대 CPU 사용률을 구성할 수 있습니다. 이 설정의 유효한 값은 정수 5~100으로 표시되는 백분율입니다. 값이 0이면 CPU 사용률이 제한되지 않음을 나타냅니다. 기본값은 50입니다.
이 설정을 사용하도록 설정하면 CPU 사용률이 지정된 백분율을 초과하지 않습니다.
이 설정을 사용하지 않거나 구성하지 않으면 CPU 사용률이 기본값을 초과하지 않습니다.
참고
다음 두 정책을 모두 사용하도록 설정하면 Windows는 AvgCPULoadFactor 값을 무시합니다.
- ScanOnlyIfIdle: 컴퓨터가 사용되지 않는 경우에만 스캔하도록 제품에 지시합니다.
- DisableCpuThrottleOnIdleScans: 유휴 검사에서 CPU 제한을 사용하지 않도록 제품에 지시합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 레인지: [0-100] |
기본 값 | 50 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_AvgCPULoadFactor |
이름 | 검사 도중 최대 CPU 사용률 지정 |
요소 이름 | 검사하는 동안 CPU 사용률의 최대 비율을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
이 정책 설정을 사용하면 검사를 실행하기 전에 새 바이러스 및 스파이웨어 보안 인텔리전스에 대한 검사 발생할지 여부를 관리할 수 있습니다.
이 설정은 예약된 검사에 적용되지만 사용자 인터페이스에서 수동으로 시작된 검사 또는 "mpcmdrun -Scan"을 사용하여 명령줄에서 시작된 검사에는 영향을 주지 않습니다.
이 설정을 사용하도록 설정하면 검사를 실행하기 전에 새 보안 인텔리전스에 대한 검사 발생합니다.
이 설정을 사용하지 않도록 설정하거나 이 설정을 구성하지 않으면 검사에서 기존 보안 인텔리전스를 사용하기 시작합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 사용하지 않도록 설정됩니다. |
1 | 활성화. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | CheckForSignaturesBeforeRunningScan |
이름 | 예약된 검사를 실행하기 전에 최신 바이러스 및 스파이웨어 보안 인텔리전스 확인 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
CloudBlockLevel
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
이 정책 설정은 바이러스 백신이 의심스러운 파일을 차단하고 검사하는 데 얼마나 적극적인 Microsoft Defender 결정합니다.
이 설정이 켜진 경우 Microsoft Defender 바이러스 백신은 차단하고 검사할 의심스러운 파일을 식별할 때 더 공격적입니다. 그렇지 않으면 덜 공격적이므로 빈도가 낮아 차단 및 검색됩니다.
지원되는 특정 값에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 설명서 사이트를 참조하세요.
참고
이 기능을 사용하려면 "Microsoft MAPS 조인" 설정을 사용하도록 설정해야 합니다.
가능한 옵션은 다음과 같습니다.
(0x0) 기본 Microsoft Defender 바이러스 백신 차단 수준(0x1) 보통 Microsoft Defender 바이러스 백신 차단 수준, 높은 신뢰도 감지(0x2) 높은 차단 수준에 대해서만 평결 제공 - 클라이언트 성능을 최적화하는 동안 알 수 없음을 적극적으로 차단(0x4) 높음+ 차단 수준 - 알 수 없음을 적극적으로 차단하고 추가 보호를 적용합니다. 측정값(클라이언트 성능에 영향을 미칠 수 있음)(0x6) 허용 오차 차단 수준 - 알 수 없는 모든 실행 파일을 차단합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 구성되지 않았습니다. |
2 | 높다. |
4 | HighPlus. |
6 | ZeroTolerance. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | MpEngine_MpCloudBlockLevel |
이름 | 클라우드 보호 수준 선택 |
요소 이름 | 클라우드 차단 수준을 선택합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > MpEngine |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\MpEngine |
ADMX 파일 이름 | WindowsDefender.admx |
CloudExtendedTimeout
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
이 기능을 사용하면 Microsoft Defender 바이러스 백신이 최대 60초 동안 의심스러운 파일을 차단하고 클라우드에서 검색하여 안전한지 확인할 수 있습니다.
일반적인 클라우드 검사 시간 제한은 10초입니다. 확장된 클라우드 검사 기능을 사용하도록 설정하려면 최대 50초까지 연장된 시간을 초 단위로 지정합니다.
예를 들어 원하는 시간 제한이 60초인 경우 이 설정에서 50초를 지정하여 확장된 클라우드 검사 기능을 사용하도록 설정하고 총 시간을 60초로 올립니다.
참고
이 기능은 다른 세 가지 MAPS 설정인 "즉각적 차단' 기능 구성에 따라 달라집니다. " Microsoft MAPS 조인"; "추가 분석이 필요할 때 파일 샘플 보내기"를 모두 사용하도록 설정해야 합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 레인지: [0-50] |
기본 값 | 0 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | MpEngine_MpBafsExtendedTimeout |
이름 | 확장된 클라우드 검사 구성 |
요소 이름 | 확장된 클라우드 검사 시간을 초 단위로 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > MpEngine |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\MpEngine |
ADMX 파일 이름 | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
제어된 폴더 액세스에서 "신뢰할 수 있는" 것으로 간주되어야 하는 추가 애플리케이션을 추가합니다.
이러한 애플리케이션은 제어된 폴더 액세스 폴더의 파일을 수정하거나 삭제할 수 있습니다.
Microsoft Defender 바이러스 백신은 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 애플리케이션을 추가하도록 이 설정을 구성할 수 있습니다.
사용:
옵션 섹션에서 허용되는 추가 애플리케이션을 지정합니다.
비활성화:
신뢰할 수 있는 목록에 추가된 애플리케이션은 없습니다.
구성되지 않음:
사용 안 함과 동일합니다.
제어된 폴더 액세스 구성 GP 설정에서 제어된 폴더 액세스를 사용하도록 설정할 수 있습니다.
기본 시스템 폴더는 자동으로 보호되지만 보호된 폴더 구성 GP 설정에서 폴더를 추가할 수 있습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | ExploitGuard_ControlledFolderAccess_AllowedApplications |
이름 | 허용된 애플리케이션 구성 |
요소 이름 | 신뢰할 수 있는 애플리케이션을 입력합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 제어 폴더 액세스 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
ADMX 파일 이름 | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
제어된 폴더 액세스 기능으로 보호해야 하는 추가 폴더를 지정합니다.
이러한 폴더의 파일은 신뢰할 수 없는 애플리케이션에서 수정하거나 삭제할 수 없습니다.
기본 시스템 폴더는 자동으로 보호됩니다. 폴더를 추가하도록 이 설정을 구성할 수 있습니다.
보호되는 기본 시스템 폴더 목록은 Windows 보안 표시됩니다.
사용:
옵션 섹션에서 보호해야 하는 추가 폴더를 지정합니다.
비활성화:
추가 폴더는 보호되지 않습니다.
구성되지 않음:
사용 안 함과 동일합니다.
제어된 폴더 액세스 구성 GP 설정에서 제어된 폴더 액세스를 사용하도록 설정할 수 있습니다.
Microsoft Defender 바이러스 백신은 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 허용된 애플리케이션 GP 구성 설정에서 신뢰할 수 있는 애플리케이션을 추가할 수 있습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
이름 | 보호된 폴더 구성 |
요소 이름 | 보호해야 하는 폴더를 입력합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 제어 폴더 액세스 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
ADMX 파일 이름 | WindowsDefender.admx |
DaysToRetainCleanedMalware
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
이 정책 설정은 항목을 제거하기 전에 격리 폴더에 보관해야 하는 일 수를 정의합니다.
이 설정을 사용하도록 설정하면 지정된 일 수 이후에 격리 폴더에서 항목이 제거됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 항목이 격리 폴더에 무기한 유지되고 자동으로 제거되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 레인지: [0-90] |
기본 값 | 0 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Quarantine_PurgeItemsAfterDelay |
이름 | 격리 폴더에서 항목 제거 구성 |
요소 이름 | 격리 폴더에서 항목 제거를 구성합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 > 백신 격리 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Quarantine |
ADMX 파일 이름 | WindowsDefender.admx |
DisableCatchupFullScan
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
이 정책 설정을 사용하면 예약된 전체 검사에 대한 catch-up 검사를 구성할 수 있습니다. 캐치업 검사는 정기적으로 예약된 검사를 놓쳤기 때문에 시작된 검사입니다. 일반적으로 예약된 검사는 예약된 시간에 컴퓨터가 꺼져 있기 때문에 누락됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 예약된 전체 검사에 대한 catch-up 검사가 켜집니다. 컴퓨터가 두 번의 연속 예약된 검사에 대해 오프라인 상태인 경우 다음에 누군가가 컴퓨터에 로그온할 때 캐치업 검사가 시작됩니다. 예약된 검사가 구성되지 않은 경우 catch-up 검사 실행이 없습니다.
이 설정을 사용하도록 설정하면 예약된 전체 검사에 대한 catch-up 검사가 비활성화됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 활성화. |
1(기본값) | 사용하지 않도록 설정됩니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableCatchupFullScan |
이름 | 캐치업 전체 검사 켜기 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
DisableCatchupQuickScan
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
이 정책 설정을 사용하면 예약된 빠른 검사에 대한 캐치업 검사를 구성할 수 있습니다. 캐치업 검사는 정기적으로 예약된 검사를 놓쳤기 때문에 시작된 검사입니다. 일반적으로 예약된 검사는 예약된 시간에 컴퓨터가 꺼져 있기 때문에 누락됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 예약된 빠른 검사에 대한 캐치업 검색이 켜집니다. 컴퓨터가 두 번의 연속 예약된 검사에 대해 오프라인 상태인 경우 다음에 누군가가 컴퓨터에 로그온할 때 캐치업 검사가 시작됩니다. 예약된 검사가 구성되지 않은 경우 catch-up 검사 실행이 없습니다.
이 설정을 사용하도록 설정하면 예약된 빠른 검사에 대한 catch-up 검사가 사용하지 않도록 설정됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 활성화. |
1(기본값) | 사용하지 않도록 설정됩니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_DisableCatchupQuickScan |
이름 | 캐치업 빠른 검사 켜기 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
EnableControlledFolderAccess
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
신뢰할 수 없는 애플리케이션에 대해 제어된 폴더 액세스를 사용하거나 사용하지 않도록 설정합니다. 신뢰할 수 없는 앱의 시도를 차단, 감사 또는 허용하여 다음을 수행할 수 있습니다.
- Documents 폴더와 같은 보호된 폴더의 파일 수정 또는 삭제
- 디스크 섹터에 씁니다.
보호된 폴더의 파일 수정 또는 삭제를 허용하면서 디스크 섹터에 대한 쓰기만 차단하거나 감사하도록 선택할 수도 있습니다.
Microsoft Defender 바이러스 백신은 신뢰할 수 있는 애플리케이션을 자동으로 결정합니다. 허용된 애플리케이션 GP 구성 설정에서 신뢰할 수 있는 애플리케이션을 추가할 수 있습니다.
기본 시스템 폴더는 자동으로 보호되지만 보호된 폴더 구성 GP 설정에서 폴더를 추가할 수 있습니다.
차단:
다음이 차단됩니다.
- 신뢰할 수 없는 앱이 보호된 폴더의 파일을 수정하거나 삭제하려고 시도함
- 신뢰할 수 없는 앱이 디스크 섹터에 쓰려고 시도합니다.
Windows 이벤트 로그는 애플리케이션 및 서비스 로그 > Microsoft > Windows > Defender > 운영 > ID 1123 아래에 이러한 블록을 기록합니다.
비활성화:
다음은 차단되지 않으며 실행할 수 있습니다.
- 신뢰할 수 없는 앱이 보호된 폴더의 파일을 수정하거나 삭제하려고 시도함
- 신뢰할 수 없는 앱이 디스크 섹터에 쓰려고 시도합니다.
이러한 시도는 Windows 이벤트 로그에 기록되지 않습니다.
감사 모드:
다음은 차단되지 않으며 실행할 수 있습니다.
- 신뢰할 수 없는 앱이 보호된 폴더의 파일을 수정하거나 삭제하려고 시도함
- 신뢰할 수 없는 앱이 디스크 섹터에 쓰려고 시도합니다.
Windows 이벤트 로그는 애플리케이션 및 서비스 로그 Microsoft > Windows Defender >> 운영 > ID 1124에서 이러한 시도를 기록합니다>.
디스크 수정만 차단:
다음이 차단됩니다.
- 신뢰할 수 없는 앱이 디스크 섹터에 쓰려고 시도합니다.
Windows 이벤트 로그는 애플리케이션 및 서비스 로그 Microsoft > Windows Windows > Defender > 운영 > ID 1123에서 이러한 시도를 기록합니다>.
다음은 차단되지 않으며 실행할 수 있습니다.
- 신뢰할 수 없는 앱이 보호된 폴더의 파일을 수정하거나 삭제하려고 시도합니다.
이러한 시도는 Windows 이벤트 로그에 기록되지 않습니다.
디스크 수정만 감사:
다음은 차단되지 않으며 실행할 수 있습니다.
- 신뢰할 수 없는 앱이 디스크 섹터에 쓰려는 시도
- 신뢰할 수 없는 앱이 보호된 폴더의 파일을 수정하거나 삭제하려고 시도합니다.
보호된 디스크 섹터에 대한 쓰기 시도만 Windows 이벤트 로그에 기록됩니다(애플리케이션 및 서비스 로그 > Microsoft > Windows > Defender > 운영 > ID 1124 아래).
보호된 폴더의 파일을 수정하거나 삭제하려는 시도는 기록되지 않습니다.
구성되지 않음:
사용 안 함과 동일합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 사용하지 않도록 설정됩니다. |
1 | 활성화. |
2 | 감사 모드. |
3 | 디스크 수정만 차단합니다. |
4 | 디스크 수정만 감사합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
이름 | 제어된 폴더 액세스 구성 |
요소 이름 | 내 폴더 보호 기능을 구성합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 제어 폴더 액세스 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
ADMX 파일 이름 | WindowsDefender.admx |
EnableLowCPUPriority
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
이 정책 설정을 사용하면 예약된 검사에 낮은 CPU 우선 순위를 사용하거나 사용하지 않도록 설정할 수 있습니다.
이 설정을 사용하도록 설정하면 예약된 검사 중에 낮은 CPU 우선 순위가 사용됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 예약된 검사에 대한 CPU 우선 순위가 변경되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 사용하지 않도록 설정됩니다. |
1 | 활성화. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_LowCpuPriority |
이름 | 예약된 검사에 대한 낮은 CPU 우선 순위 구성 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
EnableNetworkProtection
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
Microsoft Defender Exploit Guard 네트워크 보호를 사용하거나 사용하지 않도록 설정하여 직원이 애플리케이션을 사용하여 피싱 사기, 악용 호스팅 사이트 및 기타 악의적인 콘텐츠를 인터넷에서 호스트할 수 있는 위험한 도메인에 액세스하지 못하도록 방지합니다.
사용:
옵션 섹션에서 모드를 지정합니다.
-차단: 사용자 및 애플리케이션은 위험한 도메인에 액세스할 수 없습니다.감사 모드: 사용자 및 애플리케이션은 위험한 도메인에 연결할 수 있지만 이 기능이 차단으로 설정된 경우 액세스를 차단한 경우 이벤트 레코드가 이벤트 로그에 있게 됩니다.
비활성화:
사용자 및 애플리케이션은 위험한 도메인에 대한 연결이 차단되지 않습니다.
구성되지 않음:
사용 안 함과 동일합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 사용하지 않도록 설정됩니다. |
1 | 사용(블록 모드). |
2 | 사용(감사 모드). |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | ExploitGuard_EnableNetworkProtection |
이름 | 사용자 및 앱이 위험한 웹 사이트에 액세스하지 못하도록 방지 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > Microsoft Defender Exploit Guard > 네트워크 보호 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection |
ADMX 파일 이름 | WindowsDefender.admx |
ExcludedExtensions
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
관리자는 검사 중에 무시할 파일 형식 확장명 목록을 지정할 수 있습니다. 목록의 각 파일 형식은 |으로 구분해야 합니다. 예를 들어 lib|obj입니다.
참고
제외에 대한 무단 변경을 방지하려면 변조 방지를 적용합니다. 제외에 대한 변조 방지는 특정 조건이 충족되는 경우에만 작동합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Exclusions_Extensions |
이름 | 확장명 제외 |
요소 이름 | 확장 제외. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 제외 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX 파일 이름 | WindowsDefender.admx |
ExcludedPaths
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
관리자가 검사 중에 무시할 디렉터리 경로 목록을 지정할 수 있습니다. 목록의 각 경로는 |으로 구분해야 합니다. 예를 들어 C:\Example|C:\Example1.
참고
제외에 대한 무단 변경을 방지하려면 변조 방지를 적용합니다. 제외에 대한 변조 방지는 특정 조건이 충족되는 경우에만 작동합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Exclusions_Paths |
이름 | 경로 제외 |
요소 이름 | 경로 제외. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 제외 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX 파일 이름 | WindowsDefender.admx |
ExcludedProcesses
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
관리자가 검사 중에 무시할 프로세스에서 연 파일 목록을 지정할 수 있습니다.
중요
프로세스 자체는 검사에서 제외되지 않지만 Defender/ExcludedPaths 정책을 사용하여 해당 경로를 제외할 수 있습니다. 각 파일 형식은 |으로 구분해야 합니다. 예를 들어 C:\Example입니다. exe|C:\Example1.exe.
참고
제외에 대한 무단 변경을 방지하려면 변조 방지를 적용합니다. 제외에 대한 변조 방지는 특정 조건이 충족되는 경우에만 작동합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Exclusions_Processes |
이름 | 프로세스 제외 |
요소 이름 | 프로세스 제외. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 제외 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX 파일 이름 | WindowsDefender.admx |
PUAProtection
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
사용자 동의 없이 설치된 애플리케이션에 대해 검색을 사용하거나 사용하지 않도록 설정합니다. 사용자 동의 없이 설치된 소프트웨어가 다운로드되거나 컴퓨터에 설치하려고 할 때 차단, 감사 또는 허용을 선택할 수 있습니다.
사용:
옵션 섹션에서 모드를 지정합니다.
-Block: 사용자 동의 없이 설치된 소프트웨어가 차단됩니다.
-감사 모드: 사용자 동의 없이 설치된 소프트웨어는 차단되지 않지만 차단으로 설정된 경우 이 기능이 액세스를 차단한 경우 이벤트 레코드가 이벤트 로그에 표시됩니다.
비활성화:
사용자 동의 없이 설치된 소프트웨어는 차단되지 않습니다.
구성되지 않음:
사용 안 함과 동일합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | PUA 보호 해제. Windows Defender는 잠재적으로 원치 않는 애플리케이션으로부터 보호하지 않습니다. |
1 | PUA 보호 켜기. 검색된 항목이 차단됩니다. 그들은 다른 위협과 함께 역사에 표시됩니다. |
2 | 감사 모드. Windows Defender는 사용자 동의 없이 설치된 애플리케이션을 검색하지만 아무런 조치도 취하지 않습니다. 이벤트 뷰어 Windows Defender에서 만든 이벤트를 검색하여 Windows Defender가 조치를 취한 애플리케이션에 대한 정보를 검토할 수 있습니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Root_PUAProtection |
이름 | 잠재적으로 원치 않는 애플리케이션에 대한 검색 구성 |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender |
ADMX 파일 이름 | WindowsDefender.admx |
RealTimeScanDirection
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
이 정책 설정을 사용하면 모니터링을 완전히 끌 필요 없이 들어오고 나가는 파일에 대한 모니터링을 구성할 수 있습니다. 들어오고 나가는 파일 활동이 많지만 성능상의 이유로 특정 검사 방향에 대해 검사를 사용하지 않도록 설정해야 하는 서버에서 사용하는 것이 좋습니다. 서버 역할에 따라 적절한 구성을 평가해야 합니다.
이 구성은 NTFS 볼륨에 대해서만 적용됩니다. 다른 파일 시스템 형식의 경우 파일 및 프로그램 활동에 대한 전체 모니터링이 해당 볼륨에 표시됩니다.
이 설정에 대한 옵션은 상호 배타적입니다.
0 = 들어오는 파일 및 나가는 파일 검사(기본값) 1 = 들어오는 파일만 검사 2 = 나가는 파일만 검사합니다.
다른 값 또는 값이 없는 경우 는 기본값(0)으로 확인됩니다.
이 설정을 사용하도록 설정하면 지정된 유형의 모니터링이 활성화됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 들어오고 나가는 파일에 대한 모니터링이 사용하도록 설정됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 모든 파일(양방향)을 모니터링합니다. |
1 | 들어오는 파일을 모니터링합니다. |
2 | 나가는 파일을 모니터링합니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | RealtimeProtection_RealtimeScanDirection |
이름 | 송수신 파일 및 프로그램 활동에 대한 모니터링 구성 |
요소 이름 | 들어오고 나가는 파일 및 프로그램 활동에 대한 모니터링을 구성합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 실시간 보호 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
ADMX 파일 이름 | WindowsDefender.admx |
ScanParameter
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
이 정책 설정을 사용하면 예약된 검사 중에 사용할 검사 유형을 지정할 수 있습니다. 검사 유형 옵션은 다음과 같습니다.
1 = 빠른 검사(기본값) 2 = 전체 검사.
이 설정을 사용하도록 설정하면 검사 유형이 지정된 값으로 설정됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 기본 검사 유형이 사용됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
1(기본값) | 빠른 검사. |
2 | 전체 검사. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_ScanParameters |
이름 | 예약 검사에 사용할 검사 유형 지정 |
요소 이름 | 예약된 검사에 사용할 검사 유형을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
ScheduleQuickScanTime
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
이 정책 설정을 사용하면 매일 빠른 검사를 수행할 시간을 지정할 수 있습니다. 시간 값은 자정(00:00)을 지난 시간(분)으로 표시됩니다. 예를 들어 120(0x78)은 오전 02:00에 해당합니다. 기본적으로 이 설정은 사용 안 함으로 설정됩니다. 일정은 검사가 실행되는 컴퓨터의 현지 시간을 기준으로 합니다.
이 설정을 사용하도록 설정하면 지정된 시간에 매일 빠른 검사가 실행됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 이 구성으로 제어되는 일일 빠른 검사가 실행되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 레인지: [0-1380] |
기본 값 | 120 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_ScheduleQuickScantime |
이름 | 매일 빠른 검사에 대한 시간 지정 |
요소 이름 | 매일 빠른 검사 시간을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
ScheduleScanDay
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
이 정책 설정을 사용하면 예약된 검사를 수행할 요일을 지정할 수 있습니다. 스캔은 매일 실행되거나 전혀 실행되지 않도록 구성할 수도 있습니다.
이 설정은 다음 서수 값으로 구성할 수 있습니다.
(0x0) 매일(0x1) 일요일(0x2) 월요일(0x3) 화요일(0x4) 수요일(0x5) 목요일(0x6) 금요일(0x7) 토요일(0x8) 절대 안 됨(기본값)
이 설정을 사용하도록 설정하면 예약된 검사가 지정된 빈도로 실행됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 예약된 검사가 기본 빈도로 실행됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 0 |
허용되는 값:
값 | 설명 |
---|---|
0(기본값) | 매일. |
1 | 일요일. |
2 | 월요일. |
3 | 화요일. |
4 | 수요일. |
5 | 목요일. |
6 | 금요일. |
7 | 토요일. |
8 | 예약된 검사가 없습니다. |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_ScheduleDay |
이름 | 예정된 검사를 실행할 요일 지정 |
요소 이름 | 예약된 검사를 실행할 요일을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
ScheduleScanTime
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
이 정책 설정을 사용하면 예약된 검사를 수행할 시간을 지정할 수 있습니다. 시간 값은 자정(00:00)을 지난 시간(분)으로 표시됩니다. 예를 들어 120(0x78)은 오전 02:00에 해당합니다. 기본적으로 이 설정은 오전 2:00의 시간 값으로 설정됩니다. 일정은 검사가 실행되는 컴퓨터의 현지 시간을 기준으로 합니다.
이 설정을 사용하도록 설정하면 지정된 날짜에 예약된 검사가 실행됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 예약된 검사가 기본 시간에 실행됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 레인지: [0-1380] |
기본 값 | 120 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Scan_ScheduleTime |
이름 | 예정된 검사를 실행할 하루 중 시간 지정 |
요소 이름 | 예약된 검사를 실행할 시간을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 파일 이름 | WindowsDefender.admx |
SecurityIntelligenceLocation
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1903 [10.0.18362] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
이 정책 설정을 사용하면 VDI로 구성된 컴퓨터의 보안 인텔리전스 위치를 정의할 수 있습니다.
이 설정을 사용하지 않거나 구성하지 않으면 기본 로컬 원본에서 보안 인텔리전스가 참조됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | SignatureUpdate_SharedSignaturesLocation |
이름 | VDI 클라이언트에 대한 보안 인텔리전스 위치를 정의합니다. |
요소 이름 | 가상 환경에서 보안 인텔리전스 업데이트를 다운로드하기 위한 파일 공유를 정의합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 보안 인텔리전스 업데이트 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Signature 업데이트 |
ADMX 파일 이름 | WindowsDefender.admx |
SignatureUpdateFallbackOrder
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
이 정책 설정을 사용하면 다양한 보안 인텔리전스 업데이트 원본에 연락해야 하는 순서를 정의할 수 있습니다. 이 설정의 값은 보안 인텔리전스 업데이트 원본을 순서대로 열거하는 파이프로 구분된 문자열로 입력해야 합니다. 가능한 값은 "InternalDefinitionUpdateServer", "MicrosoftUpdateServer", "MMPC" 및 "FileShares"입니다.
예를 들어: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
이 설정을 사용하도록 설정하면 지정된 순서대로 보안 인텔리전스 업데이트 원본에 연결됩니다. 지정된 원본에서 보안 인텔리전스 업데이트가 성공적으로 다운로드되면 목록의 나머지 원본에 연결되지 않습니다.
이 설정을 사용하지 않거나 구성하지 않으면 보안 인텔리전스 업데이트 원본에 기본 순서로 연결됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | SignatureUpdate_FallbackOrder |
이름 | 보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서 정의 |
요소 이름 | 보안 인텔리전스 업데이트를 다운로드하기 위한 원본 순서를 정의합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 보안 인텔리전스 업데이트 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Signature 업데이트 |
ADMX 파일 이름 | WindowsDefender.admx |
SignatureUpdateFileSharesSources
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
이 정책 설정을 사용하면 보안 인텔리전스 업데이트를 다운로드하기 위해 UNC 파일 공유 원본을 구성할 수 있습니다. 원본은 지정된 순서대로 연락됩니다. 이 설정의 값은 보안 인텔리전스 업데이트 원본을 열거하는 파이프로 구분된 문자열로 입력해야 합니다. 예: "{\\unc1 | \\unc2 }
". 목록은 기본적으로 비어 있습니다.
이 설정을 사용하도록 설정하면 보안 인텔리전스 업데이트를 위해 지정된 원본에 연결됩니다. 지정된 원본에서 보안 인텔리전스 업데이트가 성공적으로 다운로드되면 목록의 나머지 원본에 연결되지 않습니다.
이 설정을 사용하지 않거나 구성하지 않으면 목록은 기본적으로 비어 있으며 원본에 연결되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 목록(구분 기호: | ) |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | SignatureUpdate_DefinitionUpdateFileSharesSources |
이름 | 보안 인텔리전스 업데이트를 다운로드하기 위한 파일 공유 정의 |
요소 이름 | 보안 인텔리전스 업데이트를 다운로드하기 위한 파일 공유를 정의합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 보안 인텔리전스 업데이트 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Signature 업데이트 |
ADMX 파일 이름 | WindowsDefender.admx |
SignatureUpdateInterval
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
이 정책 설정을 사용하면 보안 인텔리전스 업데이트를 검사 간격을 지정할 수 있습니다. 시간 값은 업데이트 검사 사이의 시간 수로 표시됩니다. 유효한 값의 범위는 1(매시간)에서 24(하루에 한 번)입니다.
이 설정을 사용하도록 설정하면 지정된 간격으로 보안 인텔리전스 업데이트가 수행됩니다.
이 설정을 사용하지 않거나 구성하지 않으면 기본 간격으로 보안 인텔리전스 업데이트를 확인합니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값 | 레인지: [0-24] |
기본 값 | 8 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | SignatureUpdate_SignatureUpdateInterval |
이름 | 보안 인텔리전스 업데이트에 검사 간격 지정 |
요소 이름 | 보안 인텔리전스 업데이트에 검사 간격을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 보안 인텔리전스 업데이트 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Signature 업데이트 |
ADMX 파일 이름 | WindowsDefender.admx |
SubmitSamplesConsent
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1507 [10.0.10240] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
이 정책 설정은 MAPS 원격 분석에 대한 옵트인이 설정된 경우 샘플 제출의 동작을 구성합니다.
가능한 옵션은 다음과 같습니다.
(0x0) 항상 프롬프트(0x1) 안전한 샘플 자동 보내기(0x2) 보내지 않음(0x3) 모든 샘플을 자동으로 보냅니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 | int |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
기본 값 | 1 |
허용되는 값:
값 | 설명 |
---|---|
0 | 항상 확인 |
1(기본값) | 안전한 샘플을 자동으로 보냅니다. |
2 | 보내지 않음 |
3 | 자동으로 모든 샘플 보내기 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | SubmitSamplesConsent |
이름 | 추가 분석이 필요할 때 파일 샘플 전송 |
요소 이름 | 추가 분석이 필요한 경우 파일 샘플을 보냅니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > MAPS |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Spynet |
ADMX 파일 이름 | WindowsDefender.admx |
ThreatSeverityDefaultAction
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1607 [10.0.14393] 이상 |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
이 정책 설정을 사용하면 각 위협 경고 수준에 대해 수행할 자동 수정 작업을 사용자 지정할 수 있습니다. 위협 경고 수준은 이 설정의 옵션 아래에 추가해야 합니다. 각 항목은 이름 값 쌍으로 나열되어야 합니다. 이름은 위협 경고 수준을 정의합니다. 값에는 수행해야 하는 수정 작업에 대한 작업 ID가 포함됩니다.
유효한 위협 경고 수준은 다음과 같습니다.
1 = 낮은 2 = 중간 4 = 높음 5 = 심각.
유효한 수정 작업 값은 다음과 같습니다.
2 = 격리 3 = 제거 6 = 무시.
참고
변조 방지를 사용하도록 설정하면 이 설정에 대한 변경 내용이 적용되지 않습니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
그룹 정책 매핑:
이름 | 값 |
---|---|
이름 | Threats_ThreatSeverityDefaultAction |
이름 | 위협 감지 시 기본 동작을 시행하지 않을 경고 수준 지정 |
요소 이름 | 검색 시 기본 작업을 수행하지 않아야 하는 위협 경고 수준을 지정합니다. |
위치 | 컴퓨터 구성 |
경로 | Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 위협 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows Defender\Threat |
ADMX 파일 이름 | WindowsDefender.admx |