Windows Defender의 새로운 공격 방지 작동 방법 (및 구성 방법)

Microsoft의 Fall Creators Update는 Windows에 통합 된 공격 방지 기능을 추가합니다. 이전에 Microsoft의 EMET 도구의 형태로이를 찾아야했습니다. 이제 Windows Defender의 일부이며 기본적으로 활성화됩니다..

Windows Defender의 악용 방지 작동 방법

Microsoft의 Enhanced Mitigation Experience Toolkit (EMET)과 같은 안티 익스플로잇 소프트웨어 또는 강력한 안티 익스플로잇 기능을 포함한 더 사용자 친화적 인 Malwarebytes Anti-Malware를 오랫동안 사용 해왔다. Microsoft의 EMET은 시스템 관리자가 구성 할 수있는 대규모 네트워크에서 널리 사용되지만 기본적으로 설치되지 않았고 구성이 필요하며 일반적인 사용자에게는 혼란스러운 인터페이스를 가지고 있습니다.

Windows Defender 자체와 같은 일반적인 바이러스 백신 프로그램은 시스템에서 실행하기 전에 바이러스 정의 및 추론을 사용하여 위험한 프로그램을 잡습니다. 안티 - 익스플로잇 툴은 실제로 많은 대중적인 공격 기술이 전혀 작동하지 못하게하므로, 위험한 프로그램은 처음에는 시스템에 올라가지 않습니다. 특정 운영 체제 보호 기능을 활성화하고 공통 메모리 악용 기술을 차단하므로 악용과 같은 동작이 감지 될 경우 악성 이벤트가 발생하기 전에 프로세스가 종료됩니다. 즉, 패치를 적용하기 전에 많은 제로 데이 공격으로부터 보호 할 수 있습니다..

그러나 잠재적으로 호환성 문제를 일으킬 수 있으며 다른 프로그램에 맞게 설정을 조정해야 할 수도 있습니다. 그렇기 때문에 EMET는 일반적으로 시스템 관리자가 가정용 PC가 아닌 설정을 조정할 수있는 엔터프라이즈 네트워크에서 사용되었습니다.

Windows Defender에는 이제 Microsoft의 EMET에서 발견 된 많은 보호 기능이 포함되어 있습니다. 모든 사람들을 위해 기본적으로 활성화되어 있으며 운영 체제의 일부입니다. Windows Defender는 시스템에서 실행중인 다른 프로세스에 적합한 규칙을 자동으로 구성합니다. (Malwarebytes는 여전히 자사의 안티 익스플로잇 기능이 우수하다고 주장하지만, 여전히 Malwarebytes 사용을 권장합니다. 그러나 Windows Defender에는이 내장 기능 중 일부가 포함되어있는 것이 좋습니다.)

이 기능은 Windows 10의 Fall Creators Update로 업그레이드하고 EMET가 더 이상 지원되지 않는 경우 자동으로 활성화됩니다. 가을 EM 작성자 업데이트를 실행하는 PC에는 EMET을 설치할 수 없습니다. 이미 EMET이 설치된 경우 업데이트에 의해 제거됩니다..

Windows 10의 가을 제작자 업데이트에는 제어 된 폴더 액세스라는 관련 보안 기능이 포함되어 있습니다. 신뢰할 수있는 프로그램이 문서 및 그림과 같은 개인 데이터 폴더의 파일을 수정하도록 허용하여 악성 코드를 막을 수 있도록 설계되었습니다. 두 기능 모두 "Windows Defender Exploit Guard"의 일부입니다. 그러나 제어 된 폴더 액세스는 기본적으로 사용하도록 설정되어 있지 않습니다..

Exploit Protection이 사용되는지 확인하는 방법

이 기능은 모든 Windows 10 PC에서 자동으로 활성화됩니다. 그러나 "감사 모드"로 전환하여 시스템 관리자가 중요한 PC에서 활성화하기 전에 문제가 발생하지 않을 것임을 확인하기 위해 수행 한 Exploit Protection의 로그를 모니터링 할 수 있습니다..

이 기능이 활성화되어 있는지 확인하려면 Windows Defender 보안 센터를 열면됩니다. 시작 메뉴를 열고 Windows Defender를 검색 한 다음 Windows Defender 보안 센터 바로 가기를 클릭합니다..

사이드 바에서 창 모양의 '앱 및 브라우저 컨트롤'아이콘을 클릭하십시오. 아래로 스크롤하면 "Exploit protection"섹션이 표시됩니다. 이 기능이 사용 설정되었음을 알려줍니다..

이 섹션이 표시되지 않으면 PC가 아직 Fall Creators 업데이트를 업데이트하지 않은 것 같습니다..

Windows Defender의 공격 방지 구성 방법

경고:이 기능을 구성하고 싶지는 않을 것입니다. Windows Defender는 조정할 수있는 많은 기술 옵션을 제공하며 대부분의 사람들은 여기서 수행중인 작업을 알지 못할 것입니다. 이 기능은 문제를 일으키는 것을 피할 수있는 스마트 기본 설정으로 구성되며 Microsoft는 시간이 지남에 따라 규칙을 업데이트 할 수 있습니다. 여기서 옵션은 주로 시스템 관리자가 소프트웨어에 대한 규칙을 개발하고 엔터프라이즈 네트워크에서 배포하는 데 도움을주기위한 것입니다..

Exploit Protection을 구성하려면 Windows Defender 보안 센터> 응용 프로그램 및 브라우저 컨트롤로 이동하고 아래로 스크롤 한 다음 취약성 보호 아래의 "Exploit protection settings"을 클릭하십시오..

여기에는 시스템 설정과 프로그램 설정이라는 두 개의 탭이 있습니다. 시스템 설정은 모든 응용 프로그램에 사용되는 기본 설정을 제어하고 프로그램 설정은 다양한 프로그램에 사용되는 개별 설정을 제어합니다. 즉, 프로그램 설정은 개별 프로그램의 시스템 설정을 무시할 수 있습니다. 더 제한적이거나 덜 제한적일 수 있습니다..

화면 하단에서 "설정 내보내기"를 클릭하여 설정을 다른 시스템에서 가져올 수있는 .xml 파일로 내보낼 수 있습니다. Microsoft의 공식 설명서에는 그룹 정책 및 PowerShell을 사용한 규칙 배포에 대한 자세한 내용이 나와 있습니다..

시스템 설정 탭에서 CFG (Control flow guard), DEP (Data Execution Prevention), 이미지에 강제 임의 화 (ASLR 필수), 메모리 할당 랜덤 화 (Bottom-up ASLR), 예외 체인 유효성 검사 (SEHOP) 및 유효성 검사 힙 무결성. 이미지 강제 임의 화 옵션 (필수 ASLR) 옵션을 제외하고는 기본적으로 모두 켜져 있습니다. 이는 ASLR이 일부 프로그램에 문제를 야기하기 때문에 가능성이 높습니다. 따라서 실행하는 프로그램에 따라 호환성 문제가 발생할 수 있습니다..

다시 말하지만, 당신이하는 일을 알지 못한다면이 옵션들을 만지지 말아야합니다. 기본값은 의미가 있으며 이유가있는 경우 선택됩니다..

인터페이스는 각 옵션의 기능에 대한 간략한 요약을 제공하지만 더 많이 알고 싶다면 몇 가지 조사를해야합니다. 우리는 이전에 DEP와 ASLR이 무엇을하는지 설명했습니다..

'프로그램 설정'탭으로 이동하면 맞춤 설정이 된 여러 프로그램 목록이 표시됩니다. 여기의 옵션을 사용하면 전체 시스템 설정을 재정의 할 수 있습니다. 예를 들어, 목록에서 "iexplore.exe"를 선택하고 "편집"을 클릭하면 기본적으로 시스템 전체에서 활성화되지는 않았지만 여기의 규칙이 Internet Explorer 프로세스에 대해 필수 ASLR을 강제로 활성화하는 것을 볼 수 있습니다.

runtimebroker.exe 및 spoolsv.exe와 같은 프로세스에 대해 이러한 기본 제공 규칙을 변경해서는 안됩니다. Microsoft는 이유를 추가했습니다..

"맞춤 설정할 프로그램 추가"를 클릭하여 개별 프로그램에 맞춤 규칙을 추가 할 수 있습니다. "프로그램 이름으로 추가"또는 "정확한 파일 경로 선택"중 하나 일 수 있지만 정확한 파일 경로 지정은 훨씬 정확합니다.

추가되면 대부분의 사람들에게 의미가없는 긴 설정 목록을 찾을 수 있습니다. 사용 가능한 설정의 전체 목록은 다음과 같습니다 : 임의 코드 가드 (ACG), 낮은 무결성 이미지 차단, 원격 이미지 차단, 신뢰할 수없는 글꼴 차단, 코드 무결성 보호, CFG (Control Flow Guard), DEP (Data Execution Prevention) Win32k 시스템 호출 사용 안함, 자식 프로세스 허용 안함, EAF (주소 필터링), IAF (주소 필터링) 가져 오기, ASRR (메모리 할당 랜덤 화), SimExec (시뮬레이션 실행) , API 호출 유효성 검사 (CallerCheck), 예외 체인 유효성 검사 (SEHOP), 핸들 사용 유효성 검사, 힙 무결성 검증, 이미지 종속성 무결성 검증 및 스택 무결성 검증 (StackPivot).

다시 말하지만, 시스템 관리자가 응용 프로그램을 잠그고 실제로 자신이하는 일을 알고 싶어하지 않는 한 이러한 옵션을 만지지 않아야합니다.

테스트에서 iexplore.exe의 모든 옵션을 활성화하고이를 실행하려고했습니다. Internet Explorer가 오류 메시지를 표시하고 시작하는 것을 거부했습니다. 우리의 설정으로 인해 Internet Explorer가 작동하지 않는다는 Windows Defender 알림도 표시되지 않았습니다..

맹목적으로 응용 프로그램을 제한하려고 시도하지 마십시오. 그렇지 않으면 시스템에서 유사한 문제가 발생할 것입니다. 옵션을 변경했다는 것을 기억하지 못하면 문제를 해결하기 어려울 것입니다..

Windows 7과 같이 이전 버전의 Windows를 계속 사용하는 경우 Microsoft의 EMET 또는 Malwarebytes를 설치하여 악용 보호 기능을 사용할 수 있습니다. 그러나 EMET에 대한 지원은 2018 년 7 월 31 일에 중단 될 예정이며 Microsoft는 기업을 Windows 10 및 Windows Defender의 악용 방지 프로그램으로 밀어 넣기를 원합니다..