Defender Device Guard:애플리케이션 화이트리스트로 Windows 10 및 서버 보호

작성자:

켈리 M. 스튜어트

게시일:2023년 4월 26일

Windows Defender Device Guard는 응용 프로그램 허용 목록 및 코드 무결성 정책을 사용하여 운영 체제를 손상시킬 수 있는 악성 코드로부터 사용자 장치를 보호하도록 설계된 Windows 10 및 Windows Server용 보안 기능입니다.

IT가 Windows 10에서 실행할 수 있는 소프트웨어를 결정하기 위해 만드는 코드 무결성 정책을 통해 IT는 알 수 없거나 신뢰할 수 없는 응용 프로그램은 물론 특정 플러그인, 추가 기능 또는 기타 응용 프로그램 모듈이 최종 사용자 장치에 액세스하는 것을 방지할 수 있습니다.

Device Guard는 Microsoft의 AppLocker 및 Windows Defender Credential Guard와 함께 사용되어 예방적 보안 시스템을 제공합니다. IT는 Windows 하이퍼바이저로 보호되는 커널인 가상 보안 모드(VSM)와 함께 Device Guard를 사용하여 가상화 기반 보안을 제공함으로써 불량 드라이버와 파일을 시스템에서 차단하는 데 도움이 됩니다.

Microsoft 웹 사이트에 따르면 "Device Guard는 그룹 정책이나 Windows 레지스트리에서 메모리 무결성 및 VBS 설정을 찾는 경우를 제외하고는 더 이상 사용되지 않습니다."

Windows Defender Device Guard는 어떻게 작동하나요?

Windows Defender Device Guard는 IT가 OS에서 실행할 수 있는 응용 프로그램 내의 응용 프로그램 및 확장을 허용 목록에 추가할 수 있도록 Windows 10 버전 1709부터 Windows Defender 응용 프로그램 제어로 알려진 코드 무결성 정책을 사용합니다. 이를 통해 IT는 원치 않는 소프트웨어가 시스템에 진입하기 전에 차단할 수 있습니다. 또한 IT는 코드 무결성 정책을 변경할 수 있는 유일한 사람인 신뢰할 수 있는 서명을 갖춘 신뢰할 수 있는 사용자 집합을 만들 수도 있습니다. Device Guard는 컨테이너의 커널을 통해 코드 무결성 정책을 실행합니다.

Device Guard는 물리적 및 가상 데스크톱 배포 모두에 보안을 제공합니다. Device Guard 코드 무결성 정책은 CPU 가상화 확장, 두 번째 수준 주소 변환 및 IOMMU(입/출력 메모리 관리 장치)에서 작동합니다.

주요 Windows Defender Device Guard 기능

Windows Defender 응용 프로그램 제어의 패키지 검사기라는 추가 도구는 신뢰할 수 있는 모든 응용 프로그램에 대한 이진 파일 카탈로그를 만듭니다. 맬웨어가 VSM 커널에 침투하더라도 Device Guard는 보안 시스템에서 코드 무결성 검사를 통해 코드 실행을 방지합니다. 직접적인 메모리 액세스 공격이 있는 경우 IOMMU는 비정상적인 메모리 요청에 대한 액세스를 거부합니다. Windows Defender Device Guard에는 부팅 키트 및 무차별 공격으로부터 보호하기 위해 보안 부팅을 수행하는 범용 확장 가능 펌웨어 인터페이스도 있습니다.

Windows Defender Device Guard 관리 도구

IT 전문가는 다른 Windows 프로그램과 마찬가지로 Device Guard에서도 유사한 관리 방법을 사용할 수 있습니다. IT는 관리 템플릿의 그룹 정책 개체를 사용하여 카탈로그 파일과 코드 무결성 정책을 설정하고 관리할 수 있습니다. IT는 System Center Configuration Manager를 사용하여 코드 무결성 정책, 카탈로그 파일 및 하드웨어 보안 기능을 배포하고 관리할 수 있습니다. Windows PowerShell은 코드 무결성 정책을 만들고 전송하는 데 집중하려는 IT 전문가에게 적합합니다. Microsoft에 따르면 Microsoft Intune은 결국 카탈로그 파일 및 코드 무결성 정책의 배포 및 관리도 지원할 수 있을 것이라고 합니다.