윈도우 디펜더의 중요성

윈도우 디펜더의 보안 기능으로 악의적인 행위로부터 시스템을 보호합니다.

 

마이크로소프트의 엔터프라이즈 및 OS 보안 담당 바이스 프레지던트인 다비드 웨스턴은 트위터에서 발표한 마이크로소프트 Vulnerable Driver Blocklist는 S모드 디바이스의 윈도우10 및 Memory Integrity 상에서 기본적으로 활성화되어 있는 새로운 보안 기능입니다. 메모리 무결성(HVCI)은 마이크로소프트의 Hyper-V 기술을 사용하여 악의적인 코드의 접근으로부터 윈도우커널 모드 프로세스를 보호합니다. 이 기능은 기존 디바이스에서는 활성화되어 있지 않았지만 윈도우를 신규 설치한 디바이스에서는 기본적으로 활성화됩니다. 일부 사용자는 HVCI를 사용하도록 설정된 특정 디바이스의 문제를 보고하고, HVCI를 사용하지 않도록 설정하여 발생한 문제가 해결되었습니다.
이 새로운 보호 기능의 핵심은 윈도우 디펜더에 의해 차단되는 드라이버의 목록을 유지 및 보호하는 것입니다. 이는 드라이버에 다음 속성 중 적어도 하나의 중요성 및 취약성이 있기 때문입니다.

윈도우커널의 권한을 높이기 위해 공격자에 의해 악용될 가능성이 있는 기존 보안 취약점
멀웨어에 서명하기 위해 사용되는 악의적인 동작(멀웨어) 또는 증명서
악의는 없지만 윈도우 보안 모델을 회피하고 공격자가 윈도우 커널의 권한을 높이기 위해 악용될 수 있는 동작

마이크로소프트는 하드웨어 벤더 및 OEM과 협력하여 블록리스트를 유지하고 있습니다. 의심스러운 드라이버는 분석을 위해 마이크로소프트로 전송될 수 있으며 제조사는 문제의 패치 적용 후 등 취약한 블록리스트에 있는 드라이버에 영향이 가도록 개발하고 있습니다. 윈도우10을 S모드로 실행하는 디바이스와 HVCI를 사용하도록 설정된 디바이스는 기능이 디바이스에 전개되면 이러한 보안 위협으로부터 보호됩니다.

윈도우 사용자 및 관리자는 윈도우10S 모드 이외의 장치에서 다음의 방법으로 메모리 무결성의 전제 조건을 유효하게 할 수 있습니다.

1. [시작], [설정] 순으로 선택하거나 키보드 단축 윈도우-I 를 사용하여 [설정] 애플리케이션을 엽니다.
2. 윈도우10 에서 [업데이트 보안] - [윈도우 보안] 순으로 선택합니다. 그 후 [윈도우 보안 열기]를 선택합니다.
3. 윈도우11 에서,[개인 설정과 보안] - [윈도우보안 열기]를 선택합니다.
4. 좌측 사이드바에서 [디바이스 보안]을 선택합니다.
4. 코어 분리 상세 링크를 활성화합니다.
5. [Memory Integrity] 설정을 [On] 으로 전환하여 이 기능을 활성화합니다.
6. 디바이스를 재기동합니다.

윈도우 관리자는 이 기능이 사용함으로써 윈도우보안 핵심 분리 페이지에 새로운 마이크로소프트 Vulnerable Driver Block 목록을 표시합니다. 이 기능은 활성, 비활성 등으로 전환이 가능하며, 다른 방법으로도 관리할 수 있습니다. 다비스 웨스턴은 이 기능을 실행해 시키면 더 공격적인 방어가 가능하다고 말합니다.
마이크로소프트는 HVCI를 활성화하거나 S 모드를 사용하도록  관리자는 기존 윈도우 디펜더 애플리케이션 컨트롤 정책을 사용하여, 목록의 드라이버를 차단할 수도 있습니다.