다음으로, 공격 노출 영역 축소(attack surface reduction) 규칙을 활성화한다. 특히 3가지를 설정해야 한다.
- 모든 오피스 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단한다.
- 오피스 애플리케이션이 실행 가능한 콘텐츠를 생성하지 못하도록 차단한다.
- 자바스크립트나 VBScript가 다운로드한 실행파일을 시작하지 못하도록 차단한다.
마이크로소프트 인튠(Intune), MDM(Mobile Device Management), MECM(Microsoft Endpoint Configuration Manager), 그룹 정책 또는 파워셸을 사용해 다음을 설정할 수 있다. 예를 들어, 그룹 정책의 경우 다음을 수행할 수 있다.
- 그룹 정책 관리 편집기에서 “컴퓨터 구성”으로 이동
- “관리 템플릿” 클릭
- 트리를 “윈도우 구성요소”로 확장
- “윈도우 디펜더 안티바이러스”로 이동
- “윈도우 디펜더 익스플로잇 가드(Windows Defender Exploit Guard)”로 이동
- “공격 노출 영역 축소(attack surface reduction)”로 이동
- “공격 노출 영역 축소 규칙 구성” 선택
- “사용함” 선택
그런 다음 옵션 섹션에서 각 규칙의 개별 상태를 설정할 수 있다.
- “표시” 클릭
- “값 이름” 열에 규칙 ID를 입력하고, “값” 열에 원하는 상태를 다음과 같이 입력한다:
- 차단(ASR 규칙 사용) = 1
- 감사 = 2
이 목록에서 모든 오피스 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단하는 GUID는 다음과 같다.
D4F940AB-401B-4EFC-AADC-AD5F3C50688A.
오피스 애플리케이션이 실행 가능 콘텐츠를 생성하지 못하게 하는 GUID는 다음과 같다:
3B576869-A4EC-4529-8536-B80A7769E899.
마지막으로, 자바스크립트나 VBScript가 다운로드한 실행 가능 콘텐츠를 시작하지 못하게 하는 GUID는 다음과 같다:
D3E037E1-3EB8-44C8-A917-57927947596D.
먼저 감사를 활성화해 회사에 미치는 영향을 검토한다. 영향이 거의 없거나 전무하다고 판단되면, 값을 차단(또는 1)으로 변경해 활성화한다.
공격자가 숨고 활동하는 방법을 이해하면 기업 내 사용자를 보호하는 최선의 방법을 판단할 수 있다. 시간과 노력을 들인 만큼 더 잘 보호할 수 있다. editor@itworld.co.kr