[MDE] Intune 엔드포인트 보안 정책으로 변조 방지(TamperProtection) 제어

회사의 디바이스에서 보안 설정이 꺼져 있다면 위협에 쉽게 노출될 수 있습니다.

MDE 환경에서, 특히 Defender의 실시간 보호나 핵심 기능이 꺼진 상태가 유지된다면 탐지나 대응에 문제가 생길 수밖에 없습니다.

이를 막기 위해 Microsoft Defender는 Tamper Protection(변조 방지) 기능을 제공하며, 이 기능을 통해 외부에서 보안 설정을 임의로 변경하지 못하도록 할 수 있습니다. 참고로 이 기능은 MDE 포털 고급 기능에서 기본적으로 활성화 되어 있습니다.

 

조직 내 모든 디바이스에서 일관되게 적용하거나(또는 예외 설정이 필요하거나) 사용자 권한으로도 변경되지 않도록 하려면 Microsoft Intune을 통한 정책 기반 관리가 필요합니다. 이번 글에서는 Intune 엔드포인트 보안 정책을 활용해 Tamper Protection을 설정하고 제어하는 방법을 정리합니다. MDE 포털에서 고급 기능에 보이는 "변조 방지" 기능은 MDE 포털에 보여지는 모든 디바이스에 기본 적용된다고 생각하면 됩니다.다만 이 고급 기능에서 개별 장치를 예외하거나 하는 등의 기능은 제공되지 않는데, 이 때 Intune을 통해서 관리할 수 있습니다.

물론 MDE 포털 내 엔드포인트 정책에서도 동일하게 관리할 수 있습니다.

​

Intune 엔드포인트 보안에서 정책을 설정해보겠습니다.

이번 포스팅에서는 기본적으로 켜져있는 변조 방지를 꺼보는 형태로 확인해 봤습니다.

​

1. Intune 관리센터 > 엔드포인트 보안 > 바이러스 백신

• Windows / Windows Security Experience

 

​

2. Defender > TamperProtection(디바이스)를 “해제 (기본값)” 으로 설정 후 디바이스를 대상으로 포함하여 정책 구성 진행

​

3. 해당 디바이스의 관리자가 MDE 및 상태가 Success 인 경우 다음과 같이 정책 동기화를 클릭하여 조금 더 빠르게 정책 반영을 시도해볼 수도 있습니다.

• 정책 동기화를 진행하더라도 정책 구성 시점 등 환경에 따라 즉시 반영되지 않을 수도 있습니다.
  • 관리자 값이 MDE가 아니고 Intune인 경우 “정책 동기화” 버튼이 비활성화 됩니다.

 

​

정책이 반영되면 다음과 같이 변조 방지(변조 보호)가 꺼진 것을 볼 수 있습니다.

​

기본적으로 변조 방지 기능은 끄는 것을 권장하지 않습니다.

다만 테스트나 특정 예외 상황에서는 꺼야 할 수도 있으니, 정책 적용 시 참고하시기 바랍니다.

​

이상입니다.