예제 시나리오: System Center Endpoint Protection을 사용하여 System Center Configuration Manager에서 맬웨어로부터 컴퓨터 보호

 

적용 대상: System Center Configuration Manager (current branch)

이 항목에서는 Configuration Manager에서 Endpoint Protection을 구현하여 조직 내 컴퓨터를 맬웨어 공격으로부터 보호하는 방법을 보여 주는 예제 시나리오를 제공합니다.

이한일은 극동 무역의 Configuration Manager 관리자입니다. 현재는 이 업체는 맬웨어 공격으로부터 컴퓨터를 보호하기 위해 Microsoft Forefront Endpoint Protection 2010을 사용합니다. 또한 Windows 그룹 정책을 사용하여 회사의 모든 컴퓨터에서 Windows 방화벽을 사용하도록 설정하고 Windows 방화벽이 새 프로그램을 차단할 때 사용자에게 알림이 제공되도록 합니다.

이한일은 극동 무역이 최신 맬웨어 방지 프로그램 기능을 활용하고 Configuration Manager 콘솔에서 맬웨어 방지 솔루션을 중앙에서 관리할 수 있도록 맬웨어 방지 프로그램을 System Center Endpoint Protection으로 업그레이드할 것을 요청받았습니다. 이 구현을 위해서는 다음과 같은 요구 사항이 필요합니다.

  • Configuration Manager를 사용하여 그룹 정책에 의해 현재 관리되는 Windows 방화벽 설정을 관리합니다.

  • Configuration Manager 소프트웨어 업데이트를 사용하여 컴퓨터에 맬웨어 정의를 다운로드합니다. 가령 컴퓨터가 회사 네트워크에 연결되어 있지 않기 때문에 소프트웨어 업데이트를 사용할 수 없는 경우 Microsoft 업데이트에서 정의 업데이트를 다운로드해야 합니다.

  • 사용자의 컴퓨터는 매일 빠른 맬웨어 검색을 수행해야 합니다. 그러나 서버는 영업일이 아닌 토요일마다 새벽 1시에 전체 검색을 실행해야 합니다.

  • 다음 이벤트 중 하나가 발생할 때마다 메일 경고를 보냅니다.

    • 컴퓨터에서 맬웨어 검색

    • 5% 이상이 컴퓨터에서 동일한 맬웨어 위협 검색

    • 24시간 동안 5번 넘게 동일한 맬웨어 위협 검색

    • 24시간 동안 3가지가 넘는 다른 유형의 맬웨어 검색

  • 기존 맬웨어 방지 솔루션을 제거합니다.

이한일은 다음 단계를 수행하여 Endpoint Protection을 구현합니다.

프로세스참조
이한일은 Configuration Manager에서 Endpoint Protection의 기본 개념에 대해 사용 가능한 정보를 검토합니다.Endpoint Protection에 대한 개요 정보를 보려면 System Center Configuration Manager의 Endpoint Protection 구성를 참조하세요.
이한일은 Endpoint Protection을 사용하는 데 필요한 필수 구성 요소를 검토하고 구현합니다.Endpoint Protection에 필요한 필수 구성 요소에 대한 자세한 내용은 System Center Configuration Manager에서 Endpoint Protection 계획을 참조하세요.
이한일은 극동 무역 계층 구조 맨 위에 있는 단일 사이트 시스템 서버에만 Endpoint Protection 사이트 시스템 역할을 설치합니다.Endpoint Protection 사이트 시스템 역할을 설치하는 방법에 대한 자세한 내용은 System Center Configuration Manager에서 Endpoint Protection 구성의 "필수 구성 요소"를 참조하세요.
이한일은 SMTP 서버를 사용하여 메일 경고를 보내도록 Configuration Manager를 구성합니다. Note:  Endpoint Protection 경고가 생성될 때 메일 알림을 받으려는 경우에만 SMTP 서버를 구성해야 합니다.자세한 내용은 System Center Configuration Manager에서 Endpoint Protection 구성을 참조하십시오.
이한일은 Endpoint Protection 클라이언트를 설치할 모든 컴퓨터 및 서버를 포함하는 장치 컬렉션을 만듭니다. 이 컬렉션의 이름을 Endpoint Protection으로 보호되는 모든 컴퓨터로 지정합니다. Tip: 사용자 컬렉션에 대해서는 경고를 구성할 수 없습니다.컬렉션을 만드는 방법에 대한 자세한 내용은 System Center Configuration Manager에서 컬렉션을 만드는 방법 항목을 참조하세요.
그는 컬렉션에 대해 다음 경고를 구성합니다.

- 맬웨어가 검색됨: 이한일은 경고 심각도 위험을 구성합니다.
- 동일한 유형의 맬웨어가 여러 컴퓨터에서 검색됨 : 이한일은 경고 심각도 위험을 구성하고 5%가 넘는 컴퓨터에서 맬웨어가 검색될 때 경고가 생성되도록 지정합니다.
- 동일한 유형의 맬웨어가 컴퓨터에서 지정된 간격 내에 반복적으로 검색됨: 이한일은 경고 심각도 위험을 구성하고 맬웨어가 24시간 동안에서 5번 넘게 검색될 때 경고가 생성되도록 지정합니다.
- 여러 유형의 맬웨어가 동일한 컴퓨터에서 지정된 간격 내에 검색됨: 이한일은 경고 심각도 위험을 구성하고 24시간 내에 4가지 이상의 맬웨어 유형이 생성될 경우 경고가 생성되도록 지정합니다. Note:  경고 심각도 값은 Configuration Manager 콘솔에 표시되는 경고 수준 및 메일 메시지에 수신되는 경고를 나타냅니다.

또한 Configuration Manager 콘솔에서 경고를 모니터링할 수 있도록 이 컬렉션을 Endpoint Protection 대시보드에서 보기 옵션을 추가적으로 선택했습니다.
System Center Configuration Manager에서 Endpoint Protection 구성에서 "Endpoint Protection에 대한 경고 구성"(영문)을 참조하세요.
이한일은 자동 배포 규칙을 사용하여 하루에 3번 정의 업데이트를 다운로드 및 배포하도록 Configuration Manager 소프트웨어 업데이트를 구성합니다.자세한 내용은 Configuring Endpoint Protection in Configuration Manager 항목의 “Configuration Manager 소프트웨어 업데이트를 사용하여 정의 업데이트 제공” 섹션을 참조하세요.
이한일은 Microsoft의 권장 보안 설정이 포함되어 있는 기본 맬웨어 방지 정책의 설정을 검사합니다. 컴퓨터에서 매일 빠른 검색이 수행되도록 하기 위해 다음 설정을 변경합니다.

- Run a daily quick scan on client computers(클라이언트 컴퓨터에서 매일 빠른 검색 실행):
- 일별 빠른 검사 예약 시간: 오전 9시

이한일은 정의 업데이트 원본으로 Microsoft Update에서 배포된 업데이트가 기본적으로 선택되어 있는지 확인합니다. 이 경우 컴퓨터가 Configuration Manager 소프트웨어 업데이트를 수신할 수 없을 때 비즈니스 요구에 따라 Microsoft 업데이트에서 정의를 다운로드해야 합니다.
System Center Configuration Manager에서 Endpoint Protection에 대한 맬웨어 방지 정책을 만들어 배포하는 방법을 참조하십시오.
이한일은 극동 무역 서버만 포함된 극동 무역 서버라는 컬렉션을 만듭니다.System Center Configuration Manager에서 컬렉션을 만드는 방법 섹션을 참조하세요.
이한일은 극동 무역 서버 정책이라는 사용자 지정 맬웨어 방지 정책을 만듭니다.예약된 검사에 대한 설정만 추가하고 다음과 같이 변경합니다.

- 검사 유형: 전체
- 검사일: 토요일
- 검사 시간: 오전 1시
- Run a daily quick scan on client computers(클라이언트 컴퓨터에서 매일 빠른 검색 실행): 아니요
System Center Configuration Manager에서 Endpoint Protection에 대한 맬웨어 방지 정책을 만들어 배포하는 방법을 참조하십시오.
이한일은 배포는 극동 무역 서버 정책 사용자 지정 맬웨어 방지 정책을 극동 무역 서버 컬렉션에 배포합니다.System Center Configuration Manager에서 Endpoint Protection에 대한 맬웨어 방지 정책을 만들어 배포하는 방법 항목의 “클라이언트 컴퓨터에 맬웨어 방지 정책을 배포하려면”을 참조하세요.
이한일은 Endpoint Protection에 대한 새로운 사용자 지정 클라이언트 장치 설정 집합을 만들고 극동 무역 Endpoint Protection 설정으로 지정합니다. Warning: 계층 구조 내의 모든 클라이언트에서 Endpoint Protection을 설치하고 사용하도록 설정하지는 않으려면 기본 클라이언트 설정에서 클라이언트 컴퓨터에서 Endpoint Protection 관리클라이언트 컴퓨터에서 Endpoint Protection 클라이언트 설치 옵션이 둘 다 아니요로 구성되어야 합니다.자세한 내용은 Configuring Endpoint Protection in Configuration Manager에서 “Endpoint Protection에 대한 사용자 지정 클라이언트 설정 구성”을 참조하세요.
이한일은 Endpoint Protection에 대한 다음 설정을 구성합니다.

- 클라이언트 컴퓨터에서 Endpoint Protection 클라이언트 관리:
이 설정 및 값은 설치된 기존 Endpoint Protection 클라이언트가 Configuration Manager에 의해 관리되도록 합니다.
- 클라이언트 컴퓨터에 Endpoint Protection 클라이언트 설치:
- Endpoint Protection 설치 전에 자동으로 이전에 설치된 맬웨어 방지 프로그램 제거:
이 설정 및 값은 Endpoint Protection이 설치되고 사용되도록 설정되기 전에 비즈니스 요구에 따라 기존 맬웨어 방지 프로그램이 제거되도록 합니다.
자세한 내용은 Configuring Endpoint Protection in Configuration Manager에서 “Endpoint Protection에 대한 사용자 지정 클라이언트 설정 구성”을 참조하세요.
이한일은 극동 무역 Endpoint Protection 설정 클라이언트 설정을 Endpoint Protection 컬렉션에 의해 보호되는 모든 컴퓨터에 배포합니다.Configuring Endpoint Protection in Configuration Manager에서 “Endpoint Protection에 대한 사용자 지정 클라이언트 설정 구성”을 참조하세요.
이한일은 Windows 방화벽 정책 만들기 마법사를 통해 도메인 프로필에 대한 다음 설정을 구성하여 정책을 만듭니다.

- Windows 방화벽 사용:
- Windows 방화벽이 새 프로그램을 차단할 때 사용자에게 알림:
System Center Configuration Manager에서 Endpoint Protection에 대한 Windows 방화벽 정책을 만들어 배포하는 방법 섹션을 참조하세요.
이한일은 이전에 만든 Endpoint Protection에 의해 보호되는 모든 컴퓨터 컬렉션에 새 방화벽 정책을 배포합니다.System Center Configuration Manager에서 Endpoint Protection에 대한 Windows 방화벽 정책을 만들어 배포하는 방법에서 "Windows 방화벽 정책을 배포하려면"을 참조하세요.
이한일은 Endpoint Protection에 대해 사용 가능한 관리 작업을 사용하여 맬웨어 방지 및 Windows 방화벽 정책을 관리하고, 필요한 경우 주문형 컴퓨터 검사를 수행하고, 강제로 컴퓨터에서 최신 정의를 다운로드하도록 하고, 맬웨어가 검색되었을 때 수행할 추가 작업을 지정합니다.System Center Configuration Manager에서 Endpoint Protection에 대한 맬웨어 방지 정책 및 방화벽 설정을 관리하는 방법 섹션을 참조하세요.
이한일은 다음 방법을 사용하여 Endpoint Protection의 상태와 Endpoint Protection에 의해 수행된 작업을 모니터링합니다.

- 모니터링 작업 영역에서 System Center 2012 Endpoint Protection 상태 노드 사용
- 자산 및 준수 작업 영역에서 Endpoint Protection 노드 사용
- 기본 제공 Configuration Manager 보고서 사용
System Center Configuration Manager에서 Endpoint Protection을 모니터링하는 방법 섹션을 참조하세요.

이한일은 관리자에게 Endpoint Protection의 성공적인 구현을 보고하고 극동 무역의 컴퓨터가 지정된 비즈니스 요구에 따라 맬웨어 방지 소프트웨어를 통해 보호됨을 확인합니다.

표시: