Microsoft 취약 드라이버 차단 목록: 전체 가이드

의 세계 사이버 보안, 운영 체제 커널을 보호하다 Windows 이는 가정 사용자와 기업 모두에게 가장 중요한 우선순위 중 하나입니다. 수년에 걸쳐 Microsoft는 커널을 위협으로부터 보호하기 위해 점점 더 정교한 메커니즘을 구현해 왔지만, 공격자들은 권한 있는 코드를 실행하기 위한 진입점을 계속해서 찾고 있습니다. 가장 위험하고 점점 더 흔해지는 방법 중 하나는 시스템에 로드된 드라이버의 취약점을 악용하는 것입니다. 이러한 드라이버 중 다수는 합법적이고 디지털 서명되었지만, 악용될 수 있는 보안 결함을 포함하고 있습니다.

이러한 현실을 해결하기 위해 Microsoft에서는 소위 말하는 것을 개발했습니다. Microsoft 취약 드라이버 차단 목록은 Windows 커널에서 위험한 드라이버가 실행되는 것을 방지하기 위해 만들어졌습니다. 이 기능은 최신 버전의 운영 체제에서 기본적으로 제공되고 활성화되어 있으며, Windows Defender와 기타 고급 보안 정책으로 구성된 보호 생태계의 핵심 부분입니다.

Microsoft 취약 드라이버 차단 목록은 무엇입니까?

La 취약한 드라이버에 대한 Microsoft 차단 목록 이는 잠재적으로 안전하지 않거나 시스템 무결성에 직접적인 위험이 되는 것으로 식별된 특정 드라이버가 Windows 커널에서 실행되는 것을 방지하는 방어 메커니즘입니다. 이러한 드라이버는 일반적으로 합법적인 제조업체에서 적절하게 서명하고 배포하지만 가끔은 악성 소프트웨어가 악용하여 권한을 상승시키거나, 보호 시스템을 회피하거나, 시스템의 정상적인 작동을 손상시킬 수 있는 취약점을 나타냅니다.

Microsoft는 제조업체와 협력하여 이 목록을 유지 관리하고 업데이트합니다. 하드웨어 (IHV 및 OEM)과 보안 커뮤니티와 협력하여 실제 위협이 되는 악용 사례를 항상 포함시킵니다. 주요 기능은 권한 상승, 루트킷 도입 또는 맬웨어 방지 도구 조작을 방지하기 위해 이러한 드라이버의 실행을 자동으로 차단하는 것입니다..

운전자 차단목록이 왜 필요한가요?

공격자들은 항상 개발이 필요하지 않다는 사실을 오래 전부터 알아냈습니다. 악성 코드 처음부터 저수준의 시스템 제어권을 얻습니다. BYOVD(Bring Your Own Vulnerable Driver)라는 기술은 보안 결함이 있는 합법적인 운전자의 존재를 악용하여 고급 위협을 배포합니다.. 사이버 범죄자는 취약한 드라이버(대개 오래되었지만 아직 서명된 상태)를 설치하고 로드한 다음 이를 악용하여 내부 운영 체제 리소스에 액세스하고, 바이러스 백신 소프트웨어를 비활성화하고, 자격 증명을 추출하거나 루트킷을 설치할 수 있습니다.

이런 수법은 랜섬웨어 공격과 대기업을 겨냥한 표적 공격에서도 나타났습니다. Microsoft에서는 고급 위협 행위자와 기본 맬웨어 개발자 모두가 이 기술을 체계적으로 사용하고 있다는 사실을 감지했습니다.이는 시스템의 가장 중요한 환경에서 어떤 드라이버가 작동할 수 있는지 제어하고 제한하는 메커니즘이 필요함을 강조합니다.

위험한 운전자를 식별하기 위한 Microsoft와 제조업체 간 협업

Microsoft의 방어의 가장 강력한 장점 중 하나는 주요 하드웨어 제조업체 및 독립 소프트웨어 공급업체와의 직접적인 협력에 있습니다. 드라이버에서 취약점이 발견될 때마다 Microsoft는 제조업체와 협력하여 가능한 한 빨리 알리고, 필요한 경우 해당 드라이버를 차단 목록에 포함하고, 문제를 해결하는 업데이트나 패치를 출시하도록 조정합니다.. 이를 통해 한편으로는 사용자가 취약한 드라이버를 실행하지 못하도록 보호하고, 다른 한편으로는 새롭고 수정된 버전이 Windows 생태계 전체에 안전하게 배포되도록 보장할 수 있습니다.

개발자와 제조업체는 보안 분석을 위해 의심스러운 드라이버를 Microsoft에 직접 제출하거나 업데이트 후 드라이버가 수정된 경우 패치와 변경 사항을 요청할 수 있습니다. 이 회사는 사고를 제출하기 위한 특정 리소스와 채널을 제공하며, 이를 통해 새로운 운전자를 감지하고 목록에 빠르게 등록하는 속도가 빨라집니다..

어떤 유형의 운전자가 사고를 겪나요?

Microsoft에서 이 목록에 포함되어야 하는 드라이버를 정의하는 정책은 다음 기준 중 하나 이상을 충족하는 드라이버를 감지하는 데 따라 결정됩니다.

• 알려진 보안 취약점을 제시합니다. Windows 커널의 권한을 상승시키거나 무결성을 손상시키는 데 악용될 수 있습니다.
• 그들은 악의적인 행동을 보인다악성 소프트웨어, 루트킷 또는 유해한 소프트웨어를 배포하는 데 사용된 경우 등입니다.
• 여기에는 맬웨어에 서명하는 데 사용되는 디지털 서명 인증서가 포함됩니다. 또는 도구 컴퓨터 조작을 즐기기.
• Windows 보안 모델을 회피하는 관행이 있습니다.엄밀히 말해 악의적인 것은 아니지만 공격자가 시스템을 과도하게 제어하는 ​​데 악용될 수 있습니다.

이러한 접근 방식 덕분에 이 목록은 활성 취약점에 대한 보호뿐만 아니라 오래되었거나 적절하게 보호되지 않은 드라이버를 기반으로 하는 전체 공격 체인으로부터도 보호합니다.. 목록에 드라이버가 있는 경우 운영 체제가 해당 드라이버의 로딩 및 실행을 차단하여 맬웨어가 해당 드라이버를 악용하는 것을 방지합니다.

차단 목록 진화: 통합 및 업데이트

La Microsoft의 취약한 드라이버 차단 목록 이 기능은 모든 최신 버전의 Windows에 점진적으로 통합되었습니다. Windows 1809 버전 10부터는 하이퍼바이저 보호 코드 무결성(HVCI)이나 소위 S 모드와 같은 고급 기술을 활성화한 사용자와 환경을 위한 선택적 기능으로 시작되었습니다. 그러나, 도착과 함께 윈도우 11 특히 22H2 업데이트부터는 지원되는 모든 기기에서 기본적으로 활성화되었습니다.

이것은 모든 Windows 11 22H2(및 그 이상) 사용자는 추가 구성 없이 자동으로 차단 목록 보호 기능을 사용할 수 있습니다.. 이전 버전이나 Windows 10의 경우 목록 활성화는 Smart App Control, S 모드 또는 HVCI와 같이 활성화된 해당 보안 기능에 따라 달라지지만, 선택적 업데이트를 통해 수동으로 추가할 수도 있습니다. Windows Update를.

차단 목록은 얼마나 자주 업데이트되며 새로운 기능은 어떻게 배포됩니까?

Microsoft에서는 Windows의 새로운 주요 버전이 출시될 때마다 드라이버 차단 목록을 업데이트합니다.일반적으로 10년에 한두 번 정도 실시하지만, 표준 운영 체제 유지 관리를 통해 추가 업데이트를 배포할 수도 있습니다. 최신 차단 목록 버전은 Windows 20(버전 2H11부터) 및 Windows 21(버전 2HXNUMX 이상) 사용자를 위한 선택적 Windows 업데이트 업데이트로 동시에 배포됩니다.

그러나 관리자가 항상 최신 버전의 차단 목록으로 보호받고 있는지 확인하고 싶다면 다음과 같은 도구를 사용할 수 있습니다. 비즈니스를 위한 앱 제어표준 업데이트를 통해 업데이트된 차단 드라이버 목록을 받기 전에도 업데이트된 목록을 적용할 수 있습니다. Microsoft에서도 게시합니다 descargas 자세한 구현 지침과 함께 업데이트된 파일 매뉴얼.

사용자 보호 작동 방식: Windows Defender 및 앱 제어와의 통합

La 차단 목록 특히 Windows Defender 및 앱 제어를 통해 다른 Windows 방어 수단과 운영을 통합합니다. Defender의 경우, 시스템은 설치를 시도한 드라이버에 대한 철저한 검사를 수행하고, 블랙리스트에 있는지 평가하고, 필요한 경우 실행을 차단하고 Windows 보안 센터에 경고를 표시합니다.

App Control for Business를 사용하면 관리자가 보안 정책을 사용하여 Microsoft 차단 목록을 적용할 수 있습니다.. 이는 기업과 전문직 종사자를 대상으로 한 고급 옵션이지만, 전체 IT 인프라에서 일관된 방어를 유지하는 데 매우 유용합니다. 실제로 S 모드나 HVCI와 같은 특정 기능을 활성화할 수 없는 경우 Microsoft에서는 특별히 다음을 통해 위험한 드라이버 목록을 차단할 것을 권장합니다. 앱 제어하지만 중요한 장치의 비호환성이나 실수로 인한 차단을 방지하기 위해 먼저 감사 모드에서 정책을 테스트하는 것이 좋습니다.

단계별: 차단 목록을 수동으로 다운로드하고 적용하는 방법

잠금 파일의 최신 버전을 사용하고 싶은 사용자나 관리자를 위해 Microsoft에서는 수동 절차를 제공합니다. 일반적으로 이 프로세스에는 앱 제어 정책 업데이트 도구 다운로드, 차단 목록 바이너리 가져오기, 정책 파일 이름 바꾸기가 포함됩니다., 디렉토리에 복사하세요 %windir%\system32\코드 무결성 업데이트를 실행하여 새로운 정책을 활성화합니다. 이렇게 하면 취약하다고 나열된 드라이버를 로드하려는 모든 시도가 시스템에 의해 자동으로 중단됩니다.

정책이 작동하는지 확인하려면 이벤트 뷰어를 열고 이벤트 로그로 이동하세요. Microsoft – Windows – CodeIntegrity – 운영 이벤트 ID 3099로 필터링합니다. 그러면 적용된 정책의 세부 정보를 확인하고 최신 버전과 일치하는지 확인할 수 있습니다.

드라이버를 차단하면 호환성 문제가 발생할 수 있나요?

이 보안 기능에 대해 가장 자주 묻는 질문 중 하나는 이 기능이 필요한 드라이버를 차단하고 시스템 오류를 일으킬 수 있는지 여부입니다. 답은, 충돌을 최소화하기 위해 목록을 신중하게 작성했지만, 매우 특정한 경우 드라이버를 차단하면 특정 하드웨어나 소프트웨어가 제대로 작동하지 않을 가능성이 있다는 것입니다., 또는 심지어 블루 스크린을 발생시킵니다 (BSOD).

따라서 Microsoft에서는 시스템 관리자가 정책을 완전히 활성화하기 전에 특히 감사 모드에서 정책을 적용하고 테스트하여 차단 이벤트를 검토하여 필수 작업 구성 요소를 방해하는 요소를 배제할 것을 권장합니다.

Windows 보안에서 차단 목록을 활성화하거나 비활성화하는 방법

최신 버전의 운영 체제에서는 이 기능을 관리하는 것이 그 어느 때보다 쉬워졌습니다. Windows 보안 앱을 열고 "장치 보안"으로 이동한 다음 "커널 격리" 섹션에 액세스합니다..

여기에서 사용자는 활성화 또는 비활성화 옵션을 볼 수 있습니다. Microsoft의 취약한 드라이버 차단 목록. 원하는 대로 상태를 변경하고 장치를 재부팅하면 변경 사항이 적용됩니다. 이 프로세스는 Windows 11 22H2 이상에서 동일합니다. 이전 버전에서는 보호 기능을 활성화하기 위해 메모리 무결성 또는 HVCI 기능을 추가로 활성화해야 할 수도 있습니다.

공격 표면 감소(ASR) 링크

커널 방어는 드라이버 블록 목록에만 기반하는 것이 아니라 더 광범위한 프레임워크의 일부입니다. 공격 표면 감소(ASR)이는 악성 소프트웨어와 해커의 악용 가능성을 최소화하도록 설계된 일련의 규칙을 포함합니다. 많은 환경에서 기본적으로 활성화되어 있는 가장 권장되는 ASR 규칙 중 하나는 바로 취약한 서명 드라이버의 남용을 차단하는 규칙입니다.

ASR 규칙 시스템은 Microsoft Defender for Endpoint에 통합되어 있으며, 최종 사용자를 차단, 감사 또는 경고하는 정책을 설정할 수 있습니다. 각 규칙에는 고유한 식별자(GUID)가 있으며 관리 센터에서 개별적으로 구성하거나 다음과 같은 도구를 사용하여 구성할 수 있습니다. PowerShell을.

운전자 및 기타 일반적인 위험과 관련된 ASR 규칙 목록

취약한 운전자를 차단하는 규칙 외에도 ASR 규칙 패키지에는 기업 및 개인 보안과 관련된 여러 가지 다른 조치가 포함되어 있습니다.

• Adobe Reader가 자식 프로세스를 생성하지 못하도록 합니다.
• Office 응용 프로그램이 자식 프로세스를 생성하거나 다른 프로세스에 코드를 삽입하는 것을 방지합니다.
• 잠재적으로 난독화된 스크립트의 실행을 차단합니다.
• JavaScript 또는 VBScript가 다운로드한 실행 가능 콘텐츠를 실행하지 못하도록 합니다.
• 단위에서 서명되지 않은 프로세스 차단 USB 또는 복사/사칭된 시스템 도구.
• Office 매크로에서 위험한 WebShell이나 API 호출이 생성되는 것을 차단합니다.
• 랜섬웨어 및 기타 정교한 공격에 대비하여 고급 보호 기능을 사용합니다.

각 규칙에 대해 차단, 감사 또는 경고 모드를 설정할 수 있으므로 각 조직의 요구 사항에 맞게 적용할 수 있습니다.. 이러한 유연성은 호환성이나 일상적인 워크플로를 희생하지 않고도 보안을 유지하는 데 중요합니다.

ASR 규칙은 어떻게 적용되고 관리됩니까?

ASR 규칙은 다양한 메커니즘을 통해 적용될 수 있습니다.

• 콘솔에서 끝 점용 Microsoft Defender회사, 그룹 또는 장치 수준에서 정책을 설정합니다.
• 사용 Microsoft Intune모든 규칙을 중앙에서 관리하고 프로필별로 배포할 수 있습니다.
• 지역적으로 사용 PowerShell을 컴퓨터에서 특정 규칙을 활성화하거나 감사합니다.

각 규칙은 고유한 GUID로 식별되며, 상태 조합을 설정할 수 있습니다.
구성되지 않음, 차단됨, 감사 또는 경고. 경고 모드는 자동으로 작업을 차단하지 않고도 사용자에게 위험을 알리고, 사용자가 경고를 받고 결정을 내릴 수 있도록 하는 환경에서 특히 유용합니다.