주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=unauthorized-file-protection

무단 파일 보호 정책

!!! info "서버 잠금 기능을 무단 파일 보호로 이름을 변경했습니다." 무단 파일 보호 관리를 위한 새로운 제어 기능이 추가되었습니다. 이러한 변경 사항은 기존 서버 잠금 정책에서 허용 또는 차단한 파일 및 폴더에는 영향을 미치지 않습니다. 기존 서버 잠금(Server Lockdown) 고객 여러분께서는 향상된 기능을 활용하실 수 있도록 무단 파일 보호(Unauthorized File Protection)로의 전환을 계획하시기를 권장합니다.

참고

잠긴 서버는 무단 파일 보호 정책 사용하기 전에 잠금을 해제해야 합니다. 서버 잠금 해제에 대한 자세한 내용은 다음을 참조하세요.서버 요약 .

무단 파일 보호 기능은 권한이 없는 프로세스가 휴대용 실행 파일(PE)을 생성, 수정 또는 이동하는 파일 작업을 추적합니다. 또한 파일 하드링크 생성 및 폴더 이름 변경도 추적합니다.  

평판 확인

무단 파일 보호 기능은 SophosLabs가 부여하는 평판을 활용합니다. 평판 점수는 파일의 신뢰도를 나타냅니다. 무단 파일 보호 기능은 다음과 같이 평판 점수를 사용합니다.

  • 평판이 높은 로컬 파일은 정책 차단 목록에 있는 항목과 일치하지 않는 한 실행이 허용됩니다.

    관리자는 응용 프로그램 제어 정책 사용하여 합법적이고 널리 사용되는 응용 프로그램의 파일 실행을 차단할 수 있습니다. 서버 응용 프로그램 제어 정책을 참조하십시오.

  • 평판이 낮거나 중간 정도인 로컬 파일은 변경 사항이 있는지 추적됩니다. 무단 파일 보호 기능은 권한이 없는 프로세스가 파일을 수정했을 경우 파일 실행을 차단합니다.

  • Sophos 및 시스템 파일을 제외한 모든 평판의 로컬 파일은 무단 파일 보호 정책의 차단 목록과 일치하는 경우 차단됩니다.

    참고

    Sophos Endpoint Self Help (ESH) 도구를 사용하여 파일의 평판 점수를 확인할 수 있습니다. 자세한 내용은 파일 정보를 참조하십시오.

평판 점수에 대한 자세한 내용은 최신 인텔리전스 요청을 참조하세요.

무단 파일 접근 방지 정책 설정

나의 제품 > Server > 정책으로 이동합니다.

정책을 설정하려면 다음과 같이 하십시오.

  1. 나의 제품 > Server > 정책으로 이동합니다.
  2. 무단 파일 접근 방지 정책 생성하세요. 정책 만들기 또는 편집을 참조하십시오.
  3. 정책의 설정 탭 열고 필요에 따라 구성하십시오.

승인되지 않은 파일의 변경 추적 활성화

무단 파일 변경 추적 기능을 활성화 하세요.

다음과 같은 설정 중 하나를 선택할 수 있습니다.

  • 차단 없이 무단 파일 실행 모니터링: Sophos Endpoint를 활성화하면 권한이 없는 파일의 실행을 차단하지 않고 Sophos Central 에 보고합니다.

    이러한 세부 정보를 사용하여 '권한 없는 파일 실행 차단' 옵션을 활성화하기 전에 필요한 파일을 허용 목록에 추가할 수 있습니다.

  • 권한이 없는 파일의 실행을 차단합니다 . Sophos Endpoint는 활성화되면 승인되지 않은 파일 실행을 차단합니다.

    실행이 차단되면 Sophos Endpoint Agent 에서 파일이 차단되었다는 팝업 메시지가 사용자에게 표시됩니다. 관리자는 서버이벤트 탭 에서 자세한 내용을 확인할 수 있습니다. 서버 이벤트을 참조하십시오.

차단된 파일에 대한 최근 이벤트는 서버 요약 또는 이벤트 탭 에서 확인할 수 있습니다. 특정 시간 간격 동안의 이벤트 보고서를 보려면 보고서 > 일반 로그 > 이벤트 로 이동하십시오.

Sophos EDR 또는 XDR 고객은 사용자 지정 Live Discover 쿼리를 사용하여 사용 가능한 모든 이벤트 세부 정보를 검색할 수도 있습니다.sophos_unauthorized_actions_journal 테이블.

사용자 지정 쿼리를 만들거나 편집하려면 쿼리 편집 또는 만들기을 참조하세요.

사용자 지정 쿼리를 실행하려면 Live Discover을 참조하세요.

허용된 품목

특정 파일 또는 특정 폴더나 하위 폴더에 있는 모든 파일의 실행을 허용할 수 있습니다. 이 목록의 항목과 일치하는 항목은 특권이 부여됩니다.

전체 파일 경로를 지정하는 것을 권장합니다.

품목을 허용하려면 다음과 같이 하십시오.

  1. '허용된 항목 추가'를 클릭하세요.

  2. '새 허용 항목 추가 ' 대화 상자에서 다음과 같이 하십시오.

    1. 파일 , 폴더 또는 SHA256을 선택하세요.

    2. 파일 또는 폴더의 경로 또는 SHA-256 값을 입력하십시오.

      파일과 폴더에만 와일드카드와 변수를 사용할 수 있습니다. Windows 스캐닝 제외을 참조하십시오.

    3. 저장을 클릭합니다.

  3. Server Protection 페이지에서 [저장]을 클릭합니다.

차단된 항목

특정 파일 또는 특정 폴더나 하위 폴더에 있는 모든 파일의 실행을 차단할 수 있습니다.

파일이나 폴더를 차단하려면 다음과 같이 하십시오.

  1. 차단된 항목 추가를 클릭하세요.

  2. '새 차단 항목 추가' 대화 상자에서 다음과 같이 하십시오.

    1. 파일 , 폴더 또는 SHA256을 선택하세요.

    2. 파일 또는 폴더의 경로 또는 SHA-256 값을 입력하십시오.

      파일과 폴더에만 와일드카드와 변수를 사용할 수 있습니다. Windows 스캐닝 제외을 참조하십시오.

    3. 저장을 클릭합니다.

  3. Server Protection 페이지에서 [저장]을 클릭합니다.

MSI 파일 설치

MSI 파일은 윈도우 장치에 소프트웨어를 설치하는 데 일반적으로 사용되는 설치 패키지입니다. 이 파일들은 PE 파일이 아니며, 무단 파일 보호 기능은 이러한 파일들을 처리하기 위해 특별한 논리를 적용합니다.

MSI 파일 자체는 차단되지 않지만, 설치 과정에서 추출되어 실행되는 PE 파일을 포함할 수 있습니다. 이러한 PE 파일의 평판 점수가 높지 않으면 무단 파일 보호 기능이 해당 파일을 차단하여 설치가 실패합니다. 설치가 완료되더라도, 무단 파일 보호 기능은 평판 점수가 높지 않거나 정책 허용 목록과 일치하지 않는 설치된 PE 파일을 차단합니다.

MSI 파일 경로 또는 MSI 파일이 포함된 폴더를 정책 허용 목록 및 차단 목록 에 추가할 수 있습니다. 무단 파일 보호 기능은 MSI 파일이 이러한 목록과 일치하는지 확인하여 설치를 차단할지, 아니면 설치된 PE 파일이나 설치 중에 추출된 PE 파일의 실행을 허용할지 결정합니다.