주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=unauthorized-file-protection

무단 파일 보호 정책

!!! info "Lockdown의 이름을 Sophos Unauthorized File Protection(SUFP)으로 변경합니다." SUFP 관리를 위한 새로운 제어 기능도 추가하고 있습니다. 이 변경 사항은 기존 잠금 정책에서 허용 또는 차단한 파일 및 폴더에는 영향을 미치지 않습니다. 기존 서버 잠금(Server Lockdown) 고객 여러분께서는 향상된 기능을 활용하실 수 있도록 무단 파일 보호(Unauthorized File Protection)로의 전환을 계획하시기를 권장합니다.

참고

잠긴 서버는 무단 파일 보호 정책 사용하기 전에 잠금을 해제해야 합니다. 서버 잠금 해제에 대한 자세한 내용은 다음을 참조하세요.서버 요약 .

Sophos 무단 파일 보호(SUFP)는 권한이 없는 프로세스가 PE(Portable Executable) 파일을 생성, 수정 또는 이동하는 파일 작업을 추적합니다. 또한 파일 하드링크 생성 및 폴더 이름 변경도 추적합니다.  

평판 확인

SUFP는 SophosLabs가 부여하는 명성을 활용합니다. 평판 점수는 파일의 신뢰도를 나타냅니다. SUFP는 평판 점수를 다음과 같이 사용합니다.

  • 평판이 높은 로컬 파일은 정책 차단 목록에 있는 항목과 일치하지 않는 한 실행이 허용됩니다.

    관리자는 응용 프로그램 제어 정책 사용하여 합법적이고 널리 사용되는 응용 프로그램의 파일 실행을 차단할 수 있습니다. 서버 응용 프로그램 제어 정책을 참조하십시오.

  • 평판이 낮거나 중간 정도인 로컬 파일은 변경 사항이 있는지 추적됩니다. SUFP는 권한이 없는 프로세스가 파일을 수정했을 경우 파일 실행을 차단합니다.

  • Sophos 및 시스템 파일을 제외한 모든 평판의 로컬 파일은 SUFP 정책 차단 목록과 일치하는 경우 차단됩니다.

    참고

    Sophos Endpoint Self Help (ESH) 도구를 사용하여 파일의 평판 점수를 확인할 수 있습니다. 자세한 내용은 파일 정보를 참조하십시오.

평판 점수에 대한 자세한 내용은 최신 인텔리전스 요청 참조하세요.

무단 파일 접근 방지 정책 설정

나의 제품 > Server > 정책으로 이동합니다.

정책을 설정하려면 다음과 같이 하십시오.

  1. 나의 제품 > Server > 정책으로 이동합니다.
  2. 무단 파일 접근 방지 정책 생성하세요. 정책 만들기 또는 편집을 참조하십시오.
  3. 정책의 설정 탭 열고 필요에 따라 구성하십시오.

승인되지 않은 파일의 변경 추적 활성화

무단 파일 변경 추적 기능을 활성화 하세요.

다음과 같은 설정 중 하나를 선택할 수 있습니다.

  • 차단 없이 무단 파일 실행 모니터링: Sophos Endpoint를 활성화하면 권한이 없는 파일의 실행을 차단하지 않고 Sophos Central 에 보고합니다.

    이러한 세부 정보를 사용하여 '권한 없는 파일 실행 차단' 옵션을 활성화하기 전에 필요한 파일을 허용 목록에 추가할 수 있습니다.

  • 권한이 없는 파일의 실행을 차단합니다 . Sophos Endpoint는 활성화되면 승인되지 않은 파일 실행을 차단합니다.

    실행이 차단되면 Sophos Endpoint Agent 에서 파일이 차단되었다는 팝업 메시지가 사용자에게 표시됩니다. 관리자는 서버이벤트 탭 에서 자세한 내용을 확인할 수 있습니다. 서버 이벤트를 참조하세요.

차단된 파일에 대한 최근 이벤트는 서버 요약 또는 이벤트 탭 에서 확인할 수 있습니다. 특정 시간 간격 동안의 이벤트 보고서를 보려면 보고서 > 일반 로그 > 이벤트 로 이동하십시오.

Sophos EDR 또는 XDR 고객은 사용자 지정 Live Discover 쿼리를 사용하여 사용 가능한 모든 이벤트 세부 정보를 검색할 수도 있습니다.sophos_unauthorized_actions_journal 테이블.

사용자 지정 쿼리를 만들거나 편집하려면 쿼리 편집 또는 만들기 참조하세요.

사용자 지정 쿼리를 실행하려면 Live Discover 참조하세요.

허용된 파일/폴더

특정 파일 또는 특정 폴더나 하위 폴더에 있는 모든 파일의 실행을 허용할 수 있습니다. 이 목록의 항목과 일치하는 파일은 권한이 부여된 파일입니다.

전체 파일 경로를 지정하는 것을 권장합니다.

파일이나 폴더에 대한 접근을 허용하려면 다음과 같이 하십시오.

  1. 허용된 파일/폴더 추가을 클릭합니다.
  2. 파일 또는 폴더를 선택하세요.
  3. 파일 또는 폴더의 경로를 입력합니다. 와일드카드와 변수를 사용할 수 있습니다. Windows 스캐닝 제외을 참조하십시오.
  4. 저장을 클릭합니다.

차단된 파일/폴더

특정 파일 또는 특정 폴더나 하위 폴더에 있는 모든 파일의 실행을 차단할 수 있습니다.

파일이나 폴더를 차단하려면 다음과 같이 하십시오.

  1. 차단된 파일/폴더 추가을 클릭합니다.
  2. 파일 또는 폴더를 선택하세요.
  3. 파일 또는 폴더의 경로를 입력합니다. 와일드카드와 변수를 사용할 수 있습니다. Windows 스캐닝 제외을 참조하십시오.
  4. 저장을 클릭합니다.

MSI 파일 설치

MSI 파일은 윈도우 장치에 소프트웨어를 설치하는 데 일반적으로 사용되는 설치 패키지입니다. 이 파일들은 PE 파일이 아니며, SUFP는 이를 처리하기 위해 특별한 로직을 적용합니다.

MSI 파일 자체는 차단되지 않지만, 설치 과정에서 추출되어 실행되는 PE 파일을 포함할 수 있습니다. 이러한 PE 파일의 평판 점수가 높지 않으면 SUFP에서 해당 파일을 차단하여 설치가 실패합니다. 설치가 완료되더라도 SUFP는 평판 점수가 높지 않거나 정책 허용 목록과 일치하지 않는 설치된 PE 파일을 차단합니다.

MSI 파일 경로 또는 MSI 파일이 포함된 폴더를 정책 허용 목록 및 차단 목록 에 추가할 수 있습니다. SUFP는 MSI 파일이 이러한 목록과 일치하는지 확인하여 설치를 차단할지, 아니면 설치된 PE 파일이나 설치 중에 추출된 PE 파일의 실행을 허용할지 결정합니다.