Windows 보안 앱의 디바이스 보안

HVCI(하이퍼바이저로 보호되는 코드 무결성)라고도 하는 메모리 무결성은 악성 프로그램이 낮은 수준의 드라이버를 사용하여 PC를 하이재킹하기 어렵게 만드는 Windows 보안 기능입니다.

드라이버는 운영 체제(이 경우 Windows)와 장치(예: 키보드 또는 웹캠)가 서로 통신할 수 있는 소프트웨어입니다. 디바이스가 Windows에서 작업을 수행하도록 하려는 경우 드라이버를 사용하여 해당 요청을 보냅니다.

메모리 무결성은 하드웨어 가상화를 사용하여 격리된 환경을 만들어 작동합니다.

잠긴 부스 내부의 경비원처럼 생각하십시오. 이 격리된 환경(비유의 잠긴 부스)은 공격자가 메모리 무결성 기능을 변조하는 것을 방지합니다. 위험할 수 있는 코드 조각을 실행하려는 프로그램은 확인할 수 있도록 해당 가상 부스 내의 메모리 무결성에 코드를 전달해야 합니다. 메모리 무결성이 편안할 때 코드가 안전할 경우 코드를 Windows로 다시 연결하여 실행합니다. 일반적으로 이 작업은 매우 빠르게 발생합니다.

메모리 무결성이 실행되고 있지 않으면 보안 보호대는 공격자가 가드를 방해하거나 방해하기가 훨씬 쉬운 열린 곳에서 눈에 뜨므로 악성 코드가 더 쉽게 지나간 후 문제를 일으킬 수 있습니다.

토글 단추를 사용하여 메모리 무결성 을 켜 거나 끌 수 있습니다.

호환되지 않는 드라이버가 있다고 말하면 어떻게 해야 하나요?

메모리 무결성이 켜지 않으면 호환되지 않는 디바이스 드라이버가 이미 설치되어 있음을 알 수 있습니다. 디바이스 제조업체에 문의하여 업데이트된 드라이버를 사용할 수 있는지 확인합니다. 호환되는 드라이버를 사용할 수 없는 경우 호환되지 않는 드라이버를 사용하는 디바이스 또는 앱을 제거할 수 있습니다.

하드웨어 강제 스택 보호는 악성 프로그램이 낮은 수준의 드라이버를 사용하여 PC를 하이재킹하기 어렵게 만드는 하드웨어 기반 보안 기능입니다.

드라이버는 운영 체제(이 경우 Windows)와 장치(예: 키보드 또는 웹캠)가 서로 통신할 수 있는 소프트웨어입니다. 디바이스가 Windows에서 작업을 수행하도록 하려는 경우 드라이버를 사용하여 해당 요청을 보냅니다.

하드웨어 적용 스택 보호는 커널 모드 메모리의 반환 주소를 수정하여 악성 코드를 시작하는 공격을 방지하여 작동합니다. 이 보안 기능을 사용하려면 실행 중인 코드의 반환 주소를 확인하는 기능이 포함된 CPU가 필요합니다.

커널 모드에서 코드를 실행할 때 일반 코드 실행을 악성 코드로 리디렉션하기 위해 악성 프로그램 또는 드라이버에 의해 커널 모드 스택의 반환 주소가 손상될 수 있습니다. 지원되는 CPU에서 CPU는 드라이버가 수정할 수 없는 읽기 전용 섀도 스택에 유효한 반환 주소의 두 번째 복사본을 유지 관리합니다. 일반 스택의 반환 주소가 수정된 경우 CPU는 섀도 스택에서 반환 주소의 복사본을 확인하여 이러한 불일치를 감지할 수 있습니다. 이 불일치가 발생하면 컴퓨터는 악성 코드가 실행되지 않도록 중지 오류(블루 스크린이라고도 함)를 표시합니다.

소수의 합법적인 드라이버가 악의적이지 않은 목적으로 반환 주소 수정에 관여하므로 일부 드라이버가 이 보안 기능과 호환되는 것은 아닙니다. Microsoft는 최신 드라이버가 하드웨어 적용 스택 보호와 호환되도록 다양한 드라이버 게시자에 참여해 왔습니다.

토글 단추를 사용하여 하드웨어 적용 스택 보호를 켜 거나 끌 수 있습니다.

하드웨어 적용 스택 보호를 사용하려면 메모리 무결성을 사용하도록 설정해야 하며 Intel Control-Flow 적용 기술 또는 AMD 섀도 스택을 지원하는 CPU를 실행해야 합니다.

호환되지 않는 드라이버 또는 서비스가 있다고 말하면 어떻게 해야 하나요?

하드웨어 강제 스택 보호가 켜지 않으면 호환되지 않는 디바이스 드라이버 또는 서비스가 이미 설치되어 있음을 알 수 있습니다. 디바이스 제조업체 또는 애플리케이션 게시자에 문의하여 업데이트된 드라이버를 사용할 수 있는지 확인합니다. 호환되는 드라이버를 사용할 수 없는 경우 호환되지 않는 드라이버를 사용하는 디바이스 또는 앱을 제거할 수 있습니다.

일부 애플리케이션은 애플리케이션을 설치하는 동안 드라이버 대신 서비스를 설치하고 애플리케이션이 시작될 때만 드라이버를 설치할 수 있습니다. 호환되지 않는 드라이버를 보다 정확하게 검색하기 위해 호환되지 않는 드라이버와 연결된 것으로 알려진 서비스도 열거됩니다.

커널 DMA 보호라고도 하는 이 보안 기능은 악성 디바이스가 Thunderbolt 포트와 같은 PCI(주변 구성 요소 상호 연결) 포트에 연결되어 있을 때 발생할 수 있는 공격으로부터 디바이스를 보호합니다.

이러한 공격 중 하나의 간단한 예는 누군가가 빠른 커피 휴식을 위해 PC를 떠나는 경우, 그리고 그들이 떨어져있는 동안, 공격자가 들어와 USB와 같은 장치에 연결하고 컴퓨터에서 중요한 데이터로 멀리 걸어, 또는 원격으로 PC를 제어 할 수있는 맬웨어를 주입하는 것입니다. 

메모리 액세스 보호는 특히 PC가 잠겨 있거나 사용자가 로그아웃된 특별한 경우를 제외하고 해당 디바이스에 대한 메모리에 대한 직접 액세스를 거부하여 이러한 종류의 공격을 방지합니다.

모든 디바이스에는 디바이스의 읽기 전용 메모리에 기록된 일부 소프트웨어(기본적으로 시스템 보드의 칩에 기록됨)가 있으며, 이는 사용하는 모든 앱을 실행하는 운영 체제 로드와 같은 디바이스의 기본 기능에 사용됩니다. 해당 소프트웨어는 수정하기 어렵지만 불가능하지는 않으므로 이를 펌웨어라고 합니다.

펌웨어가 먼저 로드되고 운영 체제 에서 실행되기 때문에 운영 체제에서 실행되는 보안 도구 및 기능은 이를 감지하거나 방어하는 데 어려움을 겪습니다. 보안을 위해 좋은 기반에 의존하는 집과 마찬가지로 컴퓨터는 해당 컴퓨터의 운영 체제, 애플리케이션 및 데이터가 안전한지 확인하기 위해 펌웨어를 안전하게 보호해야 합니다.

System Guard 공격자가 신뢰할 수 없거나 악의적인 펌웨어로 디바이스를 시작할 수 없도록 하는 데 도움이 되는 기능 집합입니다.

펌웨어 보호를 제공하는 플랫폼은 일반적으로 높은 권한의 운영 모드인 SMM( 시스템 관리 모드 )을 다양한 각도로 보호합니다. 세 가지 값 중 하나를 예상할 수 있습니다. 더 높은 숫자는 더 높은 수준의 SMM 보호를 나타냅니다.

• 디바이스가 펌웨어 보호 버전 1을 충족합니다. SMM이 맬웨어에 의한 악용을 방지하고 OS(VBS 포함)의 비밀 반출을 방지하는 데 도움이 되는 기본 보안 완화 기능을 제공합니다.

• 디바이스가 펌웨어 보호 버전 2를 충족합니다. 펌웨어 보호 버전 1 외에도 버전 2는 SMM이 VBS(가상화 기반 보안) 및 커널 DMA 보호를 사용하지 않도록 설정할 수 없도록 합니다.

• 디바이스가 펌웨어 보호 버전 3을 충족합니다. 펌웨어 보호 버전 2 외에도 OS(VBS 포함)를 손상시킬 수 있는 특정 레지스터에 대한 액세스를 방지하여 SMM을 더욱 강화합니다.

LSA(로컬 보안 기관) 보호는 Windows에 로그인하는 데 사용되는 자격 증명 도난을 방지하는 Windows 보안 기능입니다.   

LSA(로컬 보안 기관)는 사용자 인증과 관련된 Windows의 중요한 프로세스입니다. 로그인 프로세스 중에 자격 증명을 확인하고 서비스에 Single Sign-On을 사용하도록 설정하는 데 사용되는 인증 토큰 및 티켓을 관리합니다. LSA 보호는 신뢰할 수 없는 소프트웨어가 LSA 내에서 실행되거나 LSA 메모리에 액세스하는 것을 방지하는 데 도움이 됩니다.  

로컬 보안 기관 보호를 관리할 어떻게 할까요? 있나요?

토글 단추를 사용하여 LSA 보호를 켜 거나 끌 수 있습니다.

설정을 변경한 후에는 설정을 적용하려면 다시 부팅해야 합니다. 

호환되지 않는 소프트웨어가 있는 경우 어떻게 해야 하나요? 

LSA 보호를 사용하도록 설정하고 LSA 서비스에 소프트웨어 로드를 차단하는 경우 알림은 차단된 파일을 나타냅니다. 파일을 로드하는 소프트웨어를 제거하거나 LSA로 로드되지 않도록 차단된 경우 해당 파일에 대한 향후 경고를 사용하지 않도록 설정할 수 있습니다.  

회사 또는 학교 장치를 사용하는 동안 조용히 로그인하여 organization 파일, 프린터, 앱 및 기타 리소스와 같은 다양한 항목에 액세스할 수 있습니다. 이 프로세스를 안전하게 만들면서도 사용자에게 간편하게 만들면 PC에 지정된 시간에 여러 인증 토큰이 있다는 것을 의미합니다.

공격자가 해당 토큰 중 하나 이상에 액세스할 수 있는 경우 이를 사용하여 토큰이 적용되는 조직 리소스(중요한 파일 등)에 액세스할 수 있습니다. Credential Guard는 필요한 경우 특정 서비스만 액세스할 수 있는 보호된 가상화된 환경에 토큰을 배치하여 해당 토큰을 보호하는 데 도움이 됩니다.

드라이버는 운영 체제(이 경우 Windows)와 장치(예: 키보드 또는 웹캠)가 서로 통신할 수 있는 소프트웨어입니다. 디바이스가 Windows에서 작업을 수행하도록 하려는 경우 드라이버를 사용하여 해당 요청을 보냅니다. 이 때문에 드라이버는 시스템에 많은 중요한 액세스 권한을 갖습니다.

Windows 11 보안 취약성을 알고 있거나, 맬웨어에 서명하는 데 사용되는 인증서로 서명되었거나, Windows 보안 모델을 우회하는 드라이버의 차단 목록을 포함합니다.

메모리 무결성, 스마트 앱 컨트롤 또는 Windows S 모드가 켜진 경우 취약한 드라이버 차단 목록도 켜질 것입니다.

여기에서 보안 프로세서 제조업체 및 버전 번호에 대한 정보는 물론 보안 프로세서 상태에 대한 정보를 찾을 수 있습니다.

PC의 Windows 보안 앱 에서, 디바이스 보안  > 보안 프로세서 세부 정보를 선택하거나 다음 바로 가기를 사용합니다.

보안 프로세서 세부 정보

보안 프로세서가 제대로 작동하지 않는 경우 보안 프로세서 문제 해결 링크를 선택하여 오류 메시지 및 고급 옵션을 확인하거나 다음 바로 가기를 사용할 수 있습니다.

보안 프로세서 문제 해결

보안 프로세서 문제 해결 페이지에서는 TPM에 대한 관련 오류 메시지를 제공합니다. 다음은 오류 메시지 및 세부 정보 목록입니다.

메시지	세부 정보
보안 프로세서(TPM)에 대한 펌웨어 업데이트가 필요합니다.	디바이스의 마더보드는 현재 TPM을 지원하지 않는 것처럼 보이지만 펌웨어 업데이트가 이를 resolve 수 있습니다. 디바이스 제조업체에 문의하여 펌웨어 업데이트를 사용할 수 있는지와 설치 방법을 확인합니다. 펌웨어 업데이트는 일반적으로 무료입니다.
TPM을 사용할 수 없으며 확인이 필요합니다.	신뢰할 수 있는 플랫폼 모듈은 시스템 BIOS(기본 입력/출력 시스템) 또는 UEFI(통합 확장 가능 펌웨어 인터페이스)에서 꺼져 있는 것일 수 있습니다. 디바이스 제조업체의 지원 설명서를 참조하거나 기술 지원에 문의하여 켜는 방법에 대한 지침을 확인하세요.
TPM 저장소를 사용할 수 없습니다. TPM을 지우세요.	이 페이지에는 지우기 TPM 단추가 있습니다. 계속하기 전에 데이터를 제대로 백업해야 합니다.
장치 상태 증명을 사용할 수 없습니다. TPM을 지우세요.	이 페이지에는 지우기 TPM 단추가 있습니다. 계속하기 전에 데이터를 제대로 백업해야 합니다.
이 장치에서는 장치 상태 증명이 지원되지 않습니다.	즉, 디바이스는 TPM이 디바이스에서 제대로 작동하지 않는 이유를 결정하기에 충분한 정보를 제공하지 않습니다.
TPM은 펌웨어와 호환되지 않으며 제대로 작동하지 않을 수 있습니다.	디바이스 제조업체에 문의하여 펌웨어 업데이트를 사용할 수 있는지, 펌웨어 업데이트를 다운로드하여 설치하는 방법을 확인합니다. 펌웨어 업데이트는 일반적으로 무료입니다.
TPM 측정된 부팅 로그가 누락되었습니다. 장치를 다시 시작합니다.
TPM에 문제가 있습니다. 장치를 다시 시작합니다.

오류 메시지를 해결한 후에도 문제가 계속 발생하면 장치 제조업체에 문의하여 지원을 받으시기 바랍니다.

보안 프로세서를 기본 설정으로 다시 설정하려면 TPM 지우기를 선택하세요.