Microsoft Defender 바이러스 백신 전체 검사 고려 사항 및 모범 사례
적용 대상:
- 엔드포인트용 Microsoft Defender 계획 1 및 2
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
이 문서에서는 엔드포인트용 Microsoft Defender를 사용하여 전체 바이러스 백신 검사를 실행하기 위한 고려 사항 및 모범 사례를 설명합니다. 이 문서에서는 검사 성능에 영향을 주는 요인을 간략하게 설명하고 리소스 사용량이 증가하면 보호 효율성이 증가하는 시나리오를 설명합니다.
개요
엔드포인트용 Defender의 실시간 보호는 컴퓨터를 지속적으로 검사하여 실시간으로 맬웨어 감염을 감지하고 중지하는 기능입니다. 추론 및 동작 기반 검색 방법을 사용하여 디바이스의 활동을 모니터링하고 위협으로부터 보호합니다. 이 조합은 시스템 및 커널 수준 맬웨어로 시작하는 맬웨어에 대한 강력한 검사를 제공하므로 예약된 검사에 대한 권장 사항은 항상 실시간 보호 및 클라우드 보호와 함께 빠른 검사를 구성하는 것입니다. 이 구성은 기본 구성입니다. 일반적으로 전체 검사를 예약할 필요가 없으며 대부분의 사용자는 전체 검사를 수동으로 실행할 필요가 없습니다( 빠른 검사, 전체 검사 및 사용자 지정 검사 비교 참조).
그러나 조직의 특정 요구 사항을 충족하기 위해 전체 검사를 실행해야 할 수 있습니다. 전체 검사는 빠른 검사로 시작한 다음 탑재된 모든 고정 및 이동식 네트워크 드라이브의 순차적 파일 검색으로 계속됩니다. 전체 검사는 콘텐츠 볼륨, 콘텐츠 유형 및 Microsoft Defender가 검사를 수행하기 위해 할당한 리소스에 따라 몇 시간에서 며칠까지 지속될 수 있습니다( Microsoft Defender 바이러스 백신을 사용하여 정기적인 빠른 전체 검사 예약 참조). 검사 성능은 전적으로 파일 크기의 함수가 아니며 주로 콘텐츠의 형식과 복잡성에 따라 결정됩니다.
보호 효율성 및 성능 영향
보호 및 시스템 리소스 사용은 절충을 수반합니다. 디바이스 성능은 환경에 따라 크게 달라집니다. 복잡한 콘텐츠가 많은 디바이스에서 전체 검사를 실행하면 완료 시간이 늘어나게 되는 것은 당연한 일입니다. 다음 표에는 보호 효율성을 높이기 위해 더 많은 시스템 리소스를 사용하기로 결정한 시나리오가 요약되어 있습니다.
| 설정 | 기본값 | 세부 정보 |
|---|---|---|
| 보관/컨테이너(예: ISO) 검사 | Enabled |
Microsoft Defender 바이러스 백신은 단일 개체의 검색 시간을 최소화하도록 최적화되어 있습니다. 컨테이너에는 많은 개체가 포함될 수 있으며 컨테이너에서 항목을 추출하는 오버헤드로 인해 개체를 검사하는 데 예상보다 많은 시간이 걸릴 수 있습니다. |
| 보관 검사의 최대 크기 | Unlimited |
|
| 매핑된 네트워크(예: UNC, SMB, CIFS) | Enabled |
기본적으로 Microsoft Defender 바이러스 백신은 매핑된 네트워크 드라이브를 검사합니다. |
| OneDrive 동기화 | Enabled |
기본적으로 Microsoft Defender 바이러스 백신은 OneDrive 또는 폴더 동기화를 통해 동기화되는 데스크톱, 문서 또는 다운로드를 검색합니다. |
| 클라이언트 쪽 캐시/오프라인 파일 | Enabled |
기본적으로 Defender는 클라이언트 쪽 캐시를 검사합니다. |
| 평균 CPU 부하 비율 검사 | 50 |
이 문서의 검사 및 CPU 제한 섹션을 참조하세요. |
참고
- 실시간 보호가 켜져 있으면 파일에 액세스하고 실행하기 전에 파일을 검사합니다. 검색은 파일이 있는 위치에 관계없이 발생합니다( Microsoft Defender 바이러스 백신에 대한 검사 옵션 구성 참조).
- 실제 CPU 사용량은 CPU 코어 수, I/O 성능, 메모리 압력 등에 따라 달라질 수 있습니다. CPU 사용량을 제한하면 전체 검사를 완료하는 데 시간이 더 오래 걸릴 수 있으므로 고객은 특정 환경에서 얻은 실제 CPU 사용량 값에 따라 이 값을 미세 조정해야 합니다.
전체 검사 성능 최적화 설정 및 스위치
디바이스 성능은 보안 이벤트 처리 속도와 파일, 네트워크 및 검사 작업의 속도에서 중요한 요소입니다. 이벤트 처리 속도가 높을수록 AV 스캐너의 성능 영향이 높아질 수 있습니다. 다른 바이러스 백신 소프트웨어 구성은 성능 및 보호에 영향을 미칠 수 있습니다. Microsoft Defender 바이러스 백신의 성능을 조정하도록 구성할 수 있는 설정 및 스위치가 있습니다.
Microsoft Defender 바이러스 백신에 대한 검사 옵션을 구성하려면 다양한 도구를 사용할 수 있습니다( Microsoft Defender 바이러스 백신에 대한 검사 옵션 구성 참조). 다음은 Microsoft Defender 바이러스 백신 전체 검사를 구성하는 데 사용할 수 있는 몇 가지 사용 가능한 설정 및 스위치입니다.
| 설정 | 기본값 | PowerShell/WMI 매개 변수 및 세부 정보 |
|---|---|---|
| 보관/컨테이너(예: ISO) 검사 | Enabled |
Microsoft Defender 바이러스 백신은 단일 개체의 검색 시간을 최소화하도록 최적화되어 있습니다. 컨테이너에는 많은 개체가 포함될 수 있으며 컨테이너에서 항목을 추출하는 오버헤드로 인해 개체를 검사하는 데 예상보다 많은 시간이 걸릴 수 있습니다. |
| 파일 보관 | Scanned |
DisableArchiveScanning을 켜 DisableArchiveScanning 면 바이러스 백신 검사에서 다음 보관 형식이 제외됩니다.- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z 자세한 내용은 DisableArchiveScanning을 참조하세요. |
| 검색할 보관 폴더 내의 하위 폴더 수준 | 0 |
0 는 무제한을 의미합니다. |
| 스캔을 위한 보관의 최대 크기 | 0 |
0 는 무제한을 의미합니다. |
| 매핑된 네트워크 드라이브 | Scanned |
DisableScanningMappedNetworkDrivesForFullScanDisableScanningMappedNetworkDrivesForFullScan을 참조하세요. |
| 네트워크 파일 | Scanned |
DisableScanningNetworkFiles |
| 검사하는 동안 최대 CPU 로드 % | 50 |
ScanAvgCPULoadFactor이 문서의 검사 및 CPU 제한 섹션을 참조하세요. |
| 유휴 검사에서 CPU 제한 사용 안 함 | Unthrottled |
DisableCpuThrottleOnIdleScans이 문서의 검사 및 CPU 제한 섹션을 참조하세요. |
| 검사하기 전에 서명 확인 | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender 바이러스 백신은 주기적으로 서명 업데이트를 확인하고 예약된 검사를 자동으로 수행합니다. 기본적으로 검사는 기존 정의로 시작됩니다. 이 설정은 예약된 검사에만 적용됩니다. |
| 전체 검사 중 이동식 드라이브 | Scanned |
DisableRemovableDriveScanning전체 검사 중에 플래시 드라이브와 같은 이동식 드라이브를 검사할지 여부를 나타냅니다. |
| 전자 메일 | Scanned |
DisableEmailScanningWindows Defender가 메일 본문 및 첨부 파일을 분석하기 위해 특정 형식에 따라 사서함 및 메일 파일을 구문 분석하는지 여부를 나타냅니다. |
| 스크립트 | Scanned |
DisableScriptScanning스크립트 파일 검사를 사용하지 않도록 설정할지 여부를 지정합니다. |
모범 사례 및 고려 사항
다음은 Microsoft의 권장 사항입니다.
전체 검사
Microsoft Defender 바이러스 백신을 사용하도록 설정하거나 설치한 후 전체 검사를 한 번 실행하면 시스템을 검사하여 기존 위협을 검색하는 데 유용할 수 있습니다.
디바이스 유형 및 역할(예: SQL Server 컬렉션, IIS 서버 컬렉션, 제한된 워크스테이션 컬렉션, 표준 워크스테이션 컬렉션)에 따라 검사 정책을 구성하는 것이 좋습니다.
파일 서버 역할에서 도메인 컨트롤러를 사용하지 마세요. 이렇게 하면 파일 공유에 대한 바이러스 백신 검사 작업이 감소하고 성능 오버헤드가 최소화됩니다.
Microsoft Defender 바이러스 백신에는 이전에 계산되지 않은 경우 검사된 모든 실행 파일에 대한 파일 해시를 계산하는 파일 해시 계산 기능이 있습니다. 특히 네트워크 공유에서 큰 파일을 복사할 때 성능 비용이 발생합니다. 지표에 미치는 영향에 대한 자세한 내용은 파일 해시 계산 구성 을 참조하세요.
전체 검사 성능은 CPU 제한의 영향을 받을 수 있습니다. CPU 제한 설정을 기본값으로 두는 것이 좋습니다.
참고
- 기본적으로 Microsoft Defender 바이러스 백신은 파일 확장명은 종종 오해의 소지가 있으며 공격자가 쉽게 스푸핑할 수 있으므로 내부 콘텐츠 형식을 검사합니다.
- 검사 성능은 검사 중인 실제 콘텐츠 형식에 따라 크게 달라집니다. 일반적으로 더 복잡한 파일 형식에는 더 많은 시간과 주기가 필요하지만 더 비정상적인 콘텐츠 형식에는 더 많은 시간(예: JavaScript 파일)이 필요합니다.
- Microsoft Defender 바이러스 백신에 대한 성능 분석기 도구는 바이러스 백신 검사 중에 개별 엔드포인트에서 성능 문제를 일으킬 수 있는 파일, 파일 확장명 및 프로세스를 결정하는 데 도움이 됩니다. Microsoft Defender 바이러스 백신을 실행하고 성능 문제가 발생하는 경우 성능 분석기를 사용하여 성능을 최적화할 수 있습니다( Microsoft Defender 바이러스 백신의 성능 분석기 참조).
- Microsoft Defender 바이러스 백신에 대한 신뢰할 수 있는 이미지 식별자는 디바이스의 성능을 향상시키는 데 도움이 될 수 있습니다. Microsoft Defender에 대한 신뢰할 수 있는 이미지 식별자 구성을 참조하세요.
검사 및 CPU 제한
CPU 제한이라고도 하는 CPU 사용량 제한 설정은 Microsoft Defender 주문형 검사에 대한 최대 CPU 사용량을 설정하는 데 사용됩니다. CPU 제한 설정은 기본적으로 사용하도록 설정되며 예약된 검사에만 적용되며 필요에 따라 사용자 지정 검사에도 적용됩니다. 특정 환경에서 얻은 실제 CPU 사용량 값에 따라 이 설정을 미세 조정하는 것이 좋습니다(Set-MpPreference(Defender)의 설정 참조ScanAverageCPULoadFactor).
Microsoft Defender 바이러스 백신의 CPU 부하 요소는 하드 제한이 아니라 검사 엔진이 이 최대값을 초과하지 않도록 하는 지침입니다. 이 검사 정책 설정의 경우 검색 중에 값을 최대 CPU 사용률 백분율로 지정할 수 있습니다. 값 0 또는 100은 제한이 없음을 나타냅니다. 예를 들어 이 값을 20으로 줄이면 검사 엔진이 검사하는 동안 시스템의 평균 CPU 부하를 20% 미만으로 유지하고 완료하는 데 시간이 더 오래 걸린다는 것을 의미합니다.
백분율 값을 0 또는 100으로 설정하면 CPU 제한이 비활성화되고 Windows Defender는 예약 및 사용자 지정 검사 중에 최대 100%의 CPU를 사용할 수 있습니다. 이는 응답하지 않는 앱으로 이어질 수 있으므로 권장되지 않으며, 과열되기도 하므로 매우 신중하게 진행합니다.
값을 변경하면 장단점이 모두 있습니다. 값이 높을수록 검사가 더 빠르게 수행됩니다. 그러나 검사 중에 시스템 속도가 느려질 수 있지만 값이 낮을수록 검사를 완료하는 데 시간이 오래 걸리지만 검사 중에 시스템에 사용할 수 있는 CPU 리소스가 더 많이 있습니다. 예를 들어 서버에서 중요한 워크로드를 실행하는 경우 이 설정은 워크로드의 작동을 방해하지 않는 값으로 설정해야 합니다.
수동 검사는 CPU 제한 설정을 무시하고 CPU 제한 없이 실행됩니다. 그러나 검사 정책 설정(Set-MpPreference(Defender)의 설정 참조
ThrottleForScheduledScanOnly)이 있습니다. 이 설정이 사용하지 않도록 설정된 경우 수동 검사는 예약된 검사와 동일한 CPU 제한을 준수합니다.유휴 검사의 CPU 제한은 디바이스가 유휴 상태인 동안 예약된 검사에 대해 CPU가 제한되는지 여부를 제어합니다. 이 설정은 기본적으로 비활성화되어 디바이스가 유휴 상태일 때 어떤 CPU 제한이 설정되었는지에 관계없이 예약된 검사에 대해 CPU가 제한되지 않도록 합니다. 자세한 내용은 Set-MpPreference(Defender)의 설정을 참조
DisableCpuThrottleOnIdleScans하세요.참고
작업 유휴 조건 - Win32 앱에서 유휴 상태 조건을 참조하세요.
검사 및 제외
Microsoft Defender 바이러스 백신에는 검사 성능 및 효율성을 향상시키는 데 도움이 되는 다음과 같은 기능이 있습니다.
이러한 상황에서는 특정 최적화(예: 병렬 검사)가 불가능하기 때문에 컨테이너/아카이브를 검사하는 데 시간이 오래 걸릴 수 있습니다. 가능하면 전체 검사가 항목을 병렬로 처리할 수 있도록 이러한 컨테이너의 콘텐츠를 추출하는 것이 좋습니다.
이 옵션이 규정 준수 요구 사항에 의해 허용되는 경우 검사에서 컨테이너를 제외할 수 있는 검사 제외입니다.
Microsoft Defender 바이러스 백신에 대한 성능 분석기 도구를 사용하여 성능을 최적화하는 데 도움이 되는 제외를 확인할 수 있습니다. Microsoft Defender 바이러스 백신 성능 분석기를 참조하세요.
Microsoft Defender 바이러스 백신에는 매우 평판이 좋은 콘텐츠(예: 신뢰할 수 있는 원본에서 서명됨)에 대한 기본 제공 최적화가 있습니다. 이러한 콘텐츠가 발견되면 콘텐츠 검사에서 서명 유효성 검사로 전환하여 파일이 변조되지 않았는지 확인합니다.
바이러스 백신 제외 권장 사항
검사에서 특정 위치를 제외하면 스캔 시간이 단축될 수 있습니다. 제외에는 프로세스 제외 및 파일/폴더 제외의 두 가지 유형이 있습니다. 전체 검사에는 파일/폴더 제외만 적용됩니다. 위험을 최소화하면서 검사 시간을 줄이기 위해 검사 제외를 신중하게 개발해야 합니다.
규정 준수 요구 사항에서 허용되지 않는 경우 압축된 파일을 제외하지 마세요.
일반적으로 맬웨어에서 사용되는 사용자 프로필 임시 폴더 또는 시스템 임시 폴더를 제외하지 마세요.
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
제외 목록에서 환경 변수를 와일드카드로 사용하는 것은 시스템 변수로만 제한됩니다. Microsoft Defender 바이러스 백신 폴더를 추가하고 제외를 처리할 때는 사용자 범위 환경 변수를 사용하지 마세요.