Microsoft 취약 드라이버 차단 목록: 정의 및 사용 방법

오늘날, 사이버 보안 이는 모든 사용자나 시스템 관리자의 최우선 관심사 중 하나입니다. 취약점을 악용하려는 새로운 위협이 끊임없이 등장합니다. 그것이 바로 그곳입니다 Microsoft Vulnerable Driver Blocklist o Microsoft 취약 드라이버 차단 목록. 최신 버전의 Windows에서 특히 중요한 기능입니다.

Windows 보안에서 가장 민감한 영역 중 하나는 다음과 같습니다. controladores o drivers. 그 작지만 중요한 소프트웨어는 모든 종류의 공격, 예를 들어 두려운 공격 BYOVD("취약한 운전자를 직접 데려오세요"). 이 글에서는 이 차단 목록에 대해 알아야 할 사항과 그 작동 방식을 설명하겠습니다.

Microsoft 취약 드라이버 차단 목록은 무엇입니까?

 

Microsoft 취약 드라이버 차단 목록은 Windows에 내장된 보안 기능 그리고 주요 보호 솔루션에는 다음과 같은 것이 있습니다. 마이크로소프트 디펜더. 그 목적은 운영 체제에서 위험한 드라이버가 로드되고 실행되는 것을 방지하는 것입니다. 이러한 드라이버는 일반적으로 Microsoft가 아닌 타사에서 개발되었으며 보안 결함이 있거나 심지어 악의적으로 설계되었을 수 있어 고급 공격을 위한 이상적인 관문이 됩니다.

목록은 다음과 같이 작동합니다. 일종의 "블랙리스트" 다음 특성 중 하나 이상을 충족하는 컨트롤러가 통합되어 있습니다.

• 인식된 취약점: Windows 커널에서 권한을 확대하거나 보호 기능을 우회하는 데 악용될 수 있는 취약점을 가진 드라이버입니다.
• 악의적인 행동: 손상을 일으킬 수 있는 코드가 포함되어 있거나, 맬웨어를 설치하거나, ​​악성 소프트웨어와 관련된 인증서로 서명된 드라이버입니다.
• Windows 보안 모델 위반: 반드시 악의적이지 않더라도 운영 체제의 보안 제한을 우회할 수 있는 드라이버입니다.

간단히 말해서 Microsoft의 차단 목록은 다음과 같은 역할을 합니다. 잠재적으로 위험한 운전자가 달리는 것을 방지하는 예방적 보호막디지털 서명과 유효한 인증서가 있는 경우에도 마찬가지입니다. 이는 Windows 보호의 가장 중요한 계층 중 하나인 커널을 강화하고 사이버 범죄자의 활동을 상당히 복잡하게 만듭니다.

차단 목록의 작동 방식: 컴퓨터를 보호하는 방법

La Microsoft Vulnerable Driver Blocklist 정적인 요소는 아니지만 끊임없이 업데이트되는 살아있는 메커니즘. Microsoft는 하드웨어 제조업체(IHV) 및 OEM과 협력하여 드라이버 생태계를 사전에 모니터링하여 위협이 되는 구성 요소를 식별하고 차단합니다.

드라이버가 취약하거나 악성이거나 Windows 보안 표준과 호환되지 않는 것으로 확인되면 해당 드라이버는 목록에 추가되고 차단 목록이 활성화된 컴퓨터에서는 자동으로 로드가 차단됩니다. 이 작업은 시스템 버전과 구성에 따라 여러 가지 방법으로 수행됩니다.

• 메모리 무결성(HVCI 또는 하이퍼바이저로 보호되는 코드 무결성): 활성화된 경우(많은 새로운 Windows 11 PC에서 기본적으로) 차단 목록은 목록에 포함된 드라이버를 차단하여 적용됩니다.
• 안전 모드: 보다 통제되고 안전한 환경을 자랑하는 S 모드로 실행되는 Windows 기기에도 기본적으로 차단 목록이 활성화되어 있습니다.
• Windows Defender의 응용 프로그램 제어(비즈니스용 앱 제어): 관리자가 자체 보안 정책을 통해 권장 목록을 적용할 수 있습니다.
• Windows 보안(시스템 앱): Windows 11 22H2부터 이 기능은 기본적으로 활성화되어 있으며 장치 보안 > 코어 격리 인터페이스에서 관리할 수 있습니다.

차단목록은 정확히 어떤 운전자를 차단합니까?

모든 운전자가 차단 목록에 포함되는 것은 아닙니다. 특정한 객관적 기준을 충족하여 잠재적 위험으로 간주되는 것. 운전자가 이 목록에 추가되는 가장 일반적인 이유는 다음과 같습니다.

• 보안 취약점의 존재 알려지고 문서화됨.
• 활성 공격에서 사용이 감지되었습니다.랜섬웨어, 맬웨어 또는 고급 지속 위협에 의한 악용을 포함합니다.
• 악성 캠페인 관련 인증서 사용 디지털 서명을 위해.
• Windows 보안 모델을 우회할 수 있는 동작하지만 이것은 전형적인 맬웨어는 아닙니다.

목록에 있을 수 있는 다른 이름으로는 디스크 유틸리티용 구형 드라이버, 고급 하드웨어 관리 프로그램, 가상화 소프트웨어, 심지어 보안이 손상된 특정 주변 장치용 드라이버도 있습니다.

차단 목록 업데이트 및 지원

Microsoft 취약 드라이버 차단 목록의 가장 큰 장점 중 하나는 다음과 같습니다. 이는 살아있는 목록이며 시간이 지나도 유지됩니다. Microsoft에서는 Windows의 새로운 주요 버전이 출시될 때마다 이를 업데이트합니다(대개 주요 업데이트가 있는 해에 한두 번). 또한, 새로운 위협이 발생할 경우 Windows Update를 통해 특정 패치를 출시하거나 수동으로 다운로드할 수 있습니다.

블록리스트는 매우 높은 수준의 방어력을 제공하지만, 해당 기능을 활성화하면 하드웨어나 소프트웨어의 호환성 및 작동에 특정한 부작용이 나타날 수 있습니다. 예를 들어, 특정 장치에 필수적인 드라이버가 차단되면 장치가 제대로 작동하지 않을 수 있으며, 드물지만 블루 스크린(BSOD)이 나타날 수도 있습니다.

그러므로, Microsoft에서는 감사 모드에서 정책을 먼저 검증하고, 영구 차단을 강제하기 전에 차단 이벤트를 검토할 것을 권장합니다. 기업 환경에서는 앱 제어와 해당 정책을 통해 이를 수행하여 어떤 운전자가 차단되는지 모니터링하고 사례별로 결정을 내릴 수 있습니다.

일반적으로 차단 목록은 거짓 양성을 최소화할 만큼 충분히 세분화되어 있습니다. 잠재적인 호환성 문제에 대한 균형 잡힌 보호. 그러나 매우 특정한 하드웨어나 오래된 소프트웨어가 설치된 시스템에서는 예상치 못한 충돌이 발생할 수 있습니다. 그런 경우 Microsoft 채널을 통해 문제를 보고하여 영향을 받는 드라이버를 제거하거나 업데이트하는 것에 대해 논의하는 것이 좋습니다.

Microsoft 취약 드라이버 차단 목록을 활성화하거나 비활성화하는 방법

Windows 버전 및 장치 설정에 따라 차단 목록은 기본적으로 활성화하거나 비활성화할 수 있습니다. Windows 11 버전 22H2가 출시된 이후 모든 기기에서 이 기능이 활성화되었지만, 여전히 수동으로 관리할 수 있습니다.

있습니다 차단 목록의 상태를 제어하는 ​​두 가지 주요 방법은 다음과 같습니다.

• Windows 보안 인터페이스에서:
  • Windows 보안 앱을 엽니다(시작 메뉴에서 검색).
  • "장치 보안" 섹션으로 이동한 다음 "핵심 격리"로 이동합니다.
  • 해당 화면에서 필요에 따라 "Microsoft 취약한 드라이버 차단 목록" 옵션을 활성화하거나 비활성화합니다.
  • 이전 버전(Windows 10 또는 11 21H2)에서는 해당 옵션이 나타나지 않거나 먼저 HVCI를 활성화해야 할 수 있습니다.
• Windows 레지스트리 사용:
  • 레지스트리 편집기(regedit.exe)를 엽니다.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config로 이동합니다.
  • DWORD 값 "VulnerableDriverBlocklist"를 편집하거나 생성하고, 기능을 활성화하려면 1을, 비활성화하려면 0을 할당합니다.

변경 후에는 설정을 적용하기 위해 컴퓨터를 다시 시작하는 것이 좋습니다.

사용자 및 기업을 위한 권장 사항

Microsoft 취약 드라이버 차단 목록이 제공하는 보호 기능을 최대한 활용하려면 일반 사용자와 시스템 관리자 모두 몇 가지 간단한 단계를 따라야 합니다. 좋은 관행:

• 항상 운영 체제를 최신 상태로 유지하세요최신 버전에는 종종 차단 목록과 Windows 커널 보호에 대한 중요한 개선 사항이 통합되어 있습니다.
• 차단 목록이 활성화되어 있는지 주기적으로 확인하세요. Windows 보안 애플리케이션에서(특히 주요 시스템 업데이트나 설정 변경 후).
• 기업 환경에서는 비즈니스용 앱 제어 정책을 배포합니다. 모든 기기가 목록의 최신 버전을 상속받는지 확인하고 영구 차단을 구현하기 전에 잠재적인 문제를 모니터링합니다.
• 먼저 감사 모드에서 정책을 검증하세요.호환성 충돌을 최소화하고 가능한 거짓 양성 결과를 해결합니다.
• Microsoft 보안 공지를 계속 지켜봐주세요 그리고 하드웨어 제조업체에 문의하여 영향을 받는 새로운 드라이버에 대해 알아보세요.
• 의심스러운 드라이버를 Microsoft에 제출하세요 공식 도구와 포털을 활용하여 글로벌 보호의 지속적인 개선에 기여합니다.

Microsoft 취약 드라이버 차단 목록의 고급 관리: 다운로드 및 수동 적용

고급 사용자와 기업을 위해 Microsoft는 다음과 같은 기능을 제공합니다. 다운로드 포털에서 바이너리 또는 XML 형식으로 최신 버전의 차단목록을 다운로드하세요. 이 기능은 최대한의 제어가 필요한 시나리오나 보안이나 규정 준수상의 이유로 자동 업데이트에만 의존하고 싶지 않을 때 유용합니다.

일반적인 절차는 다음과 같습니다.

1. 정책 업데이트 도구 다운로드 App Control.
2. 취약한 드라이버 차단 목록 바이너리를 얻어 추출합니다.
3. 적절한 파일(감사 또는 적용 버전)을 선택하고 이름을 SiPolicy.p7b로 바꿉니다.
4. SiPolicy.p7b를 %windir%\system32\CodeIntegrity 위치에 복사합니다.
5. 업데이트 도구를 실행하여 모든 앱 제어 정책을 활성화하고 업데이트합니다.

컴퓨터를 다시 시작한 후 Windows 이벤트 뷰어의 CodeIntegrity 로그에서 3099 이벤트를 검토하여 정책이 올바르게 적용되었는지 확인할 수 있습니다.

사용자 경험 및 알려진 문제에 미치는 영향

이런 장점에도 불구하고 모든 것이 밝은 것은 아닙니다. 차단 목록 관리로 인해 최종 사용자에게 불편을 초래할 수 있으며, 특히 사용자 정의 요구 사항이 높은 시스템의 경우 더욱 그렇습니다. 가장 흔한 문제는 다음과 같습니다.

• 이전 하드웨어 또는 레거시 프로그램과의 비호환성 개발이 중단되었고 운전자가 새로운 안전 기준을 충족하도록 업데이트되지 않은 차량입니다.
• 가능한 오탐지 완벽하게 합법적이지만 비정상적인 드라이버를 차단하여 장치를 작동 불가능하게 만들 수 있습니다.
• 블루 스크린 오브 데스(BSOD) 사례 필수적인 부트 요소가 실수로 막힌 경우.

오늘날 블록리스트가 필수적인 이유

BYOVD 공격, 잊혀진 드라이버의 악용 및 맬웨어의 정교함으로 인해 시스템 핵심 보호 그 어느 때보다 중요합니다. 사이버 범죄자들은 ​​어떤 허점이라도 악용할 수 있다는 것을 증명했으며, 취약한 드라이버는 가장 위험한 백도어 중 하나로, 매우 낮은 수준에서 작동하기 때문에 사실상 다른 모든 보안 수단을 비활성화하거나 조작할 수 있습니다.

공급업체와 보안 커뮤니티에 연결된 중앙 집중식 동적 차단 목록을 유지 관리하려는 Microsoft의 전략은 다음과 같습니다. 개인 사용자와 대규모 조직 모두에 영향을 미치는 위협에 대한 가장 좋은 대응책입니다.

Microsoft 취약 드라이버 차단 목록을 활성화하고 최신 상태로 유지하는 것은 Windows 보안을 강화하고 사이버 범죄자의 공격을 어렵게 만드는 가장 간단하고 효과적인 방법 중 하나입니다. 관리자는 다른 보호 정책과 함께 사용하는 것이 좋으며, 개인 사용자는 주기적으로 Windows 보안 설정을 검토하는 것이 좋습니다. 이를 통해 귀하의 데이터와 시스템에 대한 보호와 안심이 크게 향상됩니다.