최신 정보

윈도우 / MS Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭제된 바로 가기를...

2023.01.16 20:56

VᴇɴᴜꜱGɪʀʟ 조회:995 추천:2

Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭제된 바로 가기를 다시 만듭니다

마이크로소프트는 금요일 아침 버그가 있는 마이크로소프트 Defender ASR 규칙에 의해 삭제된 일부 Windows 응용 프로그램 바로 가기를 찾아 복구하기 위해 고급 헌팅 쿼리(AHQ)와 PowerShell 스크립트를 릴리스했습니다.

 

1월 13일 새벽, 마이크로소프트는 Configuration Manager의 "Block Win32 API calls from Office macro" 및 Intune의 "Win32 Imports from Office macro code"로 알려진 공격 표면 감소(ASR) 규칙의 변경 사항을 포함하는 새로운 마이크로소프트 Defender 서명 업데이트를 발표했습니다.

 

이 규칙은 악성 프로그램이 VBA 매크로를 사용하여 Win32 API를 호출하지 못하도록 탐지하고 차단합니다.

 

그러나 업데이트된 규칙의 버그로 인해 Microsoft Defender에서 잘못된 긍정이 표시되어 바탕 화면, 시작 메뉴 및 Windows 작업 표시줄에서 응용 프로그램 바로 가기가 삭제되었습니다.

 

이 잘못된 규칙은 사용자가 애플리케이션을 빠르게 시작할 수 없고 윈도우즈 관리자가 앞다퉈 바로 가기를 복원하는 등 기업 환경에 광범위한 중단을 초래했습니다.

 

나중에 Microsoft는 새 시그니처 업데이트 1.381.2164.0의 변경 사항을 되돌렸지만 관리자는 최신 시그니처가 모든 환경에 전파되는 데 몇 시간이 걸릴 수 있다고 경고했습니다.

삭제된 바로 가기를 재생성하기 위해 릴리스된 스크립트

토요일 아침, Microsoft는 영향을 받는 바로 가기를 찾는 고급 검색 쿼리와 더 일반적으로 삭제되는 일부 응용 프로그램에 대한 바로 가기를 다시 만드는 PowerShell 스크립트를 릴리스했습니다.

 

Microsoft는 새 지원 문서에서 "Microsoft는 고객이 삭제된 영향을 받는 애플리케이션의 상당 부분에 대해 시작 메뉴 링크를 다시 만들 수 있는 단계를 확인했습니다."라고 설명했습니다.

 

"기업 관리자가 환경에서 복구 작업을 수행할 수 있도록 아래 PowerShell 스크립트로 통합되었습니다."

 

조직에서 이 버그의 영향을 확인하기 위해 Microsoft Defender 헌팅 쿼리를 사용하여 금요일부터 오류 규칙과 관련된 이벤트를 검색할 수 있습니다.

 

영향을받는 경우 GitHub에서 공유된 이 PowerShell 스크립트를 사용할 수 있습니다. 이 파워 스크립트는 "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Registry key"를 스캔하여 33개의 다른 프로그램이 컴퓨터에 설치되어 있는지 확인할 수 있습니다.

 

프로그램이 설치된 경우 스크립트는 시작 메뉴에 해당하는 바로 가기가 있는지 확인하고 없으면 다시 만듭니다.

 

바로 가기가 다시 생성되는 응용프로그램 목록은 다음과 같습니다:

 

Adobe Acrobat Adobe Photoshop 2023
Adobe Illustrator 2023 Adobe Creative Cloud
Firefox Private Browsing Firefox
Google Chrome Microsoft Edge
Notepad++ Parallels Client
Remote Desktop TeamViewer
Royal TS6 Elgato StreamDeck
Visual Studio 2022 Visual Studio Code
Camtasia Studio Camtasia Recorder
Jabra Direct 7-Zip File Manager
Access Excel
OneDrive OneNote
Outlook PowerPoint
Project Publisher
Visio Word
PowerShell 7 (x64) SQL Server Management Studio
Azure Data Studio  

 

위에 나열되지 않은 프로그램에 대한 바로 가기가 없는 조직은 PowerShell 스크립트의 $programs 배열을 다른 응용 프로그램을 포함하도록 수정할 수 있습니다.

 

Microsoft는 Intune를 사용하여 Windows 도메인의 장치에 이 스크립트를 배포하는 단계도 공유했습니다.

 

바로 가기를 수동으로 재생성하려는 사용자를 위해 Microsoft는 프로그램 설치를 복구하기 위해 다음 단계를 공유했습니다.

 

이 프로세스는 대부분의 경우 전체 프로그램을 다시 설치하기 때문에 시간이 훨씬 더 오래 걸립니다. 또한 모든 애플리케이션이 수리 기능을 제공하는 것은 아닙니다.

 

Windows 10에서 응용 프로그램 복구:

  1. 시작 > 설정 > 앱 > 앱 및 기능을 선택합니다

  2. 수정할 앱을 선택합니다.

  3. 사용 가능한 경우 앱 이름 아래의 링크 수정을 선택합니다.

  4. 새 페이지가 시작되고 복구를 선택할 수 있습니다.

Windows 11에서 응용 프로그램 복구:

  1. 검색란에 "설치된 앱"을 입력합니다.

  2. 설치된 앱을 클릭합니다.

  3. 수정할 앱을 선택합니다.

  4. "…"을 클릭합니다.

  5. 사용 가능한 경우 수정 또는 고급 옵션을 선택합니다.

  6. 새 페이지가 시작되고 복구를 선택할 수 있습니다.

충분한 솔루션이 없음

릴리스된 PowerShell 스크립트는 일부 응용 프로그램에 대한 바로 가기를 다시 만드는 데 도움이 되지만 Windows 관리자는 제대로 작동하지 않는다고 보고합니다.

 

이 스크립트는 33개의 프로그램에만 초점을 맞추므로 컴퓨터에 일반적으로 설치되는 다른 많은 응용 프로그램에 대한 바로 가기를 다시 만들지 않습니다.

 

그러나 Microsoft Office와 같은 대상 응용프로그램에서도 경우에 따라 바로 가기를 다시 만들지 않습니다.

 

"불행하게도 사용자별로 배포된 Microsoft Office 바로 가기(대부분 365개 C2R 설치)는 복원되지 않습니다. 이는 Intune을 통해 배포된 M365의 기본 설치 동작이므로 스크립트에 반영할 수 있다면 매우 유용할 것입니다."라고 Windows 관리자가 스크립트에 대해 설명했습니다.

 

또한 Windows 관리자는 이 스크립트가 시작 메뉴에서 바로 가기만 재생성하고 Windows 작업 표시줄 빠른 실행 도구 모음이나 Windows 바탕 화면에서 삭제된 바로 가기는 재생성하지 못한다고 설명했습니다.

 

한 관리자가 언급했듯이 시작 메뉴, 빠른 실행 표시줄 및 데스크톱 바로 가기를 섀도 볼륨 복사본에서 검색하여 복구할 수 있습니다.

 

사용자는 Shadow Explorer 또는 ShadowCopyView와 같은 도구를 사용하여 바로 가기가 이전 스냅샷에 저장되었는지 확인한 후 시스템 드라이브에 다시 복사할 수 있습니다.

 

장치가 많은 경우 PowerShell을 사용하여 섀도 볼륨 복사본에서 파일을 확인하고 복구할 수도 있습니다.

 

전반적으로 이 버그는 Windows 관리자와 IT 지원 부서에 엄청난 혼란을 초래했으며, 이들은 누락된 단축키 중 일부를 수동으로 다시 만들어야 하는 지루한 작업을 수행해야 할 것입니다.

 

MDE-PowerBI-Templates/AddShortcuts.ps1 at master · microsoft/MDE-PowerBI-Templates · GitHub

번호 제목 글쓴이 조회 등록일
[공지] 최신정보 이용 안내 gooddew - -
6404 윈도우 / MS| Windows 10 19045.2546(KB5019275) 2023/01/20 [4] 슘당이 1902 01-20
6403 윈도우 / MS| Windows 11 22H2 빌드 (KB5022360)는 TPM 관련 버그, 스레... VᴇɴᴜꜱGɪ 2670 01-18
» 윈도우 / MS| Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭... [1] VᴇɴᴜꜱGɪ 995 01-16
6401 서버 / IT| 리눅스 OS - MX Linux 21.3 배포 VᴇɴᴜꜱGɪ 908 01-15
6400 윈도우 / MS| Windows 11을 클래식 보기로 변경하는 방법? [2] VᴇɴᴜꜱGɪ 2077 01-15
6399 윈도우 / MS| Windows 11 Pro는 곧 보안되지 않은 SMB 게스트 인증을 기... VᴇɴᴜꜱGɪ 1106 01-15
6398 윈도우 / MS| Microsoft는 Windows 11 및 10에서 Defender가 삭제한 바로... [1] VᴇɴᴜꜱGɪ 1050 01-14
6397 기 타| 1월 16일(월)부터 - 2023년 자동차세 연납 신청/납부하세요. [12] asklee 3869 01-06
6396 업체 소식| 카카오톡 선물 받으세요 - 전 국민 대상 [7] asklee 3601 01-05
6395 서버 / IT| 리눅스 OS - Windowsfx 11.2 22.04.6 LTS Plasma WxDesktop... [2] VᴇɴᴜꜱGɪ 1437 01-04
6394 윈도우 / MS| [Windows 11 Dev Channel] File Explorer 왼쪽 창에서 이전... [1] VᴇɴᴜꜱGɪ 2297 12-28
6393 서버 / IT| SwifDoo PDF New Year Giveaway [1] skylly 728 12-27
6392 서버 / IT| SwifDoo PDF Big Christmas and New Year Sale skylly 660 12-23
6391 서버 / IT| 리눅스 OS - EndeavourOS 22.12 배포 VᴇɴᴜꜱGɪ 729 12-20
6390 서버 / IT| 리눅스 OS - Linux Mint 21.1 Vera 배포 VᴇɴᴜꜱGɪ 861 12-19
6389 서버 / IT| 리눅스 OS - Debian 11.6.0 배포 VᴇɴᴜꜱGɪ 867 12-18
6388 업체 소식| iOS 16.2 / iPadOS 16.2 / watchOS 9.2 / tvOS 16.2 / macO... asklee 1037 12-15
6387 서버 / IT| 리눅스 OS - Kali Linux 2022.4 배포 [3] VᴇɴᴜꜱGɪ 1691 12-06
6386 윈도우 / MS| Microsoft는 게임 문제로 어려움을 겪고 있는 일부 PC에서 ... [6] VᴇɴᴜꜱGɪ 3813 11-27
6385 소프트웨어| 모든 사용자가 시도해야 하는 상위 5개의 숨겨진 Microsoft... [2] VᴇɴᴜꜱGɪ 3892 11-27
XE1.11.6 Layout1.4.8