윈도우 / MS Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭제된 바로 가기를...

Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭제된 바로 가기를 다시 만듭니다

마이크로소프트는 금요일 아침 버그가 있는 마이크로소프트 Defender ASR 규칙에 의해 삭제된 일부 Windows 응용 프로그램 바로 가기를 찾아 복구하기 위해 고급 헌팅 쿼리(AHQ)와 PowerShell 스크립트를 릴리스했습니다.

1월 13일 새벽, 마이크로소프트는 Configuration Manager의 "Block Win32 API calls from Office macro" 및 Intune의 "Win32 Imports from Office macro code"로 알려진 공격 표면 감소(ASR) 규칙의 변경 사항을 포함하는 새로운 마이크로소프트 Defender 서명 업데이트를 발표했습니다.

이 규칙은 악성 프로그램이 VBA 매크로를 사용하여 Win32 API를 호출하지 못하도록 탐지하고 차단합니다.

그러나 업데이트된 규칙의 버그로 인해 Microsoft Defender에서 잘못된 긍정이 표시되어 바탕 화면, 시작 메뉴 및 Windows 작업 표시줄에서 응용 프로그램 바로 가기가 삭제되었습니다.

이 잘못된 규칙은 사용자가 애플리케이션을 빠르게 시작할 수 없고 윈도우즈 관리자가 앞다퉈 바로 가기를 복원하는 등 기업 환경에 광범위한 중단을 초래했습니다.

나중에 Microsoft는 새 시그니처 업데이트 1.381.2164.0의 변경 사항을 되돌렸지만 관리자는 최신 시그니처가 모든 환경에 전파되는 데 몇 시간이 걸릴 수 있다고 경고했습니다.

삭제된 바로 가기를 재생성하기 위해 릴리스된 스크립트

토요일 아침, Microsoft는 영향을 받는 바로 가기를 찾는 고급 검색 쿼리와 더 일반적으로 삭제되는 일부 응용 프로그램에 대한 바로 가기를 다시 만드는 PowerShell 스크립트를 릴리스했습니다.

Microsoft는 새 지원 문서에서 "Microsoft는 고객이 삭제된 영향을 받는 애플리케이션의 상당 부분에 대해 시작 메뉴 링크를 다시 만들 수 있는 단계를 확인했습니다."라고 설명했습니다.

"기업 관리자가 환경에서 복구 작업을 수행할 수 있도록 아래 PowerShell 스크립트로 통합되었습니다."

조직에서 이 버그의 영향을 확인하기 위해 Microsoft Defender 헌팅 쿼리를 사용하여 금요일부터 오류 규칙과 관련된 이벤트를 검색할 수 있습니다.

영향을받는 경우 GitHub에서 공유된 이 PowerShell 스크립트를 사용할 수 있습니다. 이 파워 스크립트는 "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Registry key"를 스캔하여 33개의 다른 프로그램이 컴퓨터에 설치되어 있는지 확인할 수 있습니다.

프로그램이 설치된 경우 스크립트는 시작 메뉴에 해당하는 바로 가기가 있는지 확인하고 없으면 다시 만듭니다.

바로 가기가 다시 생성되는 응용프로그램 목록은 다음과 같습니다:

위에 나열되지 않은 프로그램에 대한 바로 가기가 없는 조직은 PowerShell 스크립트의 $programs 배열을 다른 응용 프로그램을 포함하도록 수정할 수 있습니다.

Microsoft는 Intune를 사용하여 Windows 도메인의 장치에 이 스크립트를 배포하는 단계도 공유했습니다.

바로 가기를 수동으로 재생성하려는 사용자를 위해 Microsoft는 프로그램 설치를 복구하기 위해 다음 단계를 공유했습니다.

이 프로세스는 대부분의 경우 전체 프로그램을 다시 설치하기 때문에 시간이 훨씬 더 오래 걸립니다. 또한 모든 애플리케이션이 수리 기능을 제공하는 것은 아닙니다.

Windows 10에서 응용 프로그램 복구:

1. 시작 > 설정 > 앱 > 앱 및 기능을 선택합니다

2. 수정할 앱을 선택합니다.

3. 사용 가능한 경우 앱 이름 아래의 링크 수정을 선택합니다.

4. 새 페이지가 시작되고 복구를 선택할 수 있습니다.

Windows 11에서 응용 프로그램 복구:

1. 검색란에 "설치된 앱"을 입력합니다.

2. 설치된 앱을 클릭합니다.

3. 수정할 앱을 선택합니다.

4. "…"을 클릭합니다.

5. 사용 가능한 경우 수정 또는 고급 옵션을 선택합니다.

6. 새 페이지가 시작되고 복구를 선택할 수 있습니다.

충분한 솔루션이 없음

릴리스된 PowerShell 스크립트는 일부 응용 프로그램에 대한 바로 가기를 다시 만드는 데 도움이 되지만 Windows 관리자는 제대로 작동하지 않는다고 보고합니다.

이 스크립트는 33개의 프로그램에만 초점을 맞추므로 컴퓨터에 일반적으로 설치되는 다른 많은 응용 프로그램에 대한 바로 가기를 다시 만들지 않습니다.

그러나 Microsoft Office와 같은 대상 응용프로그램에서도 경우에 따라 바로 가기를 다시 만들지 않습니다.

"불행하게도 사용자별로 배포된 Microsoft Office 바로 가기(대부분 365개 C2R 설치)는 복원되지 않습니다. 이는 Intune을 통해 배포된 M365의 기본 설치 동작이므로 스크립트에 반영할 수 있다면 매우 유용할 것입니다."라고 Windows 관리자가 스크립트에 대해 설명했습니다.

또한 Windows 관리자는 이 스크립트가 시작 메뉴에서 바로 가기만 재생성하고 Windows 작업 표시줄 빠른 실행 도구 모음이나 Windows 바탕 화면에서 삭제된 바로 가기는 재생성하지 못한다고 설명했습니다.

한 관리자가 언급했듯이 시작 메뉴, 빠른 실행 표시줄 및 데스크톱 바로 가기를 섀도 볼륨 복사본에서 검색하여 복구할 수 있습니다.

사용자는 Shadow Explorer 또는 ShadowCopyView와 같은 도구를 사용하여 바로 가기가 이전 스냅샷에 저장되었는지 확인한 후 시스템 드라이브에 다시 복사할 수 있습니다.

장치가 많은 경우 PowerShell을 사용하여 섀도 볼륨 복사본에서 파일을 확인하고 복구할 수도 있습니다.

전반적으로 이 버그는 Windows 관리자와 IT 지원 부서에 엄청난 혼란을 초래했으며, 이들은 누락된 단축키 중 일부를 수동으로 다시 만들어야 하는 지루한 작업을 수행해야 할 것입니다.

MDE-PowerBI-Templates/AddShortcuts.ps1 at master · microsoft/MDE-PowerBI-Templates · GitHub