윈 도 우 파일을 디펜더가 차단할때, 파워쉘로 허용시키기
2023.02.06 14:43
파일들을 많이 다운받고 여러 테스트를 하는데
디펜더가 워낙 차단을 시켜 디펜더를 확~ 죽이기도 했지만
이젠 디펜더 정상실행하면서 피하는 방법으로 쓰고 있는 것입니다.
파워쉘에서 Get-MpPreference 치면
쭉 나오는 디펜더 설정중,
저 두곳에 허용을 나타내는 6과 위협ID 란걸 넣으면 됩니다.
ThreatIDDefaultAction_Actions :
ThreatIDDefaultAction_Ids :
어떤 파일이라도 수동으로 등록하면 해제되고,
재실행 이후부터는 차단이 완전 없어집니다.
이건 등록을 안한 상태입니다.
밑의 명령어는,
10시간 이내 차단된 위협들을 모두 찾아내고, 그파일 ThreatID 만 저장해 바로
디펜더 설정에 등록한다는 뜻입니다.
$TID = @()
$TID = get-mpthreatDetection | ?{$_.InitialDetectionTime -gt ((get-date).AddHours(-10))} | select -first 1 | select -expandProperty ThreatID
Add-MpPreference -ThreatIDDefaultAction_Actions @(6) -ThreatIDDefaultAction_Ids @($TID)
원하는 대로 계속 더 추가할수 있고, 한꺼번에 여러개를 등록할수도 있습니다.
저게 제가 다운받은 파일을 디펜더가 차단시킨 ThreatID 입니다.
허용시킨 차단 파일 모두를 다시 차단상태로 돌리려면,
이렇게 쳐서, 싹다 삭제하면 됩니다.
Get-MpPreference | Select ThreatIDDefaultAction_Ids | % {if ($_.ThreatIDDefaultAction_Ids -ne $null) {Write-Host "Removing [$($_.ThreatIDDefaultAction_Ids)]"; Remove-MpPreference -ThreatIDDefaultAction_Ids $_.ThreatIDDefaultAction_Ids -ea 0 -ver}}
윈키+R,
explorer windowsdefender://history
치면 나오는 디펜더 설정창 차단 목록중
일부 허용, 복구선택은 할수 있지만
위에 적은 스크립트 방법보다 많이 떨어집니다.
스크립트로 설정하는게 빠르고 더 낫습니다.
댓글 [7]
-
상발이 2023.02.06 17:38
-
cungice 2023.02.06 18:36
수고 많으셨습니다.
-
샤 2023.02.06 21:13
수고하셨습니다.
-
fgcv 2023.02.08 14:42
권한이 부족하여 요청한 작업을 수행할수 없습니다 라고 나오네요
-
zerojiddu 2023.02.08 17:57 파워쉘[관리자] 권한으로 충분히 되는데요.
왜 권한 에러가 생길까요?
제가 쓴 스크립트를 그대로 쓰지말고 밑의 처럼 간단히 해보세요.
get-MpThreatDetection
쳐서 차단해제를 원하는 파일의 ThreatID 를 직접 복사하고 해보세요.
(이건 두개를 한꺼번에 등록할 경우입니다.)
Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6) -ThreatIDDefaultAction_Ids @(2147723625,2147749144)
-
Nic네임 2023.02.09 16:59
디팬더에서 차단하는 파일을 많이 다운로드 하시나보군요.
다른 이야기지만 aria2 프로그램 쓸만하네요.
-
zerojiddu 2023.02.09 17:04 아..네
주로 파워쉘 스크립트를 많이 다운받는데,
권한 변경, 암호찾기, 디펜더 불능화 등으로 명령어가 있으면
바로 차단하더군요.
aria2c가 토렌트도 받고, 일반 다운도 받고 심플하고 좋더군요.
수고하셨습니다.