최신 정보

윈도우 / MS Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭제된 바로 가기를...

2023.01.16 20:56

VᴇɴᴜꜱGɪʀʟ 조회:995 추천:2

Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭제된 바로 가기를 다시 만듭니다

마이크로소프트는 금요일 아침 버그가 있는 마이크로소프트 Defender ASR 규칙에 의해 삭제된 일부 Windows 응용 프로그램 바로 가기를 찾아 복구하기 위해 고급 헌팅 쿼리(AHQ)와 PowerShell 스크립트를 릴리스했습니다.

 

1월 13일 새벽, 마이크로소프트는 Configuration Manager의 "Block Win32 API calls from Office macro" 및 Intune의 "Win32 Imports from Office macro code"로 알려진 공격 표면 감소(ASR) 규칙의 변경 사항을 포함하는 새로운 마이크로소프트 Defender 서명 업데이트를 발표했습니다.

 

이 규칙은 악성 프로그램이 VBA 매크로를 사용하여 Win32 API를 호출하지 못하도록 탐지하고 차단합니다.

 

그러나 업데이트된 규칙의 버그로 인해 Microsoft Defender에서 잘못된 긍정이 표시되어 바탕 화면, 시작 메뉴 및 Windows 작업 표시줄에서 응용 프로그램 바로 가기가 삭제되었습니다.

 

이 잘못된 규칙은 사용자가 애플리케이션을 빠르게 시작할 수 없고 윈도우즈 관리자가 앞다퉈 바로 가기를 복원하는 등 기업 환경에 광범위한 중단을 초래했습니다.

 

나중에 Microsoft는 새 시그니처 업데이트 1.381.2164.0의 변경 사항을 되돌렸지만 관리자는 최신 시그니처가 모든 환경에 전파되는 데 몇 시간이 걸릴 수 있다고 경고했습니다.

삭제된 바로 가기를 재생성하기 위해 릴리스된 스크립트

토요일 아침, Microsoft는 영향을 받는 바로 가기를 찾는 고급 검색 쿼리와 더 일반적으로 삭제되는 일부 응용 프로그램에 대한 바로 가기를 다시 만드는 PowerShell 스크립트를 릴리스했습니다.

 

Microsoft는 새 지원 문서에서 "Microsoft는 고객이 삭제된 영향을 받는 애플리케이션의 상당 부분에 대해 시작 메뉴 링크를 다시 만들 수 있는 단계를 확인했습니다."라고 설명했습니다.

 

"기업 관리자가 환경에서 복구 작업을 수행할 수 있도록 아래 PowerShell 스크립트로 통합되었습니다."

 

조직에서 이 버그의 영향을 확인하기 위해 Microsoft Defender 헌팅 쿼리를 사용하여 금요일부터 오류 규칙과 관련된 이벤트를 검색할 수 있습니다.

 

영향을받는 경우 GitHub에서 공유된 이 PowerShell 스크립트를 사용할 수 있습니다. 이 파워 스크립트는 "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Registry key"를 스캔하여 33개의 다른 프로그램이 컴퓨터에 설치되어 있는지 확인할 수 있습니다.

 

프로그램이 설치된 경우 스크립트는 시작 메뉴에 해당하는 바로 가기가 있는지 확인하고 없으면 다시 만듭니다.

 

바로 가기가 다시 생성되는 응용프로그램 목록은 다음과 같습니다:

 

Adobe Acrobat Adobe Photoshop 2023
Adobe Illustrator 2023 Adobe Creative Cloud
Firefox Private Browsing Firefox
Google Chrome Microsoft Edge
Notepad++ Parallels Client
Remote Desktop TeamViewer
Royal TS6 Elgato StreamDeck
Visual Studio 2022 Visual Studio Code
Camtasia Studio Camtasia Recorder
Jabra Direct 7-Zip File Manager
Access Excel
OneDrive OneNote
Outlook PowerPoint
Project Publisher
Visio Word
PowerShell 7 (x64) SQL Server Management Studio
Azure Data Studio  

 

위에 나열되지 않은 프로그램에 대한 바로 가기가 없는 조직은 PowerShell 스크립트의 $programs 배열을 다른 응용 프로그램을 포함하도록 수정할 수 있습니다.

 

Microsoft는 Intune를 사용하여 Windows 도메인의 장치에 이 스크립트를 배포하는 단계도 공유했습니다.

 

바로 가기를 수동으로 재생성하려는 사용자를 위해 Microsoft는 프로그램 설치를 복구하기 위해 다음 단계를 공유했습니다.

 

이 프로세스는 대부분의 경우 전체 프로그램을 다시 설치하기 때문에 시간이 훨씬 더 오래 걸립니다. 또한 모든 애플리케이션이 수리 기능을 제공하는 것은 아닙니다.

 

Windows 10에서 응용 프로그램 복구:

  1. 시작 > 설정 > 앱 > 앱 및 기능을 선택합니다

  2. 수정할 앱을 선택합니다.

  3. 사용 가능한 경우 앱 이름 아래의 링크 수정을 선택합니다.

  4. 새 페이지가 시작되고 복구를 선택할 수 있습니다.

Windows 11에서 응용 프로그램 복구:

  1. 검색란에 "설치된 앱"을 입력합니다.

  2. 설치된 앱을 클릭합니다.

  3. 수정할 앱을 선택합니다.

  4. "…"을 클릭합니다.

  5. 사용 가능한 경우 수정 또는 고급 옵션을 선택합니다.

  6. 새 페이지가 시작되고 복구를 선택할 수 있습니다.

충분한 솔루션이 없음

릴리스된 PowerShell 스크립트는 일부 응용 프로그램에 대한 바로 가기를 다시 만드는 데 도움이 되지만 Windows 관리자는 제대로 작동하지 않는다고 보고합니다.

 

이 스크립트는 33개의 프로그램에만 초점을 맞추므로 컴퓨터에 일반적으로 설치되는 다른 많은 응용 프로그램에 대한 바로 가기를 다시 만들지 않습니다.

 

그러나 Microsoft Office와 같은 대상 응용프로그램에서도 경우에 따라 바로 가기를 다시 만들지 않습니다.

 

"불행하게도 사용자별로 배포된 Microsoft Office 바로 가기(대부분 365개 C2R 설치)는 복원되지 않습니다. 이는 Intune을 통해 배포된 M365의 기본 설치 동작이므로 스크립트에 반영할 수 있다면 매우 유용할 것입니다."라고 Windows 관리자가 스크립트에 대해 설명했습니다.

 

또한 Windows 관리자는 이 스크립트가 시작 메뉴에서 바로 가기만 재생성하고 Windows 작업 표시줄 빠른 실행 도구 모음이나 Windows 바탕 화면에서 삭제된 바로 가기는 재생성하지 못한다고 설명했습니다.

 

한 관리자가 언급했듯이 시작 메뉴, 빠른 실행 표시줄 및 데스크톱 바로 가기를 섀도 볼륨 복사본에서 검색하여 복구할 수 있습니다.

 

사용자는 Shadow Explorer 또는 ShadowCopyView와 같은 도구를 사용하여 바로 가기가 이전 스냅샷에 저장되었는지 확인한 후 시스템 드라이브에 다시 복사할 수 있습니다.

 

장치가 많은 경우 PowerShell을 사용하여 섀도 볼륨 복사본에서 파일을 확인하고 복구할 수도 있습니다.

 

전반적으로 이 버그는 Windows 관리자와 IT 지원 부서에 엄청난 혼란을 초래했으며, 이들은 누락된 단축키 중 일부를 수동으로 다시 만들어야 하는 지루한 작업을 수행해야 할 것입니다.

 

MDE-PowerBI-Templates/AddShortcuts.ps1 at master · microsoft/MDE-PowerBI-Templates · GitHub

번호 제목 글쓴이 조회 등록일
[공지] 최신정보 이용 안내 gooddew - -
6420 소프트웨어| 그림판이 최신 Dev 업데이트에서 재설계된 속성 창을 가져... VᴇɴᴜꜱGɪ 952 02-08
6419 윈도우 / MS| Microsoft는 Windows 11 Dev에서 서비스 파이프라인 빌드 2... VᴇɴᴜꜱGɪ 470 02-08
6418 윈도우 / MS| 이 Windows 11X 개념은 Microsoft의 차세대 운영 체제를 구... [1] VᴇɴᴜꜱGɪ 2442 02-01
6417 윈도우 / MS| 마이크로소프트는 .NET 문제를 해결하기 위해 Windows 10, ... [1] VᴇɴᴜꜱGɪ 1139 02-01
6416 윈도우 / MS| Microsoft는 화면 녹화를 일시 중지하는 기능으로 캡처 도... [1] VᴇɴᴜꜱGɪ 1467 01-26
6415 윈도우 / MS| Windows 11에서 곧 재설계될 파일 탐색기 살펴보기 [2] VᴇɴᴜꜱGɪ 2641 01-25
6414 윈도우 / MS| Microsoft는 Windows 11 및 10에서 시작 메뉴 및 UWP 앱 문... VᴇɴᴜꜱGɪ 863 01-25
6413 윈도우 / MS| Microsoft는 데스크톱에 새로운 Outlook 환경을 제공 VᴇɴᴜꜱGɪ 845 01-24
6412 윈도우 / MS| Windows 11의 안정적인 버전에서 탭이 있는 메모장을 얻는 ... [3] VᴇɴᴜꜱGɪ 894 01-24
6411 기 타| iOS 16.3 / iPadOS 16.3 / watchOS 9.3 / macOS 13.2 업데... [1] asklee 515 01-24
6410 소프트웨어| WinRAR 6.20은 향상된 복구 명령 효율성과 더 빠른 RAR5 압... [1] VᴇɴᴜꜱGɪ 785 01-24
6409 윈도우 / MS| Microsoft는 더 나은 Windows 11, Windows 10 그래픽 및 오... VᴇɴᴜꜱGɪ 555 01-24
6408 서버 / IT| Apple은 Apple ID 지원을 위한 물리적 보안 키가 포함된 ma... VᴇɴᴜꜱGɪ 284 01-24
6407 윈도우 / MS| KB5022370: Microsoft는 Windows 11 설치, WinRE 등을 개선... [1] VᴇɴᴜꜱGɪ 1259 01-22
6406 윈도우 / MS| Microsoft에서 무료 Windows 11 평가판 가상 시스템 업데이... VᴇɴᴜꜱGɪ 974 01-22
6405 윈도우 / MS| Windows 11이 ReFS 지원 VᴇɴᴜꜱGɪ 845 01-22
6404 윈도우 / MS| Windows 10 19045.2546(KB5019275) 2023/01/20 [4] 슘당이 1902 01-20
6403 윈도우 / MS| Windows 11 22H2 빌드 (KB5022360)는 TPM 관련 버그, 스레... VᴇɴᴜꜱGɪ 2670 01-18
» 윈도우 / MS| Microsoft 스크립트가 잘못된 Defender ASR 규칙에 의해 삭... [1] VᴇɴᴜꜱGɪ 995 01-16
6401 서버 / IT| 리눅스 OS - MX Linux 21.3 배포 VᴇɴᴜꜱGɪ 908 01-15
XE1.11.6 Layout1.4.8