요약 

Windows 클라이언트 및 서버에 영향을 주는 CrowdStrike Falcon 에이전트 문제에 대한 후속 작업으로 IT 관리자가 복구 프로세스를 신속하게 처리하는 데 도움이 되는 두 가지 복구 옵션이 포함된 업데이트된 복구 도구를 릴리스했습니다. 이 도구는 KB5042421(클라이언트)KB5042426(서버)의 수동 단계를 자동화합니다. Microsoft 다운로드 센터에서 서명된 Microsoft 복구 도구를 다운로드합니다. 이 도구를 사용하여 Windows 클라이언트, 서버 및 Hyper-V VM(가상 머신)을 복구할 수 있습니다.

다음과 같은 두 가지 복구 옵션이 있습니다.

  • Windows PE에서 복구: 이 옵션은 디바이스 복구를 자동화하는 부팅 미디어를 사용합니다.

  • 안전 모드에서 복구: 이 옵션은 영향을 받는 디바이스에 부팅 미디어를 사용하여 안전 모드로 부팅합니다. 그런 다음 관리자는 로컬 관리 권한이 있는 계정을 사용하여 로그인하고 수정 단계를 실행할 수 있습니다.

사용할 옵션 결정

Windows PE안전 모드

Windows PE에서 복구하는 이 옵션은 시스템을 빠르고 직접 복구하며 로컬 관리 권한이 필요하지 않습니다. 디바이스에서 BitLocker를 사용하는 경우 영향을 받는 시스템을 복구하려면 BitLocker 복구 키를 수동으로 입력해야 할 수 있습니다.

비 Microsoft 디스크 암호화 솔루션을 사용하는 경우 해당 공급업체의 지침을 참조하세요. Windows PE에서 수정 스크립트를 실행할 수 있도록 드라이브를 복구하는 옵션을 제공해야 합니다.

안전 모드에서 복구하는 이 옵션은 BitLocker 복구 키를 입력할 필요 없이 BitLocker 사용 디바이스에서 복구를 사용하도록 설정할 수 있습니다. 디바이스에서 로컬 관리자 권한이 있는 계정에 액세스해야 합니다.

다음과 같은 상황에서 디바이스에 이 옵션을 사용합니다.

  • TPM 전용 보호기를 사용합니다.

  • 디스크가 암호화되지 않았습니다.

  • BitLocker 복구 키를 알 수 없습니다.

디바이스에서 TPM+PIN BitLocker 보호기를 사용하는 경우 사용자는 PIN을 입력해야 하거나 BitLocker 복구 키를 사용해야 합니다.

BitLocker를 사용하도록 설정하지 않은 경우 사용자는 로컬 관리자 권한이 있는 계정으로만 로그인해야 합니다.

비 Microsoft 디스크 암호화 솔루션을 사용하는 경우 해당 공급업체의 지침을 참조하세요. 안전 모드에서 수정 스크립트를 실행할 수 있도록 드라이브를 복구하는 옵션을 제공해야 합니다.

추가 고려 사항

USB 옵션이 선호되지만 일부 디바이스는 USB 연결을 지원하지 않을 수 있습니다. 이러한 상황은 복구에 PXE(Preboot Execution Environment)를 사용하는 방법에 대한 섹션을 참조하세요.

디바이스가 PXE 네트워크에 연결할 수 없고 USB가 옵션이 아닌 경우 다음 문서의 수동 단계를 시도해 보세요.

그렇지 않으면 디바이스를 이미지로 다시 설치하는 것이 솔루션일 수 있습니다.

복구 옵션을 사용하면 환경에서 광범위하게 사용하기 전에 먼저 여러 디바이스에서 테스트합니다.

부팅 미디어 만들기

부팅 미디어를 만들기 위한 필수 구성 요소

  1. 도구를 실행하여 부팅 가능한 USB 드라이브를 만들 수 있는 8GB 이상의 여유 공간이 있는 Windows 64비트 클라이언트.

  2. 필수 구성 요소 #1의 Windows 클라이언트에 대한 관리 권한입니다.

  3. 최소 크기가 1GB이고 32GB 이하인 USB 드라이브입니다. 이 도구는 이 드라이브의 모든 기존 데이터를 삭제하고 자동으로 FAT32로 포맷합니다.

부팅 미디어를 만드는 지침

복구 미디어를 만들려면 필수 구성 요소 #1의 64비트 Windows 클라이언트에서 다음 단계를 사용합니다.

  1. Microsoft 다운로드 센터에서 서명된 Microsoft 복구 도구를 다운로드합니다.

  2. 다운로드한 파일에서 PowerShell 스크립트를 추출합니다.

  3. 관리자 권한으로 Windows PowerShell을 열고 다음 스크립트를 실행합니다 .MsftRecoveryToolForCS.ps1

  4. 이 도구는 Windows ADK(Windows 평가 및 배포 키트)를 다운로드하고 설치합니다. 이 프로세스를 완료하는 데 몇 분 정도 걸릴 수 있습니다.

  5. 영향을 받는 디바이스를 복구하기 위한 두 가지 옵션 중 하나인 Windows PE 또는 안전 모드를 선택합니다.

  6. 필요에 따라 복구 이미지로 가져올 드라이버 파일이 포함된 디렉터리를 선택합니다. 이 단계를 건너뛰려면 N을 선택하는 것이 좋습니다. ​​​​​​​

    1. 도구는 지정된 디렉터리 아래에서 SYS 및 INI 파일을 재귀적으로 가져옵니다.

    2. Surface 장치와 같은 특정 디바이스에는 키보드 입력을 위한 추가 드라이버가 필요할 수 있습니다.

  7. ISO 파일 또는 USB 드라이브를 생성하는 옵션을 선택합니다.

  8. USB 옵션을 선택하는 경우:

    1. 메시지가 표시되면 USB 드라이브를 삽입하고 드라이브 문자를 제공합니다.

    2. 도구가 USB 드라이브 만들기를 완료하면 Windows 클라이언트에서 제거합니다.

복구 옵션을 사용하는 지침

Windows PE안전 모드

Windows PE에 대한 이전 단계에서 미디어를 만든 경우 영향을 받는 디바이스에서 다음 지침을 사용합니다.

Windows PE 복구를 위해 부팅 미디어를 사용하기 위한 필수 구성 요소

  • 각 BitLocker 사용 및 영향을 받는 디바이스에 대해 BitLocker 복구 키가 필요할 수 있습니다.

    • 영향을 받는 디바이스가 TPM+PIN 보호기를 사용하고 디바이스의 PIN을 모르는 경우 복구 키가 필요할 수 있습니다.

Windows PE 복구에 부팅 미디어를 사용하는 지침

  1. 영향을 받는 디바이스에 USB 키를 삽입합니다.

  2. 디바이스를 다시 시작합니다.

  3. 다시 시작하는 동안 F12 키를 눌러 BIOS 부팅 메뉴에 액세스합니다.

    참고: 일부 디바이스는 다른 키 조합을 사용하여 BIOS 부팅 메뉴에 액세스할 수 있습니다. 디바이스에 대한 제조업체별 지침을 따릅니다.

  4. BIOS 부팅 메뉴에서 USB에서 부팅을 선택하고 계속합니다. 도구가 실행됩니다.

  5. BitLocker를 사용하도록 설정하면 사용자에게 BitLocker 복구 키를 묻는 메시지가 표시됩니다. BitLocker 복구 키를 입력할 때 대시(-)를 포함합니다. 복구 키 옵션에 대한 자세한 내용은 BitLocker 복구 키를 찾을 위치를 참조하세요.

    참고: 비 Microsoft 디바이스 암호화 솔루션의 경우 공급업체에서 제공하는 모든 단계에 따라 드라이브에 액세스할 수 있습니다.

    1. 디바이스에서 BitLocker를 사용하도록 설정하지 않은 경우에도 BitLocker 복구 키를 묻는 메시지가 표시될 수 있습니다. Enter 키를 눌러 건너뛰고 계속합니다.

  6. 이 도구는 CrowdStrike에서 권장하는 대로 수정 단계를 실행합니다.

  7. 완료되면 USB 드라이브를 제거하고 디바이스를 정상적으로 다시 시작합니다.

안전 모드를 위해 이전 단계에서 미디어를 만든 경우 영향을 받는 디바이스에서 다음 지침을 사용합니다.

안전 모드 복구를 위해 부팅 미디어를 사용하기 위한 필수 구성 요소

  • 로컬 관리자 계정에 액세스합니다.

  • 영향을 받는 디바이스가 BitLocker TPM+PIN 보호기를 사용하고 디바이스에 대한 PIN을 모르는 경우 BitLocker 복구 키가 필요할 수 있습니다.

안전 모드 복구를 위해 부팅 미디어를 사용하는 지침

  1. 영향을 받는 디바이스에 USB 키를 삽입합니다.

  2. 디바이스를 다시 시작합니다.

  3. 다시 시작하는 동안 F12 키를 눌러 BIOS 부팅 메뉴에 액세스합니다.

    참고: 일부 디바이스는 다른 키 조합을 사용하여 BIOS 부팅 메뉴에 액세스할 수 있습니다. 디바이스에 대한 제조업체별 지침을 따릅니다.

  4. BIOS 부팅 메뉴에서 USB에서 부팅을 선택하고 계속합니다.

  5. 도구가 실행되고 다음 메시지가 나타납니다
    . 이 도구는 이 컴퓨터를 안전 모드로 부팅하도록 구성합니다. 경고: 실행 후 BitLocker 복구 키를 입력해야 하는 경우도 있습니다.

  6. 계속하려면 아무 키나 누릅니다. 다음 메시지가 나타납니다.
    PC가 이제 안전 모드로 부팅되도록 구성되었습니다.

  7. 계속하려면 아무 키나 누릅니다. 디바이스가 안전 모드로 다시 시작됩니다.

  8. 미디어 드라이브의 루트에서 repair.cmd 실행합니다. 스크립트는 CrowdStrike에서 권장하는 대로 수정 단계를 실행합니다.

  9. 다음 메시지가 나타납니다.
    이 도구는 영향을 받은 파일을 제거하고 일반 부팅 구성을 복원합니다. 경고: 경우에 따라 BitLocker 복구 키가 필요할 수 있습니다. 경고: 이 스크립트는 관리자 권한 명령 프롬프트에서 실행되어야 합니다.

  10. 계속하려면 아무 키나 누릅니다. 스크립트는 일반 부팅 모드를 실행하고 복원합니다.

  11. 도구가 성공적으로 완료되면 성공이라는 메시지가 나타납니다
    . 이제 시스템이 다시 부팅됩니다.

  12. 계속하려면 아무 키나 누릅니다. 디바이스가 정상적으로 다시 시작됩니다.

Hyper-V 가상 머신에서 복구 미디어 사용

복구 미디어를 사용하여 영향을 받는 Hyper-V VM(가상 머신)을 수정할 수 있습니다. 부팅 미디어를 만들ISO 파일을 생성하는 옵션을 선택합니다.

참고: Hyper-V가 아닌 VM의 경우 하이퍼바이저 공급업체가 제공한 지침에 따라 복구 미디어를 사용합니다.

Hyper-V 가상 머신 복구 지침

  1. 영향을 받는 VM에서 HYPER-V 설정 > SCSI 컨트롤러 아래에 DVD 드라이브를 추가합니다.

    SCSI 컨트롤러 섹션이 강조 표시된 Hyper-V VM(가상 머신) 설정의 스크린샷과 DVD 드라이브 추가 옵션이 있습니다.

  2. 복구 ISO로 이동하여 HYPER-V 설정 > SCSI 컨트롤러 > DVD 드라이브에서 이미지 파일로 추가합니다.


    이미지 파일을 선택하는 옵션을 보여 주는 DVD 드라이브 섹션이 강조 표시된 Hyper-V VM(가상 머신) 설정의 스크린샷 ​​​​​​​

  3. 나중에 수동으로 복원할 수 있도록 현재 부팅 순서 를 확인합니다. 다음 이미지는 VM의 구성과 다를 수 있는 부팅 순서의 예입니다.

    원래 부팅 순서를 보여 주는 펌웨어 섹션이 강조 표시된 Hyper-V VM(가상 머신) 설정의 스크린샷

  4. 부팅 순서를 변경하여 DVD 드라이브를 첫 번째 부팅 항목으로 이동합니다.

    부팅 순서 맨 위에 DVD 드라이브 항목을 보여 주는 펌웨어 섹션이 강조 표시된 Hyper-V VM(가상 머신) 설정의 스크린샷

  5. VM을 시작하고 키를 눌러 ISO 이미지로 계속 부팅합니다.

  6. 복구 미디어를 만든 방법에 따라 추가 단계에 따라 Windows PE 또는 안전 모드 복구 옵션을 사용합니다.

  7. 부팅 순서를 VM의 Hyper-V 설정에서 원래 부팅 설정으로 다시 설정합니다.

  8. VM을 정상적으로 다시 시작합니다.

복구에 PXE 사용

대부분의 고객의 경우 다른 복구 옵션은 디바이스를 복원하는 데 도움이 됩니다. 그러나 디바이스가 USB에서 복구하는 옵션을 사용할 수 없는 경우(예: 보안 정책 또는 포트 가용성으로 인해) IT 관리자는 PXE를 사용하여 수정할 수 있습니다.

이 솔루션을 사용하려면 Microsoft 복구 도구가 기존 PXE 환경에서 만드는 WIM(Windows 이미징 형식) 이미지를 사용할 수 있습니다. 영향을 받는 디바이스는 기존 PXE 서버와 동일한 네트워크 서브넷에 있어야 합니다.

또는 아래에 설명된 PXE 서버 접근 방식을 사용할 수 있습니다. 이 옵션은 수정을 위해 PXE 서버를 서브넷에서 서브넷으로 쉽게 이동할 수 있는 경우에 가장 적합합니다.

PXE 복구를 위한 필수 구성 요소

  1. 부팅 이미지를 호스트하는 64비트 Windows 디바이스입니다. 이 디바이스를 "PXE 서버"라고 합니다.

    1. PXE 서버는 지원되는 모든 Windows 클라이언트 64비트 OS에서 실행할 수 있습니다.

    2. PXE 서버는 Microsoft 다운로드 센터에서 Microsoft PXE 도구를 다운로드하기 위해 인터넷에 액세스할 수 있어야 합니다. 네트워크의 다른 시스템에서 PXE 서버에 복사할 수도 있습니다.

    3. PXE 서버에는 UDP 포트 67, 68, 69, 547 및 4011에 대해 만들어진 인바운드 방화벽 규칙이 있어야 합니다. 다운로드한 PXE 도구(MSFTPXEToolForCS.exe)는 PXE 서버의 Windows 방화벽 설정을 업데이트합니다. PXE 서버에서 비 Microsoft 방화벽 솔루션을 사용하는 경우 권장 사항에 따라 규칙을 만듭니다.

      참고: 이 스크립트는 방화벽 규칙을 정리하지 않습니다. 수정이 완료되면 이러한 방화벽 규칙을 제거해야 합니다. Windows 방화벽에서 이러한 규칙을 제거하려면 관리자 권한으로 Windows PowerShell을 열고 다음 명령을 실행합니다. MSFTPXEInitToolForCS.ps1 정리

    4. PXE 도구를 실행하는 관리 권한입니다.

    5. PXE 서버에는 Microsoft Visual C++ 재배포 가능 패키지가 필요합니다. 최신 버전을 다운로드하여 설치합니다.

  2. 영향을 받는 Windows 디바이스는 PXE 서버와 동일한 서브넷에 있어야 합니다. Wi-Fi 네트워크를 사용하는 대신 하드 유선이어야 합니다.

PXE 서버 구성

  1. Microsoft 다운로드 센터에서 Microsoft PXE 도구를 다운로드합니다. 모든 디렉터리에 zip 보관 파일의 내용을 추출합니다. 필요한 모든 파일이 포함됩니다.

  2. 관리자 권한으로 Windows PowerShell을 엽니다. 파일을 추출한 디렉터리로 변경하고 다음 명령을 실행합니다. MSFTPXEInitToolForCS.ps1

    1. 스크립트는 PXE 서버에서 Windows ADK 및 Windows PE Add-On 설치를 검색합니다. 설치되지 않은 경우 스크립트에서 설치합니다. 설치를 진행하려면 사용 조건을 검토하고 동의합니다.

    2. 스크립트는 수정 스크립트를 생성하고 유효한 부팅 이미지를 만듭니다.

    3. 필요한 경우 프롬프트를 수락하고 드라이버 파일이 포함된 경로를 제공합니다. 드라이버 파일은 키보드 또는 대용량 스토리지 디바이스에 필요할 수 있습니다. 일반적으로 드라이버를 추가할 필요가 없습니다. 추가 드라이버 파일이 필요하지 않은 경우 N을 선택합니다.

    4. 기본 수정 이미지 또는 안전 모드 이미지를 제공하도록 PXE 서버를 구성할 수 있습니다. 다음 프롬프트가 표시됩니다.
      1. WinPE로 부팅하여 문제를 해결합니다. 시스템 디스크가 BitLocker 암호화된 경우 BitLocker 복구 키를 입력해야 합니다.
      2. WinPE로 부팅은 안전 모드를 구성하고 안전 모드로 전환한 후 복구 명령을 실행합니다. 시스템 디스크가 BitLocker 암호화된 경우 이 옵션은 BitLocker 복구 키가 필요할 가능성이 적습니다.

    5. 스크립트는 필요한 배포 파일을 생성하고 PXE 서버 도구를 복사하는 경로를 제공합니다.

  3. PXE 복구, 특히 Microsoft Visual C++ 재배포 가능 패키지의 필수 구성 요소를 다시 확인합니다.

  4. 관리자 권한으로 PowerShell 콘솔에서 PXE 서버 도구가 복사된 디렉터리로 변경하고 다음 명령을 실행하여 수신기 프로세스를 시작합니다. .\MSFTPXEToolForCS.exe

    1. PXE 서버가 연결을 처리하기 때문에 추가 응답이 표시되지 않습니다. PXE 서버가 중지되므로 이 창을 닫지 마세요.

    2. 동일한 디렉터리의 MSFTPXEToolForCS.log 파일에서 PXE 서버 진행률을 모니터링할 수 있습니다.

      참고: 여러 서브넷에 대해 여러 PXE 서버를 실행하려면 PXE 서버 도구를 사용하여 디렉터리를 복사하고 3단계 & 4단계를 다시 실행합니다.

PXE에 대한 추가 정보

PXE를 사용하여 영향을 받는 디바이스 복구

영향을 받는 디바이스는 PXE 서버와 동일한 서브넷에 있어야 합니다. 디바이스가 다른 서브넷에 있는 경우 PXE 서버 검색을 사용하도록 네트워크 환경에서 IP 도우미를 구성합니다.

영향을 받는 디바이스가 PXE 부팅에 대해 구성되지 않은 경우 다음 단계를 수행합니다.

  1. 영향을 받는 디바이스에서 BIOS\UEFI 메뉴에 액세스합니다.

    1. 이 작업은 다양한 모델과 제조업체 간에 다릅니다. 디바이스의 특정 제조업체 및 모델에 대해서는 원래 장비 제조업체에서 제공하는 설명서를 참조하세요.

    2. BIOS\UEFI에 액세스하기 위한 일반적인 옵션에는 시작 시퀀스 중에 F2, F12, DEL 또는 ESC와 같은 키를 누르는 것이 포함됩니다.

  2. 디바이스에서 네트워크 부팅 이 사용하도록 설정되어 있는지 확인합니다. 추가 지침은 디바이스 제조업체의 설명서를 참조하세요.

  3. 네트워크 부팅 옵션을 첫 번째 부팅 우선 순위로 구성합니다.

  4. 새 설정을 저장합니다. PXE에서 적용하고 부팅할 설정에 대한 디바이스를 다시 시작합니다.

영향을 받는 디바이스를 PXE 부팅할 때 동작은 PXE 서버에 대한 Windows PE 또는 안전 모드 복구 미디어를 선택했는지 여부에 따라 달라집니다.

이러한 옵션에 대한 자세한 내용은 Windows PE 또는 안전 모드 복구 옵션을 사용하는 추가 단계를 참조하세요.

  1. Windows PE 복구 옵션의 경우 사용자에게 Windows PE로 부팅하라는 메시지가 표시되고 수정 스크립트가 자동으로 실행됩니다.

  2. 안전 모드 복구 옵션의 경우 디바이스가 안전 모드로 부팅됩니다. 사용자는 로컬 관리자 계정으로 로그인하고 스크립트를 수동으로 실행해야 합니다.

    1. 안전 모드에서 로컬 관리자로 로그인한 후 관리자 권한으로 Windows PowerShell을 엽니다.

    2. 다음 명령을 실행합니다.
      del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
      bcdedit /deletevalue {current} safeboot
      shutdown -r -t 00

완료되면 화면의 프롬프트에 응답하여 디바이스를 정상적으로 다시 시작합니다. BIOS\UEFI 메뉴에 액세스하고 부팅 순서를 업데이트하여 PXE 부팅을 제거합니다.

CrowdStrike에 문의

위의 단계를 수행한 후에도 디바이스에 로그인하는 데 문제가 계속 발생하는 경우 CrowdStrike에 문의하여 추가 지원을 받으세요. 

추가 정보

CrowdStrike Falcon 에이전트를 실행하는 Windows 클라이언트 및 서버에 영향을 미치는 문제에 대한 자세한 내용은 다음 리소스를 참조하세요.

참조 문서

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이 제품의 성능이나 신뢰성에 대해 묵시적 또는 명시적으로 어떠한 보증도 하지 않습니다.

Microsoft는 타사 연락처 정보를 제공하여 기술 지원을 받도록 도와줍니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이 타사 정보의 정확성을 보장하지 않습니다.

Facebook LinkedIn 전자 메일

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자