MpCmdRun.exe를 실행하기 위한 예약된 작업은 한 플래그 세트에서는 작동하지만 다른 플래그 세트에서는 작동하지 않습니다(0x2 "파일을 찾을 수 없음"으로 실패).

MpCmdRun.exe를 실행하기 위한 예약된 작업은 한 플래그 세트에서는 작동하지만 다른 플래그 세트에서는 작동하지 않습니다(0x2 "파일을 찾을 수 없음"으로 실패).

내 Win10 워크스테이션에 두 가지 예약된 작업을 제공하는 GPO가 있습니다.

작업 1은 C:\Program Files\Windows Defender\MpCmdRun.exe -removedefinitions -dynamicsignatures를 실행합니다.

작업 1

작업 2는 C:\Program Files\Windows Defender\MpCmdRun.exe -SignatureUpdate를 실행합니다.

작업 2

둘 다 가장 높은 권한과 사용자의 로그인 여부에 관계없이 SYSTEM으로 실행됩니다. 보안 설정

워크스테이션은 이 GPO에서 두 작업을 모두 성공적으로 가져옵니다. 작업 1은 작업 2보다 몇 분 전에 실행됩니다. 두 작업은 관련되어 있으며 해당 순서대로 수행되어야 하지만 작업 1은 실제로 실행을 완료하는 데 약 30초가 걸립니다.

워크스테이션은 모두 작업 1을 성공적으로 실행하여 정의를 무너뜨렸습니다.

그러나 워크스테이션은 모두 자체 장치에 남겨두면 작업 2를 실행하지 못합니다.

작업 2는 작업 1과 마찬가지로 사람들이 로그인했는지 여부에 관계없이 시스템으로 실행되도록 설정되어 있습니다. 그러나 임의의 시간에 예약하면(많은 시도를 해봤지만) 예약된 작업은 항상 시작되고 오류 코드 0x2(파일을 찾을 수 없음)로 인해 1초 이내에 사망합니다. 임의 워크스테이션의 작업 기록에서 때때로 "반환 코드 2147942402"라는 항목이 있는 것을 발견했습니다.또한"파일을 찾을 수 없습니다".

문제의 파일이 실패 코드를 반환하지 않는 작업 1에 표시된 것과 정확히 동일하기 때문에 이는 혼란스럽습니다.

이제 실패한 동일한 워크스테이션에서 작업을 마우스 오른쪽 버튼으로 클릭하고 "실행"을 누르면 둘 다 성공적으로 완료됩니다. 명령을 수동으로 실행하는 것도 가능합니다. 또한 하루 중 일정 시간 동안 정확히 동일한 작업을 예약하고 예약된 작업이 시작될 시간까지 샘플 워크스테이션(또는 워크스테이션)에 로그인된 상태를 유지하면 실제로 사용자 상호 작용 없이 성공적으로 실행됩니다!

따라서 아무도 보고 있지 않으면 작업 2가 실행되지 않지만 누군가가 수동으로 실행하거나 로그인한 경우에는 실행됩니다. 두 작업이 모두 SYSTEM이고 누군가 로그인 여부에 관계없이 해당 작업을 수행할 수 있음에도 불구하고 이 작업을 수행합니다.

두 작업의 유일한 차이점은 일부 플래그뿐이므로 이 시점에서 꽤 혼란스럽습니다. 전혀 실행된다는 것은 작업이 올바르게 설정되었지만 누군가 로그인하지 않으면 이 중 하나만 실행된다는 것을 의미합니다.

내가 따라갈 수 있는 단서가 있는 사람이 있나요?

답변1

나는 그것이 찾지 못한 것에 대해 구체적으로 말할 수 없으며, 그것을 찾을 가능성이 있는 방법에 대해서만 말할 수 있습니다. 응용 프로그램이 오류 2를 올바르게 전달하는 경우(가끔 오류 5/53/4/기타일 수 있음) procmon 형식 sysinternals를 사용합니다.https://learn.microsoft.com/en-us/sysinternals/downloads/procmon실패한 작업을 실행하고 프로세스 이름으로 프로세스를 필터링하고 모든 파일 이벤트를 살펴보고 시도한 것과 실패한 것을 확인하십시오. 답변이 아니더라도 최소한 더 많은 정보를 얻을 수 있도록 안내해 드리겠습니다.

관련 정보