Gegen Ende letzter Woche bestätigte Microsoft ein Problem, das auf eine fehlerhafte Microsoft Defender for Endpoint ASR-Regel zurückzuführen war, die zum Löschen von App-Verknüpfungen aus dem Startmenü, dem Desktop und der Taskleiste führte.
Die Das Unternehmen veröffentlichte ein Update, um zu verhindern, dass das Problem erneut auftritt, sagte jedoch, dass es keine Alternative gebe, als verloren gegangene Verknüpfungen manuell neu zu erstellen. Jetzt hat Microsoft jedoch ein PowerShell-Skript veröffentlicht, das einige – aber nicht alle – gelöschte Verknüpfungen automatisch neu erstellt. Das Unternehmen hat außerdem drei Advanced Hunting Queries (AHQs) veröffentlicht, um bei diesem Problem zu helfen.
Siehe auch:
Microsofts Scott Woodgate erklärt das Problem in einem Blog-Beitrag:”Am Januar 13., Kunden von Windows Security und Microsoft Defender für Endpoint haben möglicherweise eine Reihe falsch positiver Erkennungen für die ASR-Regel (Attack Surface Reduction) „Win32-API-Aufrufe von Office-Makros blockieren“ nach der Aktualisierung auf Security Intelligence-Builds zwischen 1.381.2134.0 und 1.381 erlebt. 2163.0. Diese Erkennungen führten zum Löschen von Dateien, die mit der falschen Erkennungslogik übereinstimmten, was sich hauptsächlich auf Windows-Verknüpfungsdateien (.lnk) auswirkte.”
Er fährt fort, zu verraten, dass Microsoft nun in der Lage war, ein Skript zu erstellen, das wird”Startmenü-Links für eine signifikante Teilmenge der betroffene Anwendungen, die gelöscht wurden”. Das PowerShell-Skript kann hier heruntergeladen werden.
Die Blogpost enthält auch manuelle Anweisungen für Benutzer von Windows 10 und Windows 11:
Windows 10:
Wählen Sie Start > Einstellungen > Apps > Apps & Funktionen aus. Wählen Sie die App aus, die Sie reparieren möchten. Wählen Sie darunter Link ändern aus den Namen der App, falls verfügbar. Eine neue Seite wird geöffnet, auf der Sie die Reparatur auswählen können.
Windows 11:
Geben Sie „Installierte Apps“ in die Suchleiste ein. Klicken Sie auf „Installierte Apps“. Wählen Sie die App aus, die Sie reparieren möchten. Klicken Sie auf „…“. Wählen Sie „Ändern“. oder Erweiterte Optionen, falls verfügbar. Es wird eine neue Seite geöffnet, auf der Sie die Reparatur auswählen können.
Microsoft hat auch Details zu Advanced Hunting Queries (AHQs) offengelegt, die angeblich verwendet werden können, um die Auswirkungen des Problems zu überprüfen.
Die Datei first AHQ can be used to retrieve all block Ereignisse von Geräten mit aktivierter ASR-Regel „Win32-API-Aufrufe von Office-Makro blockieren“ im Modus „Blockieren“.
A zweites AHQ kann verwendet werden, um alle Ereignisse von Geräten abzurufen, bei denen die ASR-Regel”Win32-API-Aufrufe von Office-Makros blockieren”im”Block”-und”Audit”-Modus aktiviert ist.
Eine das dritte und letzte AHQ kann die Geräteanzahl abrufen, wenn diese ASR-Regel”Win32-API-Aufrufe von Office-Makros blockieren”aktiviert ist und wenn die Anzahl 10.000 überschreitet.
Bildnachweis: monticello/depositphotosos