Ошибочное правило Microsoft Defender ASR удаляет ярлыки приложений Windows
Ошибочное правило Microsoft Defender ASR удаляет ярлыки приложений Windows. Фото: СС0
Эта проблема затрагивала ярлыки приложений на управляемых устройствах после ошибочного запуска правила Microsoft Defender for Endpoint Attack Surface (ASR).
При правильной работе это правило ASR (известное как «Блокировка вызовов API Win32 из макроса Office» в Configuration Manager и «Импорт Win32 из кода макроса Office» в Intune) должно блокировать использование вредоносными программами макросов VBA для вызова API Win32.
Из сообщения компании:
«Вредоносное ПО может злоупотреблять этой возможностью, например вызывать API-интерфейсы Win32 для запуска вредоносного шелл-кода без записи чего-либо непосредственно на диск. Большинство организаций не полагаются на возможность вызова Win32 API в своей повседневной работе, даже если они используют макросы другими способами».
Хотя обычно это помогло бы уменьшить поверхность атаки, которую субъекты угроз могут использовать для компрометации устройств, защищенных антивирусной программой Microsoft Defender, неверная подпись защитника (1.381.2140.0) вызвала правило ASR (идентификатор правила: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) и сработку против ярлыков приложений пользователей, ложно помечая их как вредоносные.
Администраторы Windows сообщают, что правило ASR удаляет ярлыки, принадлежащие как приложениям Microsoft, так и сторонним приложениям.
Из сообщения администраторов Windows:
«Недавно мы подключили наши машины к Defender for Endpoint, и сегодня утром мы получили ряд отчетов о том, что их ярлыки программ (Chrome, Firefox, Outlook) исчезли после перезагрузки их машины, что также произошло со мной».
«Мы наблюдаем точно такую же проблему. Мне пришлось нажать обновление политики, чтобы установить это правило в режим аудита вместо блокировки, поскольку оно уничтожает почти все сторонние приложения и даже собственные, как вы также сказали. Slack, Chrome, Outlook».
Чтобы решить эту проблему, Microsoft отключила нарушающее правило ASR , а позднее устранила проблему.
Из сообщения компании:
«Эта проблема устранена в сборке обновления аналитики безопасности 1.381.2164.0. Установка сборки обновления аналитики безопасности 1.381.2164.0 или более поздней версии должна предотвратить проблему, но она не восстановит ранее удаленные ярлыки. Вам потребуется повторно создать или восстановить эти ярлыки другими способами».
Startpack подготовил список сервисов для мониторинга IT-активов и управления ими. Позволяют оперативно вести учёт и проводить инвентаризацию оборудования, отслеживать перемещение техники и расходных материалов, получать оперативную информацию об актуальности лицензий программного обеспечения предприятия. Программные комплексы помогут оперативно развернуть IT-активы компании и наладить связку с подразделениями или удалёнными филиалами.
Статьи по теме
Комментариев пока не было