Удаленные дефектным правилом ASR Defender ярлыки воссоздает сценарий Microsoft

Разработчики Microsoft выпустили расширенные поисковые запросы (AHQ) и сценарий PowerShell для поиска и восстановления некоторых ярлыков приложений Windows, удаленных в пятницу утром из-за ошибочного правила ASR Microsoft Defender.

Удаленные дефектным правилом ASR Defender ярлыки воссоздает сценарий Microsoft. Фото: СС0

Рано утром 13 января корпорация Майкрософт выпустила обновление сигнатур Microsoft Defender, которое включало изменение правила сокращения поверхности атаки (ASR), известное как «Блокировать вызовы Win32 API из макроса Office» в Configuration Manager и «Импорт Win32 из кода макроса Office».

Это правило обнаруживает и блокирует использование вредоносными программами макросов VBA для вызова Win32 API.

Однако из-за ошибки в обновленных правилах Microsoft Defender выдавал ложные срабатывания, удаляя ярлыки приложений с рабочего стола, из меню «Пуск» и панели задач Windows.

Это ошибочное правило вызвало массовые сбои в корпоративной среде: пользователи не могли быстро запускать свои приложения, а администраторы Windows пытались восстановить ярлыки.

Позже Microsoft отменила изменение в новом обновлении сигнатур 1.381.2164.0, но предупредила администраторов, что распространение последних сигнатур во всех средах может занять несколько часов.

В субботу утром Microsoft выпустила расширенные поисковые запросы для поиска уязвимых ярлыков и скрипт PowerShell для воссоздания ярлыков для некоторых наиболее часто удаляемых приложений.

Из сообщения службы поддержки:

«Microsoft подтвердила шаги, которые клиенты могут предпринять, чтобы воссоздать ссылки меню «Пуск» для значительного подмножества затронутых приложений, которые были удалены. Они были объединены в приведенный ниже сценарий PowerShell, чтобы помочь администраторам предприятий выполнять действия по восстановлению в своей среде».

Если ваша система затронута, вы можете использовать этот сценарий PowerShell, опубликованный на GitHub , который просканирует ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\, чтобы проверить, установлены ли на компьютере тридцать три разные программы, сообщают в компании.

Если программа установлена, скрипт проверит наличие соответствующего ярлыка в меню «Пуск» и, если нет, создаст его заново.

Microsoft также поделилась инструкциями по развертыванию этого скрипта с помощью Intune на устройствах в домене Windows.

В Microsoft рассказали о том, как восстановить ярлыки вручную.

Следует отметить, что этот процесс займет гораздо больше времени, так как в большинстве случаев придется переустанавливать всю программу. Кроме того, не все приложения предлагают функцию восстановления.

Восстановите приложение в Windows 10:

Выберите «Пуск » > «Настройки » > «Приложения » > «Приложения и функции ».
Выберите приложение, которое хотите исправить.
Выберите ссылку «Изменить» под названием приложения, если оно доступно.
Откроется новая страница, где вы сможете выбрать ремонт.

Восстановите приложение в Windows 11:

Введите «Установленные приложения» в строке поиска.
Нажмите «Установленные приложения».
Выберите приложение, которое хотите исправить.
Нажмите на "…"
Выберите «Изменить» или «Дополнительные параметры», если они доступны.
Откроется новая страница, где вы сможете выбрать ремонт.

Хотя выпущенный сценарий PowerShell поможет воссоздать ярлыки для некоторых приложений, администраторы Windows сообщают, что он работает недостаточно хорошо.

Сценарий фокусируется только на тридцати трех программах, поэтому он не будет воссоздавать ярлыки для многих других приложений, обычно устанавливаемых на компьютере.

Однако в некоторых случаях ярлыки даже для целевых приложений, таких как Microsoft Office, не создаются повторно.

Из сообщения администратора Windows:

«К сожалению, это не восстанавливает ярлыки Microsoft Office, которые были развернуты для каждого пользователя, что является большинством установок 365 C2R. Это поведение установки по умолчанию для M365, развернутого через Intune, поэтому, если это можно отразить в сценарии, это будет очень полезно».

Администраторы Windows также отметили, что сценарий воссоздает только ярлыки в меню «Пуск», но не может воссоздать ярлыки, удаленные с панели быстрого запуска панели задач Windows или с рабочего стола Windows.

Как заметил один администратор, можно восстановить меню «Пуск», панель быстрого запуска и ярлыки на рабочем столе, извлекая их из теневых копий томов .

Пользователи могут использовать такие инструменты, как Shadow Explorer или ShadowCopyView , чтобы проверить, были ли ярлыки сохранены в предыдущих снимках, и просто скопировать их обратно на системный диск.

Для тех, у кого много устройств, также может быть возможно использование PowerShell для проверки и восстановления файлов из теневых копий томов.

Startpack подготовил список сервисов для мониторинга IT-активов и управления ими. Позволяют оперативно вести учёт и проводить инвентаризацию оборудования, отслеживать перемещение техники и расходных материалов, получать оперативную информацию об актуальности лицензий программного обеспечения предприятия. Программные комплексы помогут оперативно развернуть IT-активы компании и наладить связку с подразделениями или удалёнными филиалами.

Статьи по теме

Упомянутый сервис

Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).

Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).