Microsoft была вынуждена выпустить сценарий AHQ и PowerShell для поиска и исправления некоторых ярлыков приложений Windows, поскольку Microsoft Defender недавно удалил их из-за ошибки в правиле ASR.
В конце прошлой недели разработчики Microsoft выпустили обновление сигнатуры для Microsoft Defender for Endpoint (1.381.2140.0), в котором были внесены изменения в правило ASR (снижение поверхности атаки), связанное с вызовами настроек «Блокировать Win32 API» из макроса Office». в диспетчере конфигураций, а также «Импорт Win32 из кода макроса Office» в Intune. По сути, это правило обнаруживает и блокирует использование макросов VBA для вызовов Win32 API.
Однако обновление правила завершилось неудачей (идентификатор правила: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) и привело к удалению ярлыков ряда приложений с рабочего стола, меню «Пуск» и панели задач Windows. Согласно с средства массовой информациипроблема затронула собственные приложения Microsoft и сторонние продукты.
Из-за этого в корпоративной среде произошли массовые сбои, а специалисты техподдержки значительно увеличили свою работу, так как пользователи просто не могли быстро найти и запустить нужные приложения, а администраторы взялись за восстановление отсутствующих ярлыков. В результате Microsoft поспешно отключила нарушенное правило.
На выходных инженеры Microsoft освобождение АХК и особенный PowerShell-скрипты чтобы помочь администраторам искать и восстанавливать удаленные ярлыки.
Размещенный на GitHub, PowerShell проверяет раздел реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\, чтобы определить, установлены ли на конкретном компьютере 33 различных программы. Если программа установлена, скрипт проверит наличие соответствующего ярлыка в меню «Пуск» и, если нет, создаст его заново. Список приложений, которые проверяет скрипт, можно найти в таблице ниже.
| Adobe Acrobat | Адоб Фотошоп 2023 |
| Адоб Иллюстратор 2023 | Adobe Creative Cloud |
| Приватный просмотр Firefox | Fire Fox |
| Гугл Хром | Microsoft Edge |
| Блокнот++ | Параллельный клиент |
| Удаленный рабочий стол | TeamViewer |
| Королевский ТС6 | Elgato StreamDeck |
| Визуальная студия 2022 | Код Visual Studio |
| Камтазия Студия | Камтазия Рекордер |
| Джабра Директ | 7-Zip файловый менеджер |
| Доступ | Excel |
| Один диск | Одна нота |
| Перспектива | Силовая установка |
| Проект | Издатель |
| Зрение | Слово |
| PowerShell 7 (x64) | Студия управления SQL Server |
| Студия данных Azure |
К сожалению, список совсем небольшой, а пострадавших приложений на самом деле было больше. Поэтому Microsoft отмечает, что организации могут модифицировать сам скрипт, чтобы включить в него программы $ и другие продукты.
Также отмечается, что ярлыки можно восстановить вручную, но этот процесс займет гораздо больше времени, так как для этого часто требуется переустановка всей программы, а не все приложения предлагают функцию восстановления.
В то же время публикация Пищит Компьютер пишет, что скрипт, предложенный компанией, работает не во всех случаях: администраторы жалуются, что не всегда удается восстановить даже ярлыки целевых приложений, например Microsoft Office. Кроме того, сценарий воссоздает только ярлыки в меню «Пуск», но не может воссоздавать ярлыки, удаленные с панели быстрого запуска, панели задач или рабочего стола Windows.