上周五,微软发布了Microsoft Defender签名更新,其中包括对攻击面减少(ASR)规则的更改,该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”,在Intune中则是“从Office宏代码导入Win32”。
总之,这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。
但是很快,这个新规则就产生了严重的“副作用”,Windows自带的杀毒软件Defender开始不断误报,并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式(图标)。
很快,微软紧急恢复了签名更新1.381.2164.0中的更改,但警告管理员,最新的签名可能需要数小时才能分发到所有环境。
如果您的企业也不幸中招,可以尝试微软发布在GitHub上的这个PowerShell脚本(链接在文末),可为以下33个应用程序重建快捷方式:
该脚本将扫描HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\注册表项,以检查计算机上是否安装了上述可批量恢复快捷方式的33个程序。
然后,脚本将检查“开始”菜单中是否存在相应的快捷方式,如果没有,则重新创建。
如果你需要恢复快捷方式的程序不在上面这个列表里,可以修改PowerShell脚本中$programs数组添加其他应用程序。
Microsoft还发布了用Intune将此脚本部署到 Windows域设备的步骤。
对于那些希望手动重建快捷方式的人,Microsoft共享了以下步骤来修复程序:
修复Windows 10中的应用程序:
1. 选择“开始” >“设置”>“应用”>“应用和功能”。
2. 选择要修复的应用。
3. 选择应用名称下的“修改链接”(如果可用)。
4. 将启动一个新页面,并允许您选择修复。
修复Windows 11中的应用程序:
1. 在搜索栏中输入“已安装的应用程序”。
2. 单击“已安装的应用程序”。
3. 选择要修复的应用。
4. 点击“…”。
5. 选择“修改”或“高级选项”(如果可用)。
6. 将启动一个新页面,并允许您选择修复。
需要注意的是,上述方法花费更长的时间,因为在大多数情况下,它将重新安装整个程序。而且,并非所有应用程序都提供修复功能。
首先,该脚本默认只修复33个程序的快捷方式,不会为计算机上常用的大量其他应用程序重新创建快捷方式。
更为夸张的是,即便是微软Office这样的“亲儿子”程序,也没能搭上车。
一位Windows管理员抱怨说:“不幸的是,这个脚本不会恢复在用户端部署的微软Office快捷方式,这也是大多数365C2R的安装方式,同时也是通过Intune部署的M365的默认安装方式。很遗憾脚本并未提供支持。”
还有Windows管理员评论说,该脚本仅能在“开始”菜单中重新创建快捷方式,但无法恢复从Windows任务栏、快速启动工具栏或Windows桌面中删除的快捷方式。
另一位管理员则建议,用户其实可以通过从卷影副本中检索开始菜单、快速启动栏和桌面快捷方式来恢复它们。
用户还可以使用Shadow Explorer或ShadowCopyView等工具来检查快捷方式是否保存在以前的快照中,然后只需简单地将它们复制回系统驱动器。
对于拥有许多设备的用户,也可以尝试使用PowerShell从卷影副本中检查和恢复文件。
总体而言,微软本次安全更新的“乌龙事件”给大量Windows管理员和IT技术支持人员造成了巨大的混乱,他们面临手动重新创建快捷方式的繁琐任务。
转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/Qfv_fpOwToU0dNsKeWwp-A
封面来源于网络,如有侵权请联系删除