微软再摆乌龙,安全更新导致 Windows 程序快捷方式被删除
2023-1-17 15:3:26 Author: hackernews.cc(查看原文) 阅读量:16 收藏

如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了,不要惊慌,这只是微软的又一次安全更新导致的“乌龙事件”。

上周五,微软发布了Microsoft Defender签名更新,其中包括对攻击面减少(ASR)规则的更改,该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”,在Intune中则是“从Office宏代码导入Win32”。

总之,这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。

但是很快,这个新规则就产生了严重的“副作用”,Windows自带的杀毒软件Defender开始不断误报,并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式(图标)。

微信图片_20230117145842
快捷方式的“不翼而飞”在大量企业用户中引发混乱,企业环境普遍中断,用户无法快速启动其应用程序,Windows管理员们则手忙脚乱地为员工恢复快捷方式。

很快,微软紧急恢复了签名更新1.381.2164.0中的更改,但警告管理员,最新的签名可能需要数小时才能分发到所有环境。

微软发布PowerShell脚本批量修复快捷方式
周六早上,微软紧急发布了高级搜寻查询,以查找受影响的程序快捷方式,并发布了一个PowerShell脚本,为被影响最为严重的33个应用程序重建快捷方式。

如果您的企业也不幸中招,可以尝试微软发布在GitHub上的这个PowerShell脚本(链接在文末),可为以下33个应用程序重建快捷方式:

该脚本将扫描HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\注册表项,以检查计算机上是否安装了上述可批量恢复快捷方式的33个程序。

然后,脚本将检查“开始”菜单中是否存在相应的快捷方式,如果没有,则重新创建。

如果你需要恢复快捷方式的程序不在上面这个列表里,可以修改PowerShell脚本中$programs数组添加其他应用程序。

Microsoft还发布了用Intune将此脚本部署到 Windows域设备的步骤。

对于那些希望手动重建快捷方式的人,Microsoft共享了以下步骤来修复程序:

修复Windows 10中的应用程序:

1. 选择“开始” >“设置”>“应用”>“应用和功能”。

2. 选择要修复的应用。

3. 选择应用名称下的“修改链接”(如果可用)。

4. 将启动一个新页面,并允许您选择修复。

修复Windows 11中的应用程序:

1. 在搜索栏中输入“已安装的应用程序”。

2. 单击“已安装的应用程序”。

3. 选择要修复的应用。

4. 点击“…”。

5. 选择“修改”或“高级选项”(如果可用)。

6. 将启动一个新页面,并允许您选择修复。

需要注意的是,上述方法花费更长的时间,因为在大多数情况下,它将重新安装整个程序。而且,并非所有应用程序都提供修复功能。

修复方案并不完美
虽然微软发布的PowerShell脚本能方便用户为部分应用程序重新创建快捷方式,但Windows管理员普遍反映该脚本存在很多弊端。

首先,该脚本默认只修复33个程序的快捷方式,不会为计算机上常用的大量其他应用程序重新创建快捷方式。

更为夸张的是,即便是微软Office这样的“亲儿子”程序,也没能搭上车。

一位Windows管理员抱怨说:“不幸的是,这个脚本不会恢复在用户端部署的微软Office快捷方式,这也是大多数365C2R的安装方式,同时也是通过Intune部署的M365的默认安装方式。很遗憾脚本并未提供支持。”

还有Windows管理员评论说,该脚本仅能在“开始”菜单中重新创建快捷方式,但无法恢复从Windows任务栏、快速启动工具栏或Windows桌面中删除的快捷方式。

另一位管理员则建议,用户其实可以通过从卷影副本中检索开始菜单、快速启动栏和桌面快捷方式来恢复它们。

用户还可以使用Shadow Explorer或ShadowCopyView等工具来检查快捷方式是否保存在以前的快照中,然后只需简单地将它们复制回系统驱动器。

对于拥有许多设备的用户,也可以尝试使用PowerShell从卷影副本中检查和恢复文件。

总体而言,微软本次安全更新的“乌龙事件”给大量Windows管理员和IT技术支持人员造成了巨大的混乱,他们面临手动重新创建快捷方式的繁琐任务。


转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/Qfv_fpOwToU0dNsKeWwp-A

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/43107
如有侵权请联系:admin#unsafe.sh