此篇文章发布距今已超过609天,您需要注意文章的内容或图片是否可用!
如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了,不要惊慌,这只是微软的又一次安全更新导致的“乌龙事件”。上周五,微软发布了Microsoft Defender签名更新,其中包括对攻击面减少(ASR)规则的更改,该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”,在Intune中则是“从Office宏代码导入Win32”。总之,这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。但是很快,这个新规则就产生了严重的“副作用”,Windows自带的杀毒软件Defender开始不断误报,并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式(图标)。快捷方式的“不翼而飞”在大量企业用户中引发混乱,企业环境普遍中断,用户无法快速启动其应用程序,Windows管理员们则手忙脚乱地为员工恢复快捷方式。很快,微软紧急恢复了签名更新1.381.2164.0中的更改,但警告管理员,最新的签名可能需要数小时才能分发到所有环境。周六早上,微软紧急发布了高级搜寻查询,以查找受影响的程序快捷方式,并发布了一个PowerShell脚本,为被影响最为严重的33个应用程序重建快捷方式。如果您的企业也不幸中招,可以尝试微软发布在GitHub上的这个PowerShell脚本(链接在文末),可为以下33个应用程序重建快捷方式:该脚本将扫描HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths注册表项,以检查计算机上是否安装了上述可批量恢复快捷方式的33个程序。然后,脚本将检查“开始”菜单中是否存在相应的快捷方式,如果没有,则重新创建。如果你需要恢复快捷方式的程序不在上面这个列表里,可以修改PowerShell脚本中$programs数组添加其他应用程序。Microsoft还发布了用Intune将此脚本部署到 Windows域设备的步骤。对于那些希望手动重建快捷方式的人,Microsoft共享了以下步骤来修复程序:1. 选择“开始” >“设置”>“应用”>“应用和功能”。2. 选择要修复的应用。3. 选择应用名称下的“修改链接”(如果可用)。需要注意的是,上述方法花费更长的时间,因为在大多数情况下,它将重新安装整个程序。而且,并非所有应用程序都提供修复功能。修复方案并不完美虽然微软发布的PowerShell脚本能方便用户为部分应用程序重新创建快捷方式,但Windows管理员普遍反映该脚本存在很多弊端。首先,该脚本默认只修复33个程序的快捷方式,不会为计算机上常用的大量其他应用程序重新创建快捷方式。更为夸张的是,即便是微软Office这样的“亲儿子”程序,也没能搭上车。一位Windows管理员抱怨说:“不幸的是,这个脚本不会恢复在用户端部署的微软Office快捷方式,这也是大多数365C2R的安装方式,同时也是通过Intune部署的M365的默认安装方式。很遗憾脚本并未提供支持。”还有Windows管理员评论说,该脚本仅能在“开始”菜单中重新创建快捷方式,但无法恢复从Windows任务栏、快速启动工具栏或Windows桌面中删除的快捷方式。另一位管理员则建议,用户其实可以通过从卷影副本中检索开始菜单、快速启动栏和桌面快捷方式来恢复它们。用户还可以使用Shadow Explorer或ShadowCopyView等工具来检查快捷方式是否保存在以前的快照中,然后只需简单地将它们复制回系统驱动器。对于拥有许多设备的用户,也可以尝试使用PowerShell从卷影副本中检查和恢复文件。总体而言,微软本次安全更新的“乌龙事件”给大量Windows管理员和IT技术支持人员造成了巨大的混乱,他们面临手动重新创建快捷方式的繁琐任务。https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/recovering-from-attack-surface-reduction-rule-shortcut-deletions/ba-p/3716011http://github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/AddShortcutsV1.ps1
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com
还没有评论,来说两句吧...