Правила Microsoft Defender ASR приводят к исчезновению приложений и значков • Реестр

Технические специалисты сообщают, что правила Microsoft Defender Endpoint Attack Surface Reduction (ASR) больше не используются и что они удаляют значки и ярлыки приложений с панели задач и меню «Пуск».

Проблемы были впервые замечены сегодня рано утром, в пятницу, 13-го, несколькими ИТ-специалистами, и многие, кажется, ломают голову над причиной. Некоторые говорят, что тестируют его как на Windows 10, так и на Windows 11.

«Я заметил это около 8:45 утра по всемирному координированному времени», — сказал нам техник из независимого магазина программного обеспечения. «Правило ASR удаляет значки на панели задач и в меню «Пуск», а в некоторых случаях также удаляет Microsoft Office».

ASR разработан, чтобы сделать ваш компьютер более безопасным, блокируя макросы и тому подобное, но очистка определенно более драматична, чем ожидалось. «Это произошло само собой, мы не знаем, почему.

«Мы подозревали, что это был KB — патч от вторника — который пошёл не так, но сегодня утром я разговаривал со многими другими, и мы думаем, что это определенно связано с правилами ASR».

а Тема на Reddit Указывает, что это не единичный случай с участием других системных администраторов. Тот, кто начал разговор, сказал:

«Недавно мы перенесли наши свойства в Defender for Endpoint, и сегодня утром мы получили несколько отчетов о том, что ярлыки их программ (Chrome, Firefox и Outlook исчезли после перезагрузки их компьютеров, что также произошло со мной. Кажется, это блокирует правило: «Блокировать вызовы Win32 API из макроса Office».

Другой сказал, что они столкнулись с «точно такой же проблемой» и им пришлось «подтолкнуть обновление политики, чтобы установить это правило в режиме проверки вместо блокировки — поскольку оно удаляет почти все сторонние приложения и даже собственные приложения, как вы сказали — Slack, Chrome , Перспектива».

Другой сказал: «То же самое. Тонны машин, которые были поражены ядерными ракетами за последний час. Счастливой пятницы». Другой системный администратор сказал, что все приложения Microsoft, включая Excel и Word, также исчезли.

Microsoft до сих пор публично хранила молчание по этому вопросу, хотя и опубликовала MO497128 в категории Microsoft 365 Suite, а не в категории Defender, с предупреждением:

Технический специалист заявил, что проблема связана с Последняя подпись Защитника (1.381.2140.0). Они сказали, что затем появится «Все ярлыки в ProgramData\Microsoft\Windows\Start Menu\Programs будут немедленно удалены».

Удаление правил ASR у одного айтишника сработало, другой сказал, что поменял правило на “Аудит” и вроде работает. Сложность в том, что политика InTune применяется не особенно быстро и нам тоже нужно починить Office на некоторых машинах, т.к. exe буквально отсутствует (не ярлык Just).

В знак согласия плакат гласил: “Защитник ASR установил правило 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b только для аудита. Подтвердите работу, но это снизит вашу защиту. Высокий риск, если применить его в масштабах предприятия, запустите его руководством”.

Затем разочарование сменилось гневом. «Как, черт возьми, это обновление прошло тестирование Microsoft/QA?? Они тестируют перед тем, как выпускать обновления, верно? Ребята? Верно?».

И: “Да, Microsoft воспользовалась этим. Ложные предупреждения поверхности атаки для большинства ярлыков меню “Пуск”.

Другой добавил: «Защитник — это действительно подарок, который продолжает дарить!»

Мы запросили комментарий у Microsoft и сообщим, когда Редмонд нажмет на клавиатуру. ®