Defender ASR löscht Verknüpfungen aus Startmenü und Taskleiste

    , 16.01.2023
    Tags: ,

    Windows DefenderEin fehlerhaftes Update für die Virussignaturen von Microsoft Defender bewirkte das Löschen von Programm­ver­knüpfungen, wenn Anwender eine bestimmte Block­regel der Attack Surface Reduction (ASR) aktiviert hatten. Das Problem ist mittlerweile behoben, aber Admins müssen die gelöschten Links nun selbst wieder­her­stellen.

    Neben dem Virenscanner bietet Defender weitere Schutz­mechanismen, darunter die Reduktion der Angriffsfläche (Attack Surface Reduction). Damit lassen sich Anwendungen wie Office, Browser oder Adobe Reader härten. Das Feature ist standardmäßig nicht aktiv und lässt sich per Gruppenrichtlinie oder PowerShell konfigurieren.

    Regel für Office-Makros fehlerhaft

    ASR umfasst eine ganze Reihe von Regeln, die man separat aktivieren und deaktivieren kann. Vom aktuellen Bug in den Versionen 1.381.2134.0 bis 1.381.2163.0 betroffen war die Regel Win32-API-Aufrufe von Office-Makros blockieren (GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b).

    Er löste falsch positive Erkennungen aus, was zum Löschen verschiedener Programm­ver­knüpfungen führte, unter anderem im Startmenü und in der Taskleiste. Betroffen sind somit nur Umgebungen, die ASR aktiviert haben und in denen die obige Regel im Blockiermodus läuft.

    Version der Signaturen abfragen

    In einem ersten Schritt können Admins überprüfen, welche Version der Signaturen auf den Rechnern vorhanden ist. Dies lässt sich mit PowerShell so bewerkstelligen:

    Get-MpComputerStatus | select *version*

    Ist noch eine ältere Ausführung installiert, dann kann man zur aktuellen Version wechseln, die nicht mehr von dem Fehler betroffen ist. Andernfalls muss man die gelöschten Links wiederherstellen.

    Version der installierten Virussignaturen mit PowerShell ermitteln

    Shortcuts wiederherstellen

    Microsoft bietet zu diesem Zweck ein PowerShell-Script an, das diese Aufgabe automatisieren kann. Dieses stellt in der Version 1.1 die Links aus einer eventuell vorhandenen Schattenkopie wieder her.

    Insgesamt ist es aber nicht in der Lage, alle Verknüpfungen zu retten. Laut Kommentaren auf das betreffende Blog-Post gilt das vor allem für alle Shortcuts, die pro User verteilt wurden.

    Der Filter für Advanced Hunting, den Microsoft vorschlägt, um die Löschaktionen aus dem Protokoll nach­zuvollziehen, lässt sich zudem nicht für alle Varianten von Defender nutzen. Weder Defender for Business noch die in Windows integrierte kostenlose Version unterstützen diese Option.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links