Tags: Defender, Troubleshooting
Ein fehlerhaftes Update für die Virussignaturen von Microsoft Defender bewirkte das Löschen von Programmverknüpfungen, wenn Anwender eine bestimmte Blockregel der Attack Surface Reduction (ASR) aktiviert hatten. Das Problem ist mittlerweile behoben, aber Admins müssen die gelöschten Links nun selbst wiederherstellen.
Neben dem Virenscanner bietet Defender weitere Schutzmechanismen, darunter die Reduktion der Angriffsfläche (Attack Surface Reduction). Damit lassen sich Anwendungen wie Office, Browser oder Adobe Reader härten. Das Feature ist standardmäßig nicht aktiv und lässt sich per Gruppenrichtlinie oder PowerShell konfigurieren.
Regel für Office-Makros fehlerhaft
ASR umfasst eine ganze Reihe von Regeln, die man separat aktivieren und deaktivieren kann. Vom aktuellen Bug in den Versionen 1.381.2134.0 bis 1.381.2163.0 betroffen war die Regel Win32-API-Aufrufe von Office-Makros blockieren (GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b).
Er löste falsch positive Erkennungen aus, was zum Löschen verschiedener Programmverknüpfungen führte, unter anderem im Startmenü und in der Taskleiste. Betroffen sind somit nur Umgebungen, die ASR aktiviert haben und in denen die obige Regel im Blockiermodus läuft.
Version der Signaturen abfragen
In einem ersten Schritt können Admins überprüfen, welche Version der Signaturen auf den Rechnern vorhanden ist. Dies lässt sich mit PowerShell so bewerkstelligen:
Get-MpComputerStatus | select *version*
Ist noch eine ältere Ausführung installiert, dann kann man zur aktuellen Version wechseln, die nicht mehr von dem Fehler betroffen ist. Andernfalls muss man die gelöschten Links wiederherstellen.
Shortcuts wiederherstellen
Microsoft bietet zu diesem Zweck ein PowerShell-Script an, das diese Aufgabe automatisieren kann. Dieses stellt in der Version 1.1 die Links aus einer eventuell vorhandenen Schattenkopie wieder her.
Insgesamt ist es aber nicht in der Lage, alle Verknüpfungen zu retten. Laut Kommentaren auf das betreffende Blog-Post gilt das vor allem für alle Shortcuts, die pro User verteilt wurden.
Der Filter für Advanced Hunting, den Microsoft vorschlägt, um die Löschaktionen aus dem Protokoll nachzuvollziehen, lässt sich zudem nicht für alle Varianten von Defender nutzen. Weder Defender for Business noch die in Windows integrierte kostenlose Version unterstützen diese Option.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Test: Microsoft Defender mit AppTec360 zentral verwalten
- Troubleshooting: Keine Netzwerk-Verbindung in VMware Workstation
- Resolve-DnsName: nslookup für PowerShell
- DNS-Probleme bei VPN-Verbindungen beheben
- Windows reparieren mit SystemRescue: Partitionen wiederherstellen, Dateien kopieren, Passwörter zurücksetzen
Weitere Links