Microsoft a publié Advanced Hunting Queries (AHQ) et un script PowerShell pour rechercher et restaurer certains raccourcis d’applications Windows qui ont été supprimés vendredi matin par la base de données Microsoft Defender ASR porteuse de bogues.
Tôt le matin du 13 janvier, Microsoft a publié une nouvelle mise à jour de la signature de Microsoft Defender qui comprenait une modification de la règle de réduction de la surface d’attaque (ASR) connue sous le nom de « Bloquer les appels d’API Win32 à partir de macros Office » dans Configuration Manager et « Importer Win32 à partir d’une macro Office ». code » dans Intune.
Cette règle détecte et empêche les logiciels malveillants d’utiliser des macros VBA pour appeler des API Win32.
Cependant, il y a une erreur dans Les règles mises à jour ont amené Microsoft Defender à renvoyer des faux positifset supprimez les raccourcis d’application du bureau, du menu Démarrer et de la barre des tâches Windows.
Cette règle défectueuse a provoqué des perturbations généralisées dans les environnements d’entreprise, car les utilisateurs n’ont pas pu lancer rapidement leurs applications et les administrateurs Windows se sont empressés de restaurer les raccourcis.
Microsoft a par la suite annulé la modification de la nouvelle mise à jour de signature 1.381.2164.0, mais a averti les administrateurs que cela pourrait prendre quelques heures pour que les dernières signatures se propagent dans tous les environnements.
Le script pour recréer les raccourcis supprimés a été publié
Samedi matin, Microsoft a publié des requêtes de recherche avancées pour trouver les raccourcis concernés et un script PowerShell pour recréer des raccourcis vers certaines des applications supprimées les plus populaires.
« Microsoft a confirmé les étapes que les clients peuvent suivre pour recréer les liens du menu de démarrage pour un sous-ensemble important d’applications concernées qui ont été supprimées », a expliqué Microsoft dans un nouveau communiqué. pièce justificative.
Il est intégré au script PowerShell ci-dessous pour aider les administrateurs d’entreprise à prendre des mesures de récupération dans leur environnement.
Pour déterminer l’impact de cette erreur sur votre organisation, Requêtes de recherche pour Microsoft Defender Peut être utilisé pour récupérer les événements du vendredi associés à la mauvaise règle.
Si vous êtes concerné, vous pouvez utiliser Ce script PowerShell a été partagé sur GitHubqui vérifiera la clé de registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ pour vérifier que trente-trois programmes différents sont installés sur votre ordinateur.
Si un programme est installé, le script recherchera un raccourci correspondant dans le menu Démarrer, et si ce n’est pas le cas, le recréera.
La liste des applications dont les raccourcis seront recréés est :
Adobe Acrobat |
Adobe Photoshop 2023 |
Adobe Illustrator 2023 |
Adobe Creative Cloud |
Navigation privée dans Firefox |
Renard de feu |
Google Chrome |
Bord Microsoft |
Bloc-notes++ |
Client parallèle |
bureau à distance |
TeamViewer |
Royal TS6 |
Elgato StreamDeck |
Visual Studio 2022 |
code de studio visuel |
Camtasie Studio |
Enregistreur Camtasia |
Jabra Direct |
Gestionnaire de fichiers 7-Zip |
être capable de |
Exceller |
OneDrive |
Une note |
perspectives |
Power Point |
Le projet |
éditeur |
Visio |
un mot |
PowerShell 7 (x64) |
SQL Server Management Studio |
Studio de données Azure |
|
Les organisations qui ne disposent pas de raccourcis vers des programmes non répertoriés ci-dessus peuvent modifier les scripts PowerShell $programs
groupe pour inclure d’autres applications.
Microsoft s’est également impliqué Étapes pour déployer ce script à l’aide d’Intune Sur les machines d’un domaine Windows.
Pour ceux qui souhaitent recréer manuellement les raccourcis, Microsoft a partagé les étapes suivantes pour corriger l’installation du logiciel.
Il convient de noter que ce processus prendra plus de temps, car dans la plupart des cas, il réinstallera l’intégralité du programme. De plus, toutes les applications n’offrent pas de fonctionnalité de réparation.
Corriger une application dans Windows 10 :
-
Choisir Début > Les paramètres > applications > Applications et fonctionnalités
-
Sélectionnez l’application que vous souhaitez réparer.
-
Sélectionnez le lien Modifier sous le nom de l’application s’il est disponible.
-
Une nouvelle page se lancera et vous permettra de sélectionner la réparation.
Corriger une application dans Windows 11 :
-
Tapez « applications installées » dans la barre de recherche.
-
Cliquez sur « Applications installées ».
-
Sélectionnez l’application que vous souhaitez réparer.
-
Cliquez sur « … »
-
Sélectionnez Modifier ou Avancé si disponible.
-
Une nouvelle page se lancera et vous permettra de sélectionner la réparation.
Pas une assez bonne solution
Alors que le script PowerShell publié aidera à recréer des raccourcis pour certaines applications, les administrateurs Windows ont signalé qu’il ne fonctionnait pas assez bien.
Le script ne se concentre que sur trente-trois programmes, il ne recréera donc pas de raccourcis vers de nombreuses autres applications couramment installées sur un PC.
Cependant, même les applications ciblées telles que Microsoft Office ne voient pas leurs raccourcis recréés dans certains cas.
Malheureusement, cela ne restaure pas les raccourcis Microsoft Office déployés par utilisateur – ce qui correspond à la plupart des installations C2R 365. Il s’agit du comportement d’installation par défaut pour M365 déployé via Intune, donc si cela peut être reflété dans le script – ce serait Ceci est très utile, » Administrateur Windows commenter À propos du scénario.
Les responsables de Windows ont également fait remarquer que le script recrée uniquement les raccourcis dans le menu Démarrer, mais ne parvient pas à recréer les raccourcis supprimés à partir de la barre d’outils de lancement rapide de la barre des tâches Windows ou du bureau Windows.
Comme l’a noté l’un des administrateurs, il peut être possible de restaurer le menu Démarrer, la barre de lancement rapide et les raccourcis du bureau en Récupéré du dossier des clichés instantanés.
Les utilisateurs peuvent utiliser des outils tels que Explorateur de l’ombre ou alors ShadowCopyView Pour vérifier si les raccourcis ont été enregistrés dans les instantanés précédents et copiez-les simplement sur le lecteur système.
Pour ceux qui ont de nombreux appareils, utiliser powershell Il peut également être possible de vérifier et de restaurer des fichiers à partir de copies de Shadow Volume.
Dans l’ensemble, cette erreur a créé un énorme gâchis pour les administrateurs Windows et le support informatique, qui ont probablement dû effectuer la tâche fastidieuse de recréer manuellement certains des raccourcis manquants.