{"id":276817,"date":"2023-01-13T12:54:59","date_gmt":"2023-01-13T11:54:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276817"},"modified":"2024-01-24T11:42:45","modified_gmt":"2024-01-24T10:42:45","slug":"microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/13\/microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr\/","title":{"rendered":"Microsoft ASR\/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr"},"content":{"rendered":"

\"Stop[English<\/a>]Aktuell scheint es b\u00f6se Probleme mit Windows und Microsoft Office zu geben. Nutzer berichten im Blog, dass unter Office 365, Build 16.0.15831.20252, die Taskleiste in Windows kaputt sei und die Office-Anwendungen nicht mehr starten. Bei vielen Clients verschwinden die Verkn\u00fcpfungen und lassen sich im Startmen\u00fc nicht mehr finden. Es gibt Hinweise, dass Microsoft ASR (Attac Surface Restriction) daf\u00fcr verantwortlich sein k\u00f6nnte. Ein Benutzer gibt an, dass ein Defender Signatur-Update die Verkn\u00fcpfungen unter Windows l\u00f6scht. Erg\u00e4nzungen:<\/strong> Microsoft hat best\u00e4tigt, dass eine fehlerhafte ASR-Regel die Verkn\u00fcpfungen l\u00f6scht und leitete Gegenma\u00dfnahmen ein. Details im Text nachgetragen.<\/p>\n

<\/p>\n

Erste Benutzermeldungen<\/h2>\n

\"\"Leser Jannik O. hat sich in diesem Kommentar<\/a> zum Blog-Beitrag Patchday: Microsoft Office Updates (10. Januar 2023)<\/a> gemeldet und berichtet von massiven Problemen mit einem Office 365-Update.<\/p>\n

Hallo,
\nhat noch jemand aktuell Probleme mit der Build Nr. 16.0.15831.20252 f\u00fcr O365?
\nSeit dem Update funktioniert bei hunderten Clients die Taskleiste nicht mehr und die Office Programme starten nicht mehr!<\/p><\/blockquote>\n

Ein weiterer Nutzer best\u00e4tigt diese Beobachtung in diesem Kommentar<\/a>:<\/p>\n

Hallo,
\nselbes Problem hier bei uns. Bei Vielen Clients verschwinden die Verkn\u00fcpfungen und die Office-Apps wie auch der Edge lassen sich nicht mehr \u00fcber das Startmen\u00fc finden.<\/p><\/blockquote>\n

Danke an die Nutzer f\u00fcr die Hinweise, die auf gravierendere Probleme hindeuten, da auch Windows mit Startmen\u00fcverkn\u00fcpfungen und der Taskleiste betroffen ist.<\/p>\n

Eine Meldung auf Twitter<\/h2>\n

Ich wollte gerade mit der Recherche anfangen, als mir auf Phil Randal auf Twitter<\/a> einen Hinweis auf MS ASR als Ursache f\u00fcr gel\u00f6schte Shortcuts zukommen lie\u00df (danke daf\u00fcr).<\/p>\n

<\/p>\n

Benutzer @FraserIRL fragt, ob andere Firmen auch festgestellt haben, dass unter Windows 10 pl\u00f6tzlich Verkn\u00fcpfungen und Programm-Icons vom Desktop verschwunden seien. Bei ihm seien viele Ger\u00e4te betroffen. Phil Randal gibt an, dass Microsoft ASR (Attack Surface Reduction) f\u00fcr dieses gel\u00f6schten Desktop-Verkn\u00fcpfungen (und dann wohl auch f\u00fcr die Startmen\u00fcverkn\u00fcpfungen und restliche Probleme) verantwortlich sei.<\/p>\n

Meldungen auf reddit.com<\/h2>\n

Auf reddit.com findet sich inzwischen der Thread Multiple users reporting Microsoft apps have disappeared<\/a><\/em>, in dem auch eine L\u00f6sung (beim Audit per Intune) gegeben wird. Der betreffende Nutzer schreibt:<\/p>\n

Hi all,<\/p>\n

Have you had anyone report applications going missing from there laptops today?<\/p><\/blockquote>\n

I've seemed to have lost all Microsoft apps, outlook\/excel\/word<\/p>\n

an error message comes up saying it's not supported and then the app seems to have uninstalled.<\/p>\n

Some users can open Teams and Outlook, and strangely, it seems some users are unable to open Chrome too.<\/p>\n

We're on InTune, FWIW<\/p>\n

Anyone else experiencing the same?<\/p><\/blockquote>\n

Inzwischen hat jemand im reddit.com-Thread Potentially faulty Virus Definition Update causing issues win Block Win32 API calls from Office Macro ASR? Desktop shortcuts deleted out of the blue and Office executables disappearing<\/a> n\u00e4heres evaluiert. Dort schreibt er:<\/p>\n

In the last hour, we've had half our organisation report that shortcuts have disappeared from their desktop and Microsoft Office has ceased working. Outlook.exe has flat out disappeared for some.<\/p>\n

Whilst not logged in Windows Defender->Operational, if we try to do a quick repair of Office we see that Windows Defender Exploit Guard has blocked the creation of .lnk files<\/p>\n

From what I can see, this appears to be the \"Block Win32 API calls from Office Macro\" ASR rule malfunctioning, potentially after the installation of AntivirusSignatureVersion 1.381.2140.0<\/p>\n

Is anyone else seeing similarly?<\/p>\n

One one machine I've changed that rule to audit rather than block and Office repair has since been successful and the creation of .lnk files via our powershell scripts is functioning again.<\/p><\/blockquote>\n

Inzwischen ist von u\/wilstoncakes<\/a> eine m\u00f6gliche L\u00f6sung in einem weiteren Post skizziert worden:<\/p>\n

We have the same issue with the definition version 1.381.2140.0.<\/p>\n

Even for non-office applications like Notepad++, mRemoteNG, Teamviewer, …<\/p>\n

We changed the ASR Rule to Audit via Intune.<\/p>\n

Block Win32 API calls from Office macros<\/p>\n

Rule-ID 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b<\/p><\/blockquote>\n

Vielleicht k\u00f6nnen Betroffene damit etwas anfangen.<\/p>\n

Defender Signatur-Update verantwortlich?<\/h2>\n

Ein weiterer Benutzer schreibt<\/a>, dass der Defender (Signatur-Update 1.318.2140.0) f\u00fcr dieses Verhalten verantwortlich sei:<\/p>\n

Its a problem with the newest defender signature (1.381.2140.0). Tested it by my self. fuck.<\/p>\n

Edit: looks like that all shortcuts which are located in<\/p>\n

ProgramData\\Microsoft\\Windows\\Start Menu\\Programs<\/p>\n

will be deleted instantly.<\/p><\/blockquote>\n

Falls ihr weitere Informationen habt, hinterlasst einen Kommentar. Sofern mir etwas unterkommt, trage ich es nach.<\/p>\n

Diskussion in Techcommunity<\/h2>\n

Nachtrag:\u00a0<\/strong>Mittlerweise gibt es in der Techcommunity einen Diskussions-Thread Antivirus deletes all shortcuts from the desktop<\/a>, der den Defender klar als Ursache benennt.<\/p>\n

Best\u00e4tigung durch Microsoft<\/h2>\n

Erg\u00e4nzung:<\/strong> Inzwischen wurde das Ganze von Microsoft auf Twitter best\u00e4tigt<\/a>:<\/p>\n

We're investigating an issue where users are unable to access application shortcuts on the Start menu and Taskbar in Windows. For more details and updates, please follow the SI MO497128 in your admin center.<\/p><\/blockquote>\n

Und kurze Zeit sp\u00e4ter:<\/p>\n

We've identified that a specific rule was resulting in impact. We've reverted the rule to prevent further impact whilst we investigate further. For more information, please follow the SI MO497128 in your admin center.<\/p><\/blockquote>\n

Laut nachfolgendem Kommentar tritt das Problem nur beim Microsoft Defender for Endpoint (ab Plan 1) auf, wohl das ASR-Feature aktiv genutzt werden muss.<\/p>\n

PS: Ist heute \u00fcbrigens Freitag der 13. – mein ja nur …<\/p>\n

Erkl\u00e4rungen und diverse Workarounds<\/h2>\n

Erg\u00e4nzungen:<\/strong> Die Kollegen von deskmodder.de gehen in diesem Artikel<\/a> ebenfalls auf das Thema ein. Dort wird angegeben, dass es bei einigen Nutzern reicht, den folgenden Befehl in einer administrativen Eingabeaufforderung einzugeben.<\/p>\n

MpCmdRun.exe -RemoveDefinitions<\/em><\/p>\n

Der Befehl entfernt die letzten Defender Definitionen. Die Kollegen von Bleeping Computer haben inzwischen diesen Artikel<\/a> mit einigen Informationen zum Problem ver\u00f6ffentlicht. Die ASR-Regel \"Win32-API-Aufrufe aus Office-Makros blockieren\" im Configuration Manager bzw. \"Win32-Importe aus Office-Makrocode\" in Intune soll Malware daran hindern, VBA-Makros zum Aufrufen von Win32-APIs zu verwenden.<\/p>\n

Eine fehlerhafte Defender-Signatur (1.381.2140.0) f\u00fchrte dazu, dass die ASR-Regel (Regel-ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) die Verkn\u00fcpfungen der Benutzer f\u00e4lschlicherweise als b\u00f6sartig einstufte und l\u00f6schte.<\/p>\n

Microsoft hat die fehlerhafte ASR-Regel zur\u00fcckgezogen (siehe SI MO497128 im Admin-Center), es dauert aber, bis die \u00c4nderung ankommt. Daher wird empfoehlt die betreffende ASR-Regel per PowerShell, Intune oder GPOs in den Audit-Mode zu versetzen – im Bleeping Computer Artikel sind die Details genannt.<\/p>\n

Inzwischen haben Systemadministratoren hier<\/a> und hier<\/a> PowerShell-Scripte zum Wiederherstellen der Microsoft Office und andere Anwendungsverkn\u00fcpfungen im Startmen\u00fc entwickelt. Diese Scripte sollten jedoch getestet werden, bevor sie in der Produktion eingesetzt werden. Zudem ist mir folgende Handlungsanweisung\u00a0 zum Lnk-Restor \u00fcber FB als Screenshot zugegangen.<\/p>\n

\"Restore<\/p>\n

Nachtrag:<\/strong> Ich habe einen separaten Beitrag mit den Erkl\u00e4rungen Microsofts sowie einem Link auf einen Techcommunity-Blog-Post mit Workarounds verfasst, siehe\u00a0Windows l\u00f6scht Verkn\u00fcpfungen; Microsoft erkl\u00e4rt Windows Defender ASR-Problem vom 13. Jan. 2023<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Office Updates (3. Januar 2023)<\/a>
\nMicrosoft Security Update Summary (10. Januar 2023)<\/a>
\nPatchday: Windows 10-Updates (10. Januar 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (10. Januar 2023)<\/a>
\nWindows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (10. Januar 2023)<\/a>
\nPatchday: Microsoft Office Updates (10. Januar 2023)<\/a><\/p>\n

Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen<\/a>
\nMicrosoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.<\/a>
\nWindows Patchday-Nachlese Januar 2023<\/a><\/p>\n

Microsoft ASR\/Defender-Update l\u00f6scht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr<\/a>
\nWindows l\u00f6scht Verkn\u00fcpfungen; Microsoft erkl\u00e4rt Windows Defender ASR-Problem vom 13. Jan. 2023<\/a>
\nASRmageddon: Warum Privatnutzer betroffen waren, wie man Shortcuts restauriert<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Aktuell scheint es b\u00f6se Probleme mit Windows und Microsoft Office zu geben. Nutzer berichten im Blog, dass unter Office 365, Build 16.0.15831.20252, die Taskleiste in Windows kaputt sei und die Office-Anwendungen nicht mehr starten. Bei vielen Clients verschwinden die Verkn\u00fcpfungen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185,161,301],"tags":[4322,154,4328,4315,3288],"class_list":["post-276817","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","category-virenschutz","category-windows","tag-office","tag-probleme","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276817"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276817\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}