{"id":276852,"date":"2023-01-14T11:30:50","date_gmt":"2023-01-14T10:30:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276852"},"modified":"2023-01-16T12:48:06","modified_gmt":"2023-01-16T11:48:06","slug":"windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/14\/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023\/","title":{"rendered":"Windows löscht Verknüpfungen; Microsoft erklärt Windows Defender ASR-Problem vom 13. Jan. 2023"},"content":{"rendered":"

\"Windows\"[English<\/a>]Am gestrigen Freitag, den 13. Januar 2023, hat Microsoft Teile seiner Windows-Nutzerschaft ziemlich ausgeknockt, indem eine fehlerhafte Defender Signatur per Update ausgerollt wurde. Bei aktiviertem ASR wurden Verkn\u00fcpfungen unter Windows als sch\u00e4dlich erkannt und vom Desktop, aus dem Startmen\u00fc oder aus der Taskleiste von Windows gel\u00f6scht. Nun hat Microsoft das Problem best\u00e4tigt und nochmals aufbereitet.<\/p>\n

<\/p>\n

R\u00fcckblick: ASR l\u00e4uft Amok<\/h2>\n

\"\"Ich hatte es ja gestern zeitnah, quasi am \"lebenden Herzen\" und als Work in Progress im Blog-Beitrag Microsoft ASR\/Defender-Update l\u00f6scht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr<\/a> aufgegriffen. Erst stellten Nutzer fest, dass pl\u00f6tzliche Verkn\u00fcpfungen vom Windows Desktop, aus dem Startmen\u00fc oder aus der Taskleiste gel\u00f6scht wurden. Weitere Nutzer berichteten, dass sich Office-Anwendungen nicht mehr starten lie\u00dfen.<\/p>\n

Bereits beim Schreiben des Beitrags deutete es sich an, dass die Funktion ASR (Attac Surface Restriction) des Windows Defender for Endpoit, bzw. das Signatur-Update 1.381.2140.0, f\u00fcr dieses Verhalten verantwortlich sei. Diese f\u00fchrte dazu, dass die ASR-Regel \"Win32-API-Aufrufe aus Office-Makros blockieren\" im Configuration Manager bzw. \"Win32-Importe aus Office-Makrocode\" die Verkn\u00fcpfungen l\u00f6schte und Anwendungen am Start hinderte. In obigem Beitrag gab es Hinweise auf Workarounds.<\/p>\n

Microsoft best\u00e4tigt Problem<\/h2>\n

Eben bin ich auf Twitter darauf gesto\u00dfen, dass Microsoft den gestrigen Vorfall nun im Windows Health-Dashboard im Beitrag Application shortcuts might not work from the Start menu or other locations<\/a> best\u00e4tigt und nochmals aufbereitet hat.<\/p>\n

\"Application<\/a><\/p>\n

Microsoft schreibt, dass nach der Installation des Security Intelligence-Updates Build 1.381.2140.0 f\u00fcr den Microsoft Defender m\u00f6glicherweise Verkn\u00fcpfungen zu Anwendungen im Startmen\u00fc, in der Taskleiste und auf dem Desktop von Windows fehlen oder gel\u00f6scht wurden. Au\u00dferdem k\u00f6nnen Fehler beim Start ausf\u00fchrbarer Dateien (.exe) auftreten, wenn diese von Verkn\u00fcpfungsdateien abh\u00e4ngig sind.<\/p>\n

Microsoft best\u00e4tigt die gestrige Vermutung, dass auf den betroffenen Ger\u00e4ten die ASR-Regel \"Win32-API-Aufrufe von Office-Makros blockieren\" (\"Block Win32 API calls from Office macro\") aktiviert ist.<\/p>\n

Attack Surface Reduction (ASR) ist ein Feature von Windows zur Verringerung der Angriffsfl\u00e4che, indem Regeln zur \u00dcberwachung eingef\u00fchrt werden. In diesem Blog-Post<\/a> ist der Ansatz der Verwendung der ASR-Regeln ganz gut erkl\u00e4rt. Wolfgang Sommergut hat sich in diesem Artikel<\/a> ebenfalls mit dem Thema ASR und dessen Aktivierung befasst.<\/p>\n

Von Microsoft gibt es diesen Support-Beitrag<\/a> zu den ASR-Regeln. Dort schreibt man, dass diese ASR-Regeln f\u00fcr den Microsoft Defender Antivirus, den Microsoft 365 Defender<\/a> und f\u00fcr Microsoft Defender f\u00fcr Endpunkt Plan 2<\/a> gelten.<\/p><\/blockquote>\n

Das ausgerollte Defender Signatur-Update f\u00fchrte nach der Installation der Build 1.381.2140.0 zur L\u00f6schung bestimmter Windows-Verkn\u00fcpfungsdateien (.lnk), die einem falschen Erkennungsmuster entsprachen. Betroffen waren von diesem Malheur die folgenden Windows 10\/11 Clients:<\/p>\n