Vergangene Woche hat
Microsoft einen Fehler in der ASR-Regel (Attack Surface Reduction) von Windows Security und Microsoft Defender for Endpoint gemeldet, der dazu führte, dass Dateien (hauptsächlich App-Verknüpfungen im Startmenü und der Taskleiste) fälschlicherweise gelöscht wurden. Per
Blogbeitrag teilt Microsoft nun mit, wie dieses Problem umgangen werden kann.
Konkret führte die ASR-Regel Block Win32 API Calls from Office Macro zwischen den Builds 1.381.2134.0 und 1.381.2163.0 von Windows Security und Microsoft Defender for Endpoint zu einer Reihe fälschlicherweise positiver Erkennungen. Diese Erkennungen führten dann dazu, dass Dateien, die dieser fehlerhaften Erkennungslogik entsprachen, gelöscht wurden. In den meisten Fällen handelte es sich um Windows-Verknüpfungsdateien (.lnk).
Mit dem Update auf den Build 1.381.2164.0 hat Microsoft dieses Problem behoben. Allerdings führt die Installation des Updates nicht dazu, dass die gelöschten Dateien wiederhergestellt werden. Hierfür müssen andere Schritte eingeleitet werden: Zum einen offeriert Microsoft ein Powershell-Skript, das einen Grossteil der verloren gegangen Dateien wiederherstellt. Dieses steht
hier zum Download bereit. Zum anderen bietet Microsoft auf dem entsprechenden Blogbeitrag auch eine Anleitung für all jene, welche die Dateien manuell wiederherstellen wollen.
(rf)
