Wiederherstellung nach der Löschung von Abkürzungsregeln zur Reduzierung der Angriffsfläche

Quelle: techcommunity.microsoft.com

Am 13. Januar kam es bei Kunden von Windows Security und Microsoft Defender for Endpoint möglicherweise zu einer Reihe falsch positiver Erkennungen für die ASR-Regel (Attack Surface Reduction) "Win32-API-Aufrufe von Office-Makros blockieren", nachdem sie auf Security Intelligence-Builds zwischen 1.381.2134.0 und 1.381.2163.0 aktualisiert hatten. Diese Erkennungen führten zur Löschung von Dateien, die der falschen Erkennungslogik entsprachen und hauptsächlich Windows-Verknüpfungsdateien (.lnk) betrafen.

Es gibt keine Auswirkungen für Kunden, bei denen die Regel "Win32-API-Aufrufe von Office-Makros blockieren" nicht im Blockmodus aktiviert ist oder die nicht auf die Security Intelligence Update-Builds 1.381.2134.0, 1.381.2140.0, 1.381.2152 und 1.381.2163.0 aktualisiert haben.

Was muss ich als derzeit betroffener Kunde tun?

Betroffene Kunden benötigen sowohl das aktualisierte Security Intelligence Build als auch die Wiederherstellung gelöschter Dateien.

Das aktualisierte Security Intelligence-Build

Kunden sollten auf Build 1.381.2164.0 oder höher aktualisieren. Kunden, die automatische Updates für Microsoft Defender Antivirus verwenden, müssen keine zusätzlichen Maßnahmen ergreifen, um das aktualisierte Security Intelligence-Build zu erhalten. Unternehmenskunden, die Updates verwalten, sollten das neueste Update herunterladen und es in ihren Umgebungen bereitstellen. Mit dem Security Intelligence-Build werden gelöschte Dateien nicht wiederhergestellt. Wenn Sie die Option "Win32-Aufrufe von Office-Makros blockieren" gemäß früherer Anleitungen in den Überprüfungsmodus versetzt haben, können Sie den Blockiermodus jetzt sicher aktivieren.

So stellen Sie gelöschte Windows-Verknüpfungslinks wieder her

Microsoft hat Schritte bestätigt, die Kunden durchführen können, um Startmenü-Verknüpfungen für eine bedeutende Untergruppe der betroffenen Anwendungen, die gelöscht wurden, wiederherzustellen. Diese wurden im folgenden PowerShell-Skript zusammengefasst, um Unternehmensadministratoren bei der Durchführung von Wiederherstellungsmaßnahmen in ihrer Umgebung zu unterstützen.

Die erste Version des Skripts ist hier verfügbar: MDE-PowerBI-Templates/AddShortcutsV1.ps1 auf master - microsoft/MDE-PowerBI-Templates - GitHub

Dieses Skript sollte im erhöhten Modus ausgeführt werden, entweder als Administrator oder als System.

Anweisungen für die Bereitstellung des Skripts mit Microsoft Intune finden Sie hier.


0 Comments: