Microsoft, Cuma sabahı hatalı bir Microsoft Defender ASR kuralı tarafından silinen bazı Windows uygulama kısayollarını bulup kurtarmak için gelişmiş arama sorguları (AHQ’lar) ve bir PowerShell betiği yayınladı.
13 Ocak sabahı erken saatlerde Microsoft, Configuration Manager’da “Office makrosundan Win32 API çağrılarını engelle” ve “Office makro kodundan Win32 içe aktarmaları” olarak bilinen Saldırı Yüzeyi Azaltma (ASR) kuralında bir değişiklik içeren yeni bir Microsoft Defender imza güncellemesi yayınladı. Intune’da.
Bu kural, kötü amaçlı yazılımın Win32 API’lerini çağırmak için VBA makrolarını kullanmasını algılar ve engeller.
Ancak, güncellenen kurallardaki bir hata, Microsoft Defender’ın yanlış pozitifler göstermesine, uygulama kısayollarını masaüstünden, Başlat menüsünden ve Windows Görev Çubuğundan silmesine neden oldu.
Bu hatalı kural, kullanıcıların uygulamalarını hızlı bir şekilde başlatamaması ve Windows yöneticilerinin kısayolları geri yüklemek için uğraşmasıyla kurumsal ortamlarda yaygın kesintilere neden oldu.
Microsoft daha sonra yeni imza güncellemesi 1.381.2164.0’daki değişikliği geri aldı, ancak yöneticileri en son imzaların tüm ortamlara yayılmasının birkaç saat sürebileceği konusunda uyardı.
Silinen kısayolları yeniden oluşturmak için komut dosyası yayınlandı
Cumartesi sabahı Microsoft, etkilenen kısayolları bulmak için gelişmiş tarama sorguları ve daha yaygın olarak silinen bazı uygulamalar için kısayolları yeniden oluşturmak için bir PowerShell betiği yayınladı.
Microsoft, yeni bir destek belgesinde “Microsoft, müşterilerin silinen etkilenen uygulamaların önemli bir alt kümesi için başlat menüsü bağlantılarını yeniden oluşturmak için atabilecekleri adımları onayladı.”
“Bunlar, kuruluş yöneticilerinin ortamlarında kurtarma eylemleri gerçekleştirmesine yardımcı olmak için aşağıdaki PowerShell betiğinde birleştirildi.”
Bu hatanın kuruluşunuzdaki etkisini belirlemek için, hatalı kuralla ilişkili Cuma günlerinden olayları almak için Microsoft Defender arama sorguları kullanılabilir.
Etkilenirse, bilgisayarda otuz üç farklı programın yüklü olup olmadığını kontrol etmek için HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ kayıt defteri anahtarını tarayan GitHub’da paylaşılan bu PowerShell betiğini kullanabilirsiniz.
Bir program kuruluysa, komut dosyası Başlat Menüsünde karşılık gelen bir kısayol olup olmadığını kontrol edecek ve yoksa yeniden oluşturacaktır.
Kısayolları yeniden oluşturulacak uygulamaların listesi:
| Adobe Acrobat | Adobe Photoshop 2023 |
| Adobe Illustrator 2023 | Adobe Yaratıcı Bulut |
| Firefox Özel Tarama | Firefox |
| Google Chrome | Microsoft Kenarı |
| Not Defteri++ | Parallels İstemcisi |
| Uzak Masaüstü | Takım Görüntüleyici |
| Kraliyet TS6 | Elgato Akış Güvertesi |
| Görsel Stüdyo 2022 | Visual Studio Kodu |
| Camtasia Stüdyosu | Camtasia Kaydedici |
| Jabra Doğrudan | 7-Zip Dosya Yöneticisi |
| Erişim | excel |
| OneDrive | Bir not |
| Görünüm | Priz |
| Proje | Yayımcı |
| Vizyon | Kelime |
| PowerShell 7 (x64) | SQL Server Yönetim Stüdyosu |
| Azure Veri Stüdyosu |
Yukarıda listelenmeyen programlar için kısayolları olmayan kuruluşlar, PowerShell betiğinin $programs diğer uygulamaları içerecek dizi.
Microsoft ayrıca, bu betiği Intune kullanarak bir Windows etki alanındaki cihazlara dağıtmak için gereken adımları paylaştı.
Kısayolları manuel olarak yeniden oluşturmak isteyenler için Microsoft, bir programın kurulumunu onarmak için aşağıdaki adımları paylaştı.
Çoğu durumda programın tamamını yeniden yükleyeceğinden, bu işlemin çok daha uzun süreceği unutulmamalıdır. Ayrıca, tüm uygulamalar bir onarım işlevi sunmaz.
Windows 10’da bir uygulamayı onarın:
-
Seçme Başlangıç > Ayarlar > Uygulamalar > Uygulamalar ve özellikler
-
Düzeltmek istediğiniz uygulamayı seçin.
-
Varsa, uygulama adının altındaki Bağlantıyı değiştir’i seçin.
-
Yeni bir sayfa açılacak ve onarımı seçmenize izin verecektir.
Windows 11’de bir uygulamayı onarın:
-
Arama çubuğuna “Yüklü Uygulamalar” yazın.
-
“Yüklü Uygulamalar”a tıklayın.
-
Düzeltmek istediğiniz uygulamayı seçin.
-
Tıklamak “…”
-
Varsa, Değiştir’i veya Gelişmiş Seçenekler’i seçin.
-
Yeni bir sayfa açılacak ve onarımı seçmenize izin verecektir.
Yeterince iyi bir çözüm değil
Yayınlanan PowerShell betiği, bazı uygulamalar için kısayolların yeniden oluşturulmasına yardımcı olurken, Windows yöneticileri bunun yeterince iyi çalışmadığını bildiriyor.
Komut dosyası yalnızca otuz üç programa odaklanır, bu nedenle genellikle bir bilgisayarda yüklü olan diğer birçok uygulama için kısayolları yeniden oluşturmaz.
Ancak, Microsoft Office gibi hedeflenen uygulamalar bile bazı durumlarda kısayollarını yeniden oluşturmuyor.
“Maalesef bu, kullanıcı başına dağıtılan Microsoft Office kısayollarını geri yüklemez – ki bu çoğu 365 C2R yüklemesidir. Bu, Intune aracılığıyla dağıtılan M365 için varsayılan yükleme davranışıdır, dolayısıyla bu komut dosyasına yansıtılabiliyorsa – bu çok yararlı”, bir Windows yöneticisi komut dosyası hakkında yorum yaptı.
Windows yöneticileri ayrıca komut dosyasının yalnızca Başlat Menüsünde kısayolları yeniden oluşturduğunu ancak Windows Görev Çubuğu Hızlı Başlatma araç çubuğundan veya Windows masaüstünden silinenleri yeniden oluşturamadığı yorumunu yaptı.
Bir yöneticinin belirttiği gibi, Başlat Menüsü, Hızlı Başlatma çubuğu ve Masaüstü kısayollarını Gölge Birim Kopyalarından alarak kurtarmak mümkün olabilir.
Kullanıcılar, kısayolların önceki anlık görüntülerde kaydedilip kaydedilmediğini kontrol etmek ve bunları sistem sürücüsüne geri kopyalamak için Shadow Explorer veya ShadowCopyView gibi araçları kullanabilir.
Birçok cihaza sahip olanlar için, dosyaları Gölge Birim Kopyalarından kontrol etmek ve kurtarmak için PowerShell kullanmak da mümkün olabilir.
Genel olarak, bu hata, eksik kısayollardan bazılarını manuel olarak yeniden oluşturmak gibi sıkıcı bir görevi yerine getirmek zorunda kalacak olan Windows yöneticileri ve BT desteği için büyük bir karmaşa yarattı.