Zakelijke Windows-gebruikers melden verwijderde items in startmenu en taakbalk

Windows-gebruikers, onder meer binnen bedrijven die Microsoft 365 en Defender gebruiken, kunnen te maken krijgen met applicatiesnelkoppelingen die spontaan verdwijnen uit het startmenu of de taakbalk. Microsoft heeft een advies uitgebracht om het issue in te dammen.

In een toelichting die naar admins is gestuurd, zegt Microsoft dat het berichten heeft gekregen dat een bepaalde attack surface reduction rule met de omschrijving 'Block Win32 API calls from Office macro' hier verantwoordelijk voor is. Inmiddels raadt Microsoft aan om die asr-regel op 'Audit Mode' te zetten om de impact verder te beperken. Het is ook mogelijk om de disabled mode voor de regel in te schakelen.

Microsoft meldde eerder dat het genoemde issue, waardoor snelkoppelingsicoontjes mogelijk niet verschijnen of werken, onderzoekt. Daarbij gaf het bedrijf al aan dat wordt onderzocht of recente veranderingen bij Microsoft Defender aan de basis van het probleem liggen. Het probleem lijkt zich toe te spitsen op een recente update van Windows Defender, specifiek update KB2267602.

De voorgestelde aanpassing zal het probleem niet volledig wegnemen en zal hooguit voorkomen dat het probleem aanhoudt. Microsoft heeft nog geen definitieve workaround en nog geen advies gegeven aan admins over hoe de verdwenen shortcuts weer zichtbaar en werkend zijn te krijgen. Het bedrijf zegt dat er een terugdraaiing in gang is gezet die nog enkele uren kan duren.

Door Joris Jansen

Redacteur

Feedback • 13-01-2023 16:31
64 • submitter: Emperor

13-01-2023 • 16:31

64

Submitter: Emperor

Lees meer

Besturingssystemen Microsoft Windows

Reacties (64)

-Moderatie-faq
64
62
48
1
0
4
Wijzig sortering

Sorteer op:

Weergave:
Ruthhl3ss 13 januari 2023 16:58
Voor de sysadmins. Met deze KQL query kun je zien welke shortcuts zijn verwijderd:

DeviceEvents
| where ActionType startswith "asr"
| extend FolderCustomized = strcat(FolderPath, "\\")
| where FolderCustomized !contains "INetCache"
| extend FullName = strcat(FolderCustomized, FileName)
| where FullName contains ".lnk"
| extend ActionType = "AsrOfficeMacroWin32ApiCallsBlocked"

Bouw daarna een proactive remediation via Intune om het weer terug te zetten.

Mocht je vragen hebben stuur me een dm!

Edit, dit script kun je gebruiken:

http://powershellisfun.co...nu-shortcuts-asrmageddon/

Edit 2, Informatie vanuit Microsoft:

https://techcommunity.mic...ut-deletions/ba-p/3716011

[Reactie gewijzigd door Ruthhl3ss op 24 juli 2024 20:38]

Rolfie @Ruthhl3ss13 januari 2023 17:26
Misschien rare vraag, waar moet je precies die KQL query uitvoeren?
bart_ver @Rolfie13 januari 2023 17:42
Via https://security.microsoft.com/ kan je KQL queries uitvoeren.
j0eyv @Rolfie13 januari 2023 17:44
In DFE (security.microsoft.com) bij Advanced Hunting. Dit is wel een DFE P2 feature.
Ruthhl3ss @Rolfie13 januari 2023 17:51
Wat de 2 anderen al hebben gezegd :-) Mocht je er nog meer vragen over hebben, stuur me een dm.
Illegal_Alien @Ruthhl3ss13 januari 2023 20:28
Mischien handig om een topic te hierover openen op het forum? Is gelijk dan een goed naslagwerk. :)
Ruthhl3ss @Illegal_Alien14 januari 2023 09:51
True! Is dit inmiddels gebeurd? Dan kan ik mijn ervaringen delen.
Sahi_NL @Ruthhl3ss15 januari 2023 22:16
Ik kan de Discord msems aanraden, daar zaten we vrijdag vanaf een uurtje of 12/13 al heel actief met een groep beheerders oplossingen te bedenken.

[Reactie gewijzigd door Sahi_NL op 24 juli 2024 20:38]

Ruthhl3ss @Sahi_NL16 januari 2023 12:50
Aah daar zit ik in. :-)
bart_ver @Ruthhl3ss13 januari 2023 17:40
Als je de DeviceEvents info lokaal zou kunnen opvragen op de pc onder de context van de gebruiker zou je een generiek restore script kunnen pushen.
Ruthhl3ss @bart_ver13 januari 2023 17:52
Zeker, ik ben zelf fan van de proactive remediations omdat je ook output in het Intune portal kunt laten terug komen. Heb je gelijk reporting en trend analyse voor degene die dat leuk vinden. :-)
Batch 13 januari 2023 16:34
Niet alleen zakelijke gebruikers. Mijn privé computer is ook overhoop door deze update.
kimborntobewild @Batch13 januari 2023 17:04
Voor thuis: al sinds jaar en dag staan mijn icoontjes op een zelf ingesteld data-pad. En dan de desktop naar dat data-pad aanpassen. En met het progje Fences de icoontjes indelen. Is helaas geen gratis progje. Icoontjes zitten ook niet in de weg van je wallpaper: na x seconden verdwijnen de icoontjes. En met een dubbelklik (enkele klik met scrollknop op de muis die als dubbelklik is geprogrammeerd) zijn de icoontjes er weer.
Programma's opstarten via het startmenu doe ik nooit. Omslachtig. En ik doe niet aan pinned items; het dubbele gebruik van pinned en actieve items is nog nooit handig of overzichtelijk geweest. Ik heb wel een extra werkbalk aangemaakt, met een aantal vaak gebruikte progjes. Maar die icoontjes nemen minder ruimte in dan pinned icons.
Ook heb ik programma's/taken gekoppeld aan HotKeyBind. Dat is wel gratis.

Standaard-instellingen van Windows kunnen mij zelden bekoren :).

[Reactie gewijzigd door kimborntobewild op 24 juli 2024 20:38]

psy @kimborntobewild13 januari 2023 17:21
Iets opstarten door Windows knop te klikken en dan typen wat je wil kan je moeilijk omslachtig noemen. Veel makkelijker dan dat wordt het niet, maar dat werkt nu dus ook niet meer.
Rinzwind @psy14 januari 2023 06:51
Dan moet je de naam weten en de indexer loopt ook nog wel eens achter. Het werkt ook al niet met zoiets 'moderns' als tags. Zoiets als je typt tekstverwerker of editor en krijgt een keuze uit geinstalleerde opties EN download opties... Windows is echt wel ouderwets en heel conservatief te noemen op GUI gebied. En nog krijgen ze het voor elkaar om er een rommeltje van te maken met oud en nieuw gemixed.
psy @Rinzwind15 januari 2023 11:34
Ik ben de laatste die zal beweren dat het ideaal is hoor. Echter bv oor applicaties als
- SAP
- outlook
- word
- pulse
Werkt het prima verder.
Maar verder heb je erg weinig aan de brakke zoekfunctie daar ben ik het mee eens.
FicoF @kimborntobewild13 januari 2023 17:34
Hoeveel programmas gebruik je dan dat je dit wilt? Icoontjes op het bureaublad zijn totaal niet handig. Paar programmas op de taakbalk en dan zijn er de meeste mensen er wel.
Schaevertje @FicoF13 januari 2023 22:18
Maakt dat voor jou wat uit wat een ander wel of niet handig vind?
jpsch @FicoF14 januari 2023 18:12
Mijn bureaublad staat vol en dat kom ik vaker tegen.
Saven @Batch13 januari 2023 16:44
Ingelogd met een zakelijk account? Is wel echt iets dat gerelateerd is aan een zakelijke feature (ASR) voor Defender for Endpoint.
Batch @Saven13 januari 2023 16:47
Nee niet met een zakelijk account, gewoon privé. Bijna alle snelkoppelingen waren verdwenen.
Saven @Batch13 januari 2023 16:58
Frappant, MS communiceert duidelijk dat het met een specifieke ASR-setting te maken heeft. Voor zover ik weet is dat alleen voor enterpriseklanten te gebruiken en moet je daarvoor als beheerder inloggen in het admin center om überhaupt in/uit te kunnen schakelen. Lijkt mij dus niet dat deze rule ook in Defender voor gewone klanten zit ingebakken.
Gkirmathal @Saven13 januari 2023 17:07
Hier is het ook gebeurd. Offline account, Defender die indd ASR settings in GPO had. Kan 't liggen aan Windows10 Pro ook geraakt is en Home dan niet?
Saven @Gkirmathal13 januari 2023 17:22
Wel bizar. Ik betwijfel of home en pro echt verschil maken. Home heeft geen gpedit ingebouwd maar wel policies an sich. Hier overigens w11 pro (lokaal account) met de KB update, maar gelukkig nog geen issues, even afkloppen :)
Euronitwit @Gkirmathal13 januari 2023 17:47
Hier met Windows 10 Pro en Office Pro plus 2019 nergens last van.
Laurens-R @Saven13 januari 2023 17:06
Soms kan Microsoft het zelf ook wel eens bij het verkeerde eind hebben. Het Windows 11 start menu is sowieso een apart verhaal de laatste tijd. Search in het menu word ook steeds slechter…

Het zou me niks verbazen iig…

[Reactie gewijzigd door Laurens-R op 24 juli 2024 20:38]

rixster @Batch13 januari 2023 19:50
Idem.
Toevallig gister een backup gemaakt, die nu teruggezet en krijg dan de AV-update waar die fout niet in zit. Alles weer goed nu.
IkWilbert 13 januari 2023 16:35
Er is een nieuwe defender update vrijgegeven door MS, hierin is dit issue opgelost.

De bug zat in Signature Version: 1.381.2140.0
Beschikbaar is nu 1.381.2152.0.

Alle gebruikers hier zijn wel veel van iconen kwijt in het start menu. Collega's druk aan het scripten om het e.a.a weer terug te zetten.

[Reactie gewijzigd door IkWilbert op 24 juli 2024 20:38]

Oleato @IkWilbert13 januari 2023 16:50
Hier net nog een gebruiker aan de lijn gehad die 1.381.2152.0 had als versie.
Toch kon ik nog geen items pinnen

lnk file extensie toegevoegd aan de AV exclusions en dan werkt het weer wel
Blokker_1999
@Oleato13 januari 2023 18:15
Zolang je maar niet vergeet dat soort exclusions terug weg te halen achteraf.
kodak @IkWilbert13 januari 2023 17:09
Wat is er nu precies verholpen met die update? Microsoft claimt terugdraaien en weer tonen en kunnen gebruiken.

Opgelost heeft voor mij de betekenis dat niet alleen de oorzaak verholpen is maar ook het gevolg ongedaan is gemaakt. Terugdraaien zoals Microsoft het noemt lijkt op dit moment nogal vaag en alleen maar verantwoordelijkheid nemen voor de oorzaak, niet de gevolgen die ze massaal veroorzaakt hebben. Als ze alleen de bug verhelpen dan vallen ze met hun beweringen niet serieus te nemen.

[Reactie gewijzigd door kodak op 24 juli 2024 20:38]

AW_Bos 13 januari 2023 16:45
Een dan vraag ik mij af: Hoe kan een update van Defender zorgen voor het verwijderen van app's op de taakbalk? Dan moet je toch iets heel fout doen tijdens het programmeren?
Saven @AW_Bos13 januari 2023 16:54
Ligt wat complexer en is gerelateerd aan een enterprise feature voor het beperken van veiligheidsrisico's. Daar kun je een shitload aan bepaalde regels activeren. Screenshot geef je misschien een beetje een idee: https://i.imgur.com/97odZA1.png.

Is zeker wat fout gegaan :) Maar het is niet zodanig onlogisch zoals een jpg file openen ineens je snelkoppelingen verwijdert :P Dit gaat daadwerkelijk om een feature die dingen blokkeert/verwijdert, maar is waarschijnlijk iets te streng (of juist niet) afgesteld geweest en niet goed getest.
Blokker_1999
@AW_Bos13 januari 2023 18:07
Wanneer beveiligingssoftware fouten maakt krijg je vaak heel vreemde resultaten. In het verleden hebben we bijv. al gezien dat virusscanners systeembestanden in quarantaine gingen zetten waarna het OS niet meer ging opstarten of waarbij hele folders gewoon werden leeggemaakt.

Ook hier is de fout terug te vinden in het gebruik van een verkeerde definitie voor een stukje beveiligingssoftware. 1 van de grote problemen met beveiligingssoftware is dat je geen weken kunt testen om zeker te zijn dat je geen bugs over het hoofd ziet. Als er een nieuwe vorm van aanval gedetecteerd wordt, moet je die zo snel mogelijk tegen houden.
ocwil @Blokker_199913 januari 2023 23:27
Klopt zo heb ik een keer gehad dat Defender besloot dat een .vmdk bestand in quarantaine moest, waardoor ik vervolgens een blauwscherm in de draaiende VM kreeg 8)7
S_olis 13 januari 2023 16:38
Niet alleen in het startmenu en de taakbalk, maar ook op het bureaublad.
LongTimeAgo @S_olis13 januari 2023 16:48
Ja hele bureaubladen zijn soms volledig verdwenen en ontdaan van hun snelkoppelingsicoontjes.
sfranken @LongTimeAgo13 januari 2023 18:48
Zo, in een klap heeft iedereen een "clean desk".... Nee?
LongTimeAgo @sfranken13 januari 2023 19:20
Ja, dat wel. Vooral bij mensen waar van je zou denken "ruim die desktop eens op joh..". ;)
ReZpie 14 januari 2023 14:14
Iemand al een degelijke remediation script gevonden?
Ik wil komende maandag zo veel mogelijk de helpdesk ontlasten.

Nu ben ik zelf maar even de paths die ik vind uit de kusto query aan het toevoegen aan het ps script, is een beetje tedious.
balblas @ReZpie14 januari 2023 16:19
AddShortcutsV1.ps1

Werkt prima maar zal lang niet alle shortcuts opnieuw aanmaken, wel de meest belangrijkste appplicaties.
7th 13 januari 2023 16:46
Leuke vrijdag de 13e voor heel veel servicedesk medewerkers.
MadDemonoide @7th13 januari 2023 19:50
Ik wil het hier echt niet over hebben met 2 man servicedesk en 1000+ laptops...
LongTimeAgo 13 januari 2023 16:48
Hier ook t hele bedrijf in paniek.
De technische mensen lossen t wel op, tis nu voornamelijk een gigantische hoeveelheid werk voor support om de 'wat oudere' collega's uit de brand te helpen zo vlak voor t weekend.

Top dit Microsoft... zucht.
TriXje 13 januari 2023 16:57
Ook na een update een update van defender definities was een reboot noodzakelijk.
Iconen werken niet vanzelf terug, repinnen is nodig.
phYzar 13 januari 2023 17:00
Bijna m'n hele quicklaunch is ook leeg :'(

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq