Zakelijke Windows-gebruikers melden verwijderde items in startmenu en taakbalk

Windows-gebruikers, onder meer binnen bedrijven die Microsoft 365 en Defender gebruiken, kunnen te maken krijgen met applicatiesnelkoppelingen die spontaan verdwijnen uit het startmenu of de taakbalk. Microsoft heeft een advies uitgebracht om het issue in te dammen.

In een toelichting die naar admins is gestuurd, zegt Microsoft dat het berichten heeft gekregen dat een bepaalde attack surface reduction rule met de omschrijving 'Block Win32 API calls from Office macro' hier verantwoordelijk voor is. Inmiddels raadt Microsoft aan om die asr-regel op 'Audit Mode' te zetten om de impact verder te beperken. Het is ook mogelijk om de disabled mode voor de regel in te schakelen.

Microsoft meldde eerder dat het genoemde issue, waardoor snelkoppelingsicoontjes mogelijk niet verschijnen of werken, onderzoekt. Daarbij gaf het bedrijf al aan dat wordt onderzocht of recente veranderingen bij Microsoft Defender aan de basis van het probleem liggen. Het probleem lijkt zich toe te spitsen op een recente update van Windows Defender, specifiek update KB2267602.

De voorgestelde aanpassing zal het probleem niet volledig wegnemen en zal hooguit voorkomen dat het probleem aanhoudt. Microsoft heeft nog geen definitieve workaround en nog geen advies gegeven aan admins over hoe de verdwenen shortcuts weer zichtbaar en werkend zijn te krijgen. Het bedrijf zegt dat er een terugdraaiing in gang is gezet die nog enkele uren kan duren.

Door Joris Jansen

Redacteur

13-01-2023 • 16:31

64

Submitter: Emperor

Reacties (64)

Sorteer op:

Weergave:

Voor de sysadmins. Met deze KQL query kun je zien welke shortcuts zijn verwijderd:

DeviceEvents
| where ActionType startswith "asr"
| extend FolderCustomized = strcat(FolderPath, "\\")
| where FolderCustomized !contains "INetCache"
| extend FullName = strcat(FolderCustomized, FileName)
| where FullName contains ".lnk"
| extend ActionType = "AsrOfficeMacroWin32ApiCallsBlocked"

Bouw daarna een proactive remediation via Intune om het weer terug te zetten.

Mocht je vragen hebben stuur me een dm!

Edit, dit script kun je gebruiken:

http://powershellisfun.co...nu-shortcuts-asrmageddon/

Edit 2, Informatie vanuit Microsoft:

https://techcommunity.mic...ut-deletions/ba-p/3716011

[Reactie gewijzigd door Ruthhl3ss op 24 juli 2024 20:38]

Misschien rare vraag, waar moet je precies die KQL query uitvoeren?
In DFE (security.microsoft.com) bij Advanced Hunting. Dit is wel een DFE P2 feature.
Wat de 2 anderen al hebben gezegd :-) Mocht je er nog meer vragen over hebben, stuur me een dm.
Mischien handig om een topic te hierover openen op het forum? Is gelijk dan een goed naslagwerk. :)
True! Is dit inmiddels gebeurd? Dan kan ik mijn ervaringen delen.
Ik kan de Discord msems aanraden, daar zaten we vrijdag vanaf een uurtje of 12/13 al heel actief met een groep beheerders oplossingen te bedenken.

[Reactie gewijzigd door Sahi_NL op 24 juli 2024 20:38]

Aah daar zit ik in. :-)
Als je de DeviceEvents info lokaal zou kunnen opvragen op de pc onder de context van de gebruiker zou je een generiek restore script kunnen pushen.
Zeker, ik ben zelf fan van de proactive remediations omdat je ook output in het Intune portal kunt laten terug komen. Heb je gelijk reporting en trend analyse voor degene die dat leuk vinden. :-)
Niet alleen zakelijke gebruikers. Mijn privé computer is ook overhoop door deze update.
Voor thuis: al sinds jaar en dag staan mijn icoontjes op een zelf ingesteld data-pad. En dan de desktop naar dat data-pad aanpassen. En met het progje Fences de icoontjes indelen. Is helaas geen gratis progje. Icoontjes zitten ook niet in de weg van je wallpaper: na x seconden verdwijnen de icoontjes. En met een dubbelklik (enkele klik met scrollknop op de muis die als dubbelklik is geprogrammeerd) zijn de icoontjes er weer.
Programma's opstarten via het startmenu doe ik nooit. Omslachtig. En ik doe niet aan pinned items; het dubbele gebruik van pinned en actieve items is nog nooit handig of overzichtelijk geweest. Ik heb wel een extra werkbalk aangemaakt, met een aantal vaak gebruikte progjes. Maar die icoontjes nemen minder ruimte in dan pinned icons.
Ook heb ik programma's/taken gekoppeld aan HotKeyBind. Dat is wel gratis.

Standaard-instellingen van Windows kunnen mij zelden bekoren :).

[Reactie gewijzigd door kimborntobewild op 24 juli 2024 20:38]

Iets opstarten door Windows knop te klikken en dan typen wat je wil kan je moeilijk omslachtig noemen. Veel makkelijker dan dat wordt het niet, maar dat werkt nu dus ook niet meer.
Dan moet je de naam weten en de indexer loopt ook nog wel eens achter. Het werkt ook al niet met zoiets 'moderns' als tags. Zoiets als je typt tekstverwerker of editor en krijgt een keuze uit geinstalleerde opties EN download opties... Windows is echt wel ouderwets en heel conservatief te noemen op GUI gebied. En nog krijgen ze het voor elkaar om er een rommeltje van te maken met oud en nieuw gemixed.
Ik ben de laatste die zal beweren dat het ideaal is hoor. Echter bv oor applicaties als
- SAP
- outlook
- word
- pulse
Werkt het prima verder.
Maar verder heb je erg weinig aan de brakke zoekfunctie daar ben ik het mee eens.
Hoeveel programmas gebruik je dan dat je dit wilt? Icoontjes op het bureaublad zijn totaal niet handig. Paar programmas op de taakbalk en dan zijn er de meeste mensen er wel.
Maakt dat voor jou wat uit wat een ander wel of niet handig vind?
Mijn bureaublad staat vol en dat kom ik vaker tegen.
Ingelogd met een zakelijk account? Is wel echt iets dat gerelateerd is aan een zakelijke feature (ASR) voor Defender for Endpoint.
Nee niet met een zakelijk account, gewoon privé. Bijna alle snelkoppelingen waren verdwenen.
Frappant, MS communiceert duidelijk dat het met een specifieke ASR-setting te maken heeft. Voor zover ik weet is dat alleen voor enterpriseklanten te gebruiken en moet je daarvoor als beheerder inloggen in het admin center om überhaupt in/uit te kunnen schakelen. Lijkt mij dus niet dat deze rule ook in Defender voor gewone klanten zit ingebakken.
Hier is het ook gebeurd. Offline account, Defender die indd ASR settings in GPO had. Kan 't liggen aan Windows10 Pro ook geraakt is en Home dan niet?
Wel bizar. Ik betwijfel of home en pro echt verschil maken. Home heeft geen gpedit ingebouwd maar wel policies an sich. Hier overigens w11 pro (lokaal account) met de KB update, maar gelukkig nog geen issues, even afkloppen :)
Hier met Windows 10 Pro en Office Pro plus 2019 nergens last van.
Soms kan Microsoft het zelf ook wel eens bij het verkeerde eind hebben. Het Windows 11 start menu is sowieso een apart verhaal de laatste tijd. Search in het menu word ook steeds slechter…

Het zou me niks verbazen iig…

[Reactie gewijzigd door Laurens-R op 24 juli 2024 20:38]

Idem.
Toevallig gister een backup gemaakt, die nu teruggezet en krijg dan de AV-update waar die fout niet in zit. Alles weer goed nu.
Er is een nieuwe defender update vrijgegeven door MS, hierin is dit issue opgelost.

De bug zat in Signature Version: 1.381.2140.0
Beschikbaar is nu 1.381.2152.0.

Alle gebruikers hier zijn wel veel van iconen kwijt in het start menu. Collega's druk aan het scripten om het e.a.a weer terug te zetten.

[Reactie gewijzigd door IkWilbert op 24 juli 2024 20:38]

Hier net nog een gebruiker aan de lijn gehad die 1.381.2152.0 had als versie.
Toch kon ik nog geen items pinnen

lnk file extensie toegevoegd aan de AV exclusions en dan werkt het weer wel
Zolang je maar niet vergeet dat soort exclusions terug weg te halen achteraf.
Wat is er nu precies verholpen met die update? Microsoft claimt terugdraaien en weer tonen en kunnen gebruiken.

Opgelost heeft voor mij de betekenis dat niet alleen de oorzaak verholpen is maar ook het gevolg ongedaan is gemaakt. Terugdraaien zoals Microsoft het noemt lijkt op dit moment nogal vaag en alleen maar verantwoordelijkheid nemen voor de oorzaak, niet de gevolgen die ze massaal veroorzaakt hebben. Als ze alleen de bug verhelpen dan vallen ze met hun beweringen niet serieus te nemen.

[Reactie gewijzigd door kodak op 24 juli 2024 20:38]

Een dan vraag ik mij af: Hoe kan een update van Defender zorgen voor het verwijderen van app's op de taakbalk? Dan moet je toch iets heel fout doen tijdens het programmeren?
Ligt wat complexer en is gerelateerd aan een enterprise feature voor het beperken van veiligheidsrisico's. Daar kun je een shitload aan bepaalde regels activeren. Screenshot geef je misschien een beetje een idee: https://i.imgur.com/97odZA1.png.

Is zeker wat fout gegaan :) Maar het is niet zodanig onlogisch zoals een jpg file openen ineens je snelkoppelingen verwijdert :P Dit gaat daadwerkelijk om een feature die dingen blokkeert/verwijdert, maar is waarschijnlijk iets te streng (of juist niet) afgesteld geweest en niet goed getest.
Wanneer beveiligingssoftware fouten maakt krijg je vaak heel vreemde resultaten. In het verleden hebben we bijv. al gezien dat virusscanners systeembestanden in quarantaine gingen zetten waarna het OS niet meer ging opstarten of waarbij hele folders gewoon werden leeggemaakt.

Ook hier is de fout terug te vinden in het gebruik van een verkeerde definitie voor een stukje beveiligingssoftware. 1 van de grote problemen met beveiligingssoftware is dat je geen weken kunt testen om zeker te zijn dat je geen bugs over het hoofd ziet. Als er een nieuwe vorm van aanval gedetecteerd wordt, moet je die zo snel mogelijk tegen houden.
Klopt zo heb ik een keer gehad dat Defender besloot dat een .vmdk bestand in quarantaine moest, waardoor ik vervolgens een blauwscherm in de draaiende VM kreeg 8)7
Niet alleen in het startmenu en de taakbalk, maar ook op het bureaublad.
Ja hele bureaubladen zijn soms volledig verdwenen en ontdaan van hun snelkoppelingsicoontjes.
Zo, in een klap heeft iedereen een "clean desk".... Nee?
Ja, dat wel. Vooral bij mensen waar van je zou denken "ruim die desktop eens op joh..". ;)
Iemand al een degelijke remediation script gevonden?
Ik wil komende maandag zo veel mogelijk de helpdesk ontlasten.

Nu ben ik zelf maar even de paths die ik vind uit de kusto query aan het toevoegen aan het ps script, is een beetje tedious.
AddShortcutsV1.ps1

Werkt prima maar zal lang niet alle shortcuts opnieuw aanmaken, wel de meest belangrijkste appplicaties.
Leuke vrijdag de 13e voor heel veel servicedesk medewerkers.
Ik wil het hier echt niet over hebben met 2 man servicedesk en 1000+ laptops...
Hier ook t hele bedrijf in paniek.
De technische mensen lossen t wel op, tis nu voornamelijk een gigantische hoeveelheid werk voor support om de 'wat oudere' collega's uit de brand te helpen zo vlak voor t weekend.

Top dit Microsoft... zucht.
Ook na een update een update van defender definities was een reboot noodzakelijk.
Iconen werken niet vanzelf terug, repinnen is nodig.
Bijna m'n hele quicklaunch is ook leeg :'(

Op dit item kan niet meer gereageerd worden.