KB2267602防御者更新删除快捷方式和ASR问题

安装最新的卫士更新KB2267602后,一些用户无法使用开始菜单和任务栏上的应用程序快捷方式。微软已承认此问题,并记录了事故记录(MO497128),并正在努力修复。

在设备上安装KB2267602版本1.381.2140.0后,开始菜单和任务栏上的应用程序快捷方式将自动删除。由于攻击面减少规则,来自多个客户的报告受到此影响。许多用户在推特和其他社交平台上报告了这些问题。

微软发布了一个新的事件MO497128确认KB2267602 Defender更新确实会导致用户访问开始菜单和任务栏上的应用程序快捷方式出现问题。

PatchMyPC HorizontalAD
修补我的电脑赞助广告
KB2267602卫士更新
KB2267602卫士更新

跟踪MO497128事件

如果你已经在你的设备上安装了KB2267602更新,并且遇到了这些问题,这里有一些与MO497128事件相关的更新:

  • 微软的第一反应我们正在审阅客户报告数据,以确定下一步的故障排除步骤。
  • 微软的第二次回应:我们正在调查Microsoft Defender服务的最近更改,以确定潜在的根本原因并制定缓解计划。
  • 微软的第三次回应:我们已经确定了一个特定的规则导致了影响。在我们进一步调查的同时,我们已经恢复了规则,以防止进一步的影响。此快速更新旨在提供关于此问题的最新信息。
  • 微软的第四个回应:我们恢复了违规的ASR规则,但是,这个更改正在整个环境中传播,可能需要几个小时才能完成。我们建议您采取行动,将违规ASR规则置于审计模式,并防止进一步的影响,直到更新完成部署

要跟踪此问题,您可以访问Microsoft 365管理中心运行状况仪表板并选择服务运行状况。选择服务- - - - - -微软365套件在这里你可以追踪到关于这个问题的所有细节。如果您希望获得有关MO497128,您可以选择自定义和配置邮件。

跟踪MO497128事件
跟踪MO497128事件

KB2267602防御者更新影响ASR规则

KB2267602更新导致ASR (攻击面减少)规则来阻止来自Office Macro的Win32 API调用,甚至阻止应用程序,如OfficeClickToRun

请注意,ASR正在阻止在浏览器(explorer .exe)、office单击以运行、RuntimeBroker.exe等设备上执行应用程序。

KB2267602防御者更新影响ASR规则
版权所有:James Robinson。来源:推特

KB2267602工作区-修改ASR规则

如果你是使用Intune部署防御更新,如果规则是从任务栏中删除快捷方式并阻止应用程序,这里有一个变通方法。你所需要做的就是编辑ASR规则配置设置,更改设置阻止来自Office宏的Win32 API调用.如果你设置为审计它可能不像用户报告的那样工作。

请注意微软正在处理这个问题,很快就会解决。在此之前,您可以尝试上面提到的解决方法。如果上面的方法对你不起作用,请在评论区告诉我。

解决方案1 -通过应用程序启动器启动办公应用程序

微软为安装KB2267602 Defender更新后遇到问题的用户建议了以下解决方案。

在我们调查潜在问题的同时,用户可以通过Office应用程序或Microsoft 365应用程序启动器直接启动Office应用程序。关于微软365应用程序启动器的更多细节可以在https://support.microsoft.com/en-us/office/meet-the-microsoft-365-app-launcher-79f12104-6fed-442f-96a0-eb089a3f476a

解决方法2:配置ASR规则为审计模式

以下是微软推荐的使用Intune管理防御器更新的解决方案。

我们建议您将ASR规则设置为审计模式,以避免进一步的影响。这可以通过以下选项来完成:

  • 使用Powershell: Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions审计模式
  • 使用Intune: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-attack-surface-reduction?view=o365-worldwide mem
  • 使用组策略: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-attack-surface-reduction?view=o365-worldwide组策略
  • 注意ASR规则“阻塞来自Office宏的Win32 API调用”ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
配置ASR规则为“审计模式”
配置ASR规则为“审计模式”

您也可以将规则设置为禁用模式。在这种情况下,请考虑使用以下PowerShell命令:

Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions禁用
KB2267602解决方案
KB2267602解决方案

留下回复

你的电邮地址将不会公布。必填字段已标记

一个评论

  1. 《阿凡达》的照片 蒂姆·米尔斯 说:

    Office的快捷方式可以通过从程序和功能中执行快速修复选项来恢复。