突然之间,Windows Defender 从我们的 Windows 10 和 11 计算机中删除了大量快捷方式(.lnk 文件)。数十台计算机受到影响。
桌面文件夹和任务栏中的快捷方式都消失了 - 大多数快捷方式在用户双击图标时立即消失。据推测该问题涉及整个机器,只是大多数快捷方式都位于这些位置。
但是,某些快捷方式不受影响,而其他已被删除的快捷方式可以重新创建,并且可能无法被删除。
很奇怪!!
答案1
因为它是有故障……
[简短回答这个问题“为什么 Windows Defender 今天(2023 年 1 月 13 日)开始删除快捷方式?“]
此问题已在安全情报更新版本 1.381.2164.0 中得到解决。安装安全情报更新版本 1.381.2164.0 或更高版本应可避免此问题,但不会恢复之前删除的快捷方式。您需要通过其他方法重新创建或恢复这些快捷方式。有关更多信息,请参阅从攻击面减少规则快捷方式删除中恢复。
注意
受影响的设备有已启用攻击面减少 (ASR) 规则“阻止来自 Office 宏的 Win32 API 调用”。安装安全智能版本 1.381.2140.0 后,检测导致删除与错误检测模式匹配的某些 Windows 快捷方式 (.lnk) 文件。
如何解决/避免问题
- 未安装安全情报更新版本1.381。2140.0. (为了防止)
- 安装安全情报更新版本 1.381.2164.0 或更高版本。(解决)
- 将 ASR 规则更改为审计模式(这可能有助于预防)。
答案2
禁用(关闭)ASR 规则“阻止来自 Office 宏的 Win32 API 调用”。
我们的设置为警告,所以您不会期望它删除或阻止对文件的访问,但它还是这样做了!
我不知道与 Win32 API 调用或 Office 宏的链接是什么,但在禁用此规则并在 4 台 PC(Windows 10 和 11)上同步设置后,问题立即得到解决。
答案3
Microsoft 还在 Microsoft 365 管理中心将问题跟踪为“MO497128:某些用户无法使用“开始”菜单和任务栏上的应用程序快捷方式“。
如果工作站上尚未设置 Defender 更新定义的延迟分发,则似乎也可以。如果有选项 (MDM/MECM/GPO),请禁用特定的 ASR 规则。
答案4
我们也是,我们推出了这个
set-mppreference -DisableRealtimeMonitoring $true
作为一个非常临时的解决办法。