因为它是有故障……

Question 1

^{[简短回答这个问题“为什么 Windows Defender 今天（2023 年 1 月 13 日）开始删除快捷方式？“]}

此问题已在安全情报更新版本 1.381.2164.0 中得到解决。安装安全情报更新版本 1.381.2164.0 或更高版本应可避免此问题，但不会恢复之前删除的快捷方式。您需要通过其他方法重新创建或恢复这些快捷方式。有关更多信息，请参阅从攻击面减少规则快捷方式删除中恢复。

注意

受影响的设备有已启用攻击面减少 (ASR) 规则“阻止来自 Office 宏的 Win32 API 调用”。安装安全智能版本 1.381.2140.0 后，检测导致删除与错误检测模式匹配的某些 Windows 快捷方式 (.lnk) 文件。

如何解决/避免问题

使用 Intune：启用攻击面减少规则 | Defender for Endpoint：Microsoft Endpoint Manager

使用组策略：启用攻击面减少规则 | Defender for Endpoint：组策略

Answer

^{[简短回答这个问题“为什么 Windows Defender 今天（2023 年 1 月 13 日）开始删除快捷方式？“]}

此问题已在安全情报更新版本 1.381.2164.0 中得到解决。安装安全情报更新版本 1.381.2164.0 或更高版本应可避免此问题，但不会恢复之前删除的快捷方式。您需要通过其他方法重新创建或恢复这些快捷方式。有关更多信息，请参阅从攻击面减少规则快捷方式删除中恢复。

注意

受影响的设备有已启用攻击面减少 (ASR) 规则“阻止来自 Office 宏的 Win32 API 调用”。安装安全智能版本 1.381.2140.0 后，检测导致删除与错误检测模式匹配的某些 Windows 快捷方式 (.lnk) 文件。

使用 Intune：启用攻击面减少规则 | Defender for Endpoint：Microsoft Endpoint Manager

使用组策略：启用攻击面减少规则 | Defender for Endpoint：组策略

Question 2

禁用（关闭）ASR 规则“阻止来自 Office 宏的 Win32 API 调用”。

我们的设置为警告，所以您不会期望它删除或阻止对文件的访问，但它还是这样做了！

我不知道与 Win32 API 调用或 Office 宏的链接是什么，但在禁用此规则并在 4 台 PC（Windows 10 和 11）上同步设置后，问题立即得到解决。

Answer

禁用（关闭）ASR 规则“阻止来自 Office 宏的 Win32 API 调用”。

我们的设置为警告，所以您不会期望它删除或阻止对文件的访问，但它还是这样做了！

我不知道与 Win32 API 调用或 Office 宏的链接是什么，但在禁用此规则并在 4 台 PC（Windows 10 和 11）上同步设置后，问题立即得到解决。

Question 3

如果工作站上尚未设置 Defender 更新定义的延迟分发，则似乎也可以。如果有选项 (MDM/MECM/GPO)，请禁用特定的 ASR 规则。

Answer

如果工作站上尚未设置 Defender 更新定义的延迟分发，则似乎也可以。如果有选项 (MDM/MECM/GPO)，请禁用特定的 ASR 规则。

Question 4

我们也是，我们推出了这个

set-mppreference -DisableRealtimeMonitoring $true

作为一个非常临时的解决办法。

Answer

我们也是，我们推出了这个

set-mppreference -DisableRealtimeMonitoring $true

作为一个非常临时的解决办法。