Microsoft y la comunidad intentan aliviar el lío de Defender ASR • The Register

Los técnicos temen lo peor en sus esfuerzos por recuperarse de la implementación de Defender para Endpoint cargada de errores antes del fin de semana después de que las actualizaciones eliminaron los íconos y los accesos directos de las aplicaciones del escritorio, la bandeja y el menú Inicio y Tareas de Windows 11 y 10.

La actualización enviada a los usuarios en la mañana del 13 de enero provocó pesadillas para los administradores de windowsobligando a Microsoft a emitir consultas de búsqueda avanzada y un script de PowerShell al día siguiente en un esfuerzo por ayudar a localizar y recuperar aplicaciones.

En una publicación en su foro Tech Community el 14 de enero, microsoft dijo:

«Los clientes de Windows Security y Microsoft Defender para Endpoint pueden haber encontrado una serie de detecciones de falsos positivos para la regla de Resolución de superficie de ataque (ASR) ‘Bloquear llamadas API Win32 de Office Macro’ después de actualizar a las versiones de inteligencia de seguridad entre 1.381.2134.0 y 1.381.2163.0 Estas detecciones dieron como resultado la eliminación de archivos correspondientes a la lógica de detección incorrecta, lo que afectó principalmente a los archivos de acceso directo de Windows (.lnk)».

Hay miles de administradores en todo el mundo que ahora necesitan reparar sus entornos, lo que tiene un gran impacto en la productividad.

Actualmente, Microsoft recomienda a los clientes que actualicen a 1.381.2164.0 (la última versión actualizada de Security Intelligence) o posterior. Esto significa que el modo de bloqueo se puede habilitar de forma segura, pero lo que es más importante, no restaurar archivos borrados.

Aquellos que no han habilitado la opción «Bloquear la llamada a la API de Win32 desde la macro de Office» o no han actualizado las versiones 1.381.2134.0, 1.381.2140.0, 1.381.2152 y 1.381.2163.0 no se vieron afectados por el lío. Las fuentes nos dicen que Microsoft detuvo la actualización antes de que llegara a los usuarios de América del Norte.

«Microsoft ha confirmado los pasos que los clientes pueden tomar para recrear los enlaces del menú de inicio para un subconjunto significativo de aplicaciones afectadas que se han eliminado. Estos se han consolidado en el script de PowerShell a continuación para ayudar a los administradores. empresas a tomar medidas de recuperación en su entorno», dijo Windows. dijo el gigante.

La versión 1.1 del script está disponible aquíy las instrucciones para implementar el script usando Microsoft InTune son aquí.

profesionales de TI registro habló bajo condición de anonimato y nos dijo que Microsoft metió la pata como un rey aquí y uno dijo que proporcionar guiones era como «mear en el viento». La versión 1 del script tiene unas 20 aplicaciones y la versión 1.1 tiene más de 30.

«La gran mayoría de los atajos de aplicaciones que usa la gente no están allí. No veo cómo Microsoft puede recuperarse, es una eliminación permanente. Están bien con este».

En el foro de la comunidad tecnológica de Microsoft, un administrador dijo: «Sospecho que estos enlaces se han perdido indefinidamente y nosotros, los administradores, vamos a tener que recuperar el menú de estrellas, y los usuarios tendrán que controlar manualmente todas las Tareas de acceso directo de la barra de acceso directo y el Inicio rápido.

«¿Quién diablos lanzó esta actualización sin verificar su impacto? Hay miles de administradores en todo el mundo que ahora necesitan reparar sus entornos, lo que tiene un gran impacto en la productividad».

Otro comentarista del foro. me ha dicho dudaron que el AHQ fuera suficiente. “En nuestro caso, se eliminaron cientos de enlaces de Office, pero solo aparecieron 16 en la búsqueda avanzada… ¿Cómo puedo encontrar todo lo que estaba bloqueado (y [by] ¿Bloqueado quiero decir eliminado?)»

Otros piden créditos o algún tipo de compensación para pagar «la enorme carga de TI para arreglarlo» manualmente y algunos han pedido una función de reversión para Defender.

«Me comeré el sombrero si Microsoft tiene una solución», dijo un administrador de Windows asediado El registro.

Le pedimos a Microsoft un comentario el viernes y aún no ha respondido con una declaración. ®