Desktop Verknüpfungen verschwinden einfach

[Wolf.J]

Und als das Problem auftrat, kam ich nicht auf die Idee, dass es mit der UI und den ASR zusammenhängen könnte.

Der entscheidende Hinweis kam von @MSFreak, danach war es nur noch eine Sache von Ursache und Wirkung.

 

[runit]

Als es mich ereilte, gab es den Thread noch nicht. Ich musste es halt für mich lösen, damit ich weiter am PC arbeiten konnte.

edit: Der Bitdefender ist noch aktiv.

Ich habe aber mal die UI deinstalliert, nachdem ich das Standardprofil eingestellt hatte.

Das sieht ja schonmal vielversprechend aus.

edit: nun arbeitet wieder der Defender und es gibt keine Probleme mehr.

 

[FritzM]

Ich wundere mich ein wenig, da setzt man eine UI von Voodooshield (ein Antivieren Anbieter) ein, dass die Einstellungen von Defender optimieren soll? Wenn dann Probleme auftreten, ist Defender und MS daran schuld?
Fritz

 

[Robbie]

Naja, das Problem liegt aber definitiv bei MS. Hätte im Normalfall aber eben nur Firmen betroffen und nicht Privatanwender.

Die Privatanwender betraf es jetzt lediglich, weil sie Defender Ui eingesetzt haben und darüber bestimmte Einstellungen gesetzt wurden.

Von daher dürfte es demnach aber nur einen sehr geringen Anteil an privaten PC betroffen haben.

Ich hatte übrigens einen Artikel bereits bei Cashy gelesen als @Lemmi1de sein Problem hier beschrieben hatte. Bin nur nicht auf die Idee gekommen, das es damit zusammen hängen könnte, weil dort ausschließlich auf Firmen hingewiesen wurde. Und da ich Defender Ui nicht nutze.......

Von daher war es schön, dass @MSFreak das hier verlinkt hat.

 

[Lemmi1de]

Theoretisch kann man die Defender UI wieder nutzen denke ich sobald MS es gefixt hat und das wird relativ schnell der Fall sein. Es geht hier ja um Geschäftskunden, die man nicht vergraulen will.

Weil was man da relativ einfach aktivieren kann ist schon nicht verkehrt. Allein der E-Mail Schutz hat was für sich.

Das kann man zwar etwas kompliziert in den Systemrichtlinien einstellen, aber so war es einfacher. Deswegen hatte ich es ja genutzt.

Beitrag automatisch zusammengeführt: 14.01.2023

Gleiche Methode hat beim Laptop meiner Frau wunderbar funktioniert. Nun gleich mal mit Aomei Backupper eine Imagesicherung vom kompletten System machen und alles ist wieder gut.

 

[Wolf.J]

Nach Installation und Ausführug von Defender UI auf einem Testrechner habe ich die ASR Rules bearbeitet.

Die Abfrage ergab Get-MpPreference in Powershell mit Administratorberechtigung ergab

PS C:\Windows\system32> Get-MpPreference

AttackSurfaceReductionOnlyExclusions :
AttackSurfaceReductionRules_Actions : {6, 6, 6, 6...}
AttackSurfaceReductionRules_Ids : {01443614-cd74-433a-b99e-2ecdc07bfc25,
26190899-1602-49e8-8b27-eb1d0a1ce869,
3b576869-a4ec-4529-8536-b80a7769e899,
56a863a9-875e-4185-98a7-b882c64b5ce5...}

Eine andere Darstellung habe ich unten noch ergänzt.

Damit wurden die Einträge erzeugt, die zu den beschriebenen Problemen führen.

Der einfachste Weg ist wohl, mit Defender UI den Default-Zustand wiederherzustellen.
Wer das nicht will oder kann, sollte so vorgehen.

Löschen der Einträge in einer Powershell mit Administratorberechtigung.
In dem Textfenster oben ist zu sehen, dass vier IDs angezeigt werden. die Punkte dahinter bedeuten leider, dass noch mehr existiert.

Man kann jetzt hergehen, und die IDs Zeile für Zeile bearbeiten, das sieht dann so aus.
Mit Get-MpPreference die Liste erzeugen und AttackSurfaceReductionRules_Ids suchen

Remove-MpPreference -AttackSurfaceReductionRules_Ids d3e037e1-3eb8-44c8-a917-57927947596d

Zweite Variante ist, die angezeigten IDs in einem Block zu kopieren, dann muss man allerdings noch Leerzeichen und "..." entfernen, das Ergebnis sieht dann so aus

Remove-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c

Danach die Liste mit Get-MpPreference neu erzeugen.
Das so lange wiederholen, bis AttackSurfaceReductionRules_Ids leer ist. Die AttackSurfaceReductionRules_Actions werden erwartungsgemäß mit gelöscht.
Danach bitte Defender UI nicht mehr benutzen, bis das Problem von Microsoft gelöst wurde.

Natürlich hätte man jetzt auch Zeit investieren und ein Script bauen können können, das dies automatisiert, aber da war mir der Aufwand für ein temporäres Problem zu hoch, gäbe es nicht die Möglichkeit das Resets über Defender UI, hätte ich das noch im Betracht gezogen.

Ergänzung nach Testabschluss:
Eine andere Darstellung erhält man mit folgendem verketteten Befehl

Get-MpPreference | select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Oder wenn nur die IDs benötigt werden

 Get-MpPreference | select AttackSurfaceReductionRules_Ids

Damit erhält man eine Tabelle, die aber nur AttackSurfaceReductionRules enthält.
Das sollte die Überprüfung und das Kopieren eines Blocks erleichtern.

 

[Lemmi1de]

Ich denke am einfachsten ist es, wenn man alles mit der DefenderUI zurück setzt, was ich ja gemacht habe.

Es wäre natürlich interessant zu erfahren, ob und wann MS das Problem gelöst hat.

Da es offiziell nur recht kompliziert geht was am Defender anzupassen ist die Defender UI eigentlich immer noch ein gutes Werkzeug finde ich. Auch wenn dies durch einen Fehler von MS mir einen arbeitsintensiven Tag gebracht hat. Wäre echt prima, wenn es eine besser Oberfläche vom Defender mal gibt, wo man es anpassen kann. Wobei es kostenpflichtig glaub ich sowas bereits gibt ...

Beitrag automatisch zusammengeführt: 14.01.2023

Hab gerade eine Alternative zu der DefenderUI bei Chip.de gefunden. Nennt sich Configure Defender und laut Beschreibung kann man hier auch aktiv die ATTACK Surface Reduction (ASR) aktivieren oder weg lassen.

Kennt einer das schon, bzw. lieber Finger weg von solchen Sachen? Ich fände es praktisch, wenn man durch sowas alles einfacher und übersichtlicher einstellen zu können.

https://www.chip.de/news/Configure-Defender-Windows-Antivirus-optimieren_151687905.html

oder

GitHub - AndyFul/ConfigureDefender: Utility for configuring Windows 10 built-in Defender antivirus settings.

 

[Wolf.J]

Wäre echt prima, wenn es eine besser Oberfläche vom Defender mal gibt, wo man es anpassen kann.

Die gibt es ja tatsächlich, für die Administratoren für Firmennetzwerke.
Microsoft Intune und andere Admintools.
Aber bedenke dabei, das sind Werkzeuge für Profis, deren Job ist es, sich nur darum zu kümmern.
Und jetzt mal Hand aufs Herz, gewisse Einstellungen im Defender hättest Du nie gemacht, wenn die UI es Dir nicht so leicht gemacht hätte.
Umkehrschluss daraus, diesen Thread hättest Du gar nicht erstellen müssen, Du hättest schlicht von dem Fehler, den MS hier gemacht hat, gar nichts gemerkt.
Oder warst Du Dir über jede Auswirkung vorher im Klaren?
Ich könnte das von mir nicht behaupten, vieles habe ich auch erst jetzt durch die Analyse des Problems erfahren.

Beitrag automatisch zusammengeführt: 14.01.2023

Ich denke am einfachsten ist es, wenn man alles mit der DefenderUI zurück setzt, was ich ja gemacht habe.

Ich hatte ja bereits angefangen mir Gedanken zu machen, bevor es klar wurde, das es mit der UI geht, das habe ich oben ja auch geschrieben.
Aber dann wollte ich eben auch wissen, dass es anders gehen muss und wie. Es reicht mir eben nicht, zu wissen wo man klicken muss, sondern ich will wissen, was im Hintergrund passiert.

 

[Lemmi1de]

Du hast definitiv recht. Man wollte halt die Sicherheit maximieren ...

Grund für die Defender UI waren eigentlich die Aktivierung von so Kleinigkeiten wie EMail Scan und automatische Überprüfung von heruntergeladenen Dateien. Ransomwareschutz wäre da auch noch so ein Ding. Aber da wird es dann schon problematisch.

So eine Oberfläche fehlt halt irgendwie finde ich.

Man entscheidet sich dann sehr gern für vordefinierte Profile ...

War halt an eine Oberfläche gewöhnt, wo man alles relativ simpel einstellen konnte. Hatte vorher Kaspersky, aber man nimmt dann auch wieder vordefinierte Profile aus Bequemlichkeit ...

Aber stimmt, wenn es nicht über die Oberfläche so leicht möglich gemacht werden würde, dann hätte ich die Finger weg gelassen, aber wahrscheinlich hätte ich irgendwann das Schutzprogramm verändert, bzw. mir ein anderes installiert, weil ich nicht sicher war, was es nun genau macht ...

Sind halt paar Sachen, die man gerne hätte und die nicht vorhanden sind, bzw. an die man nicht ohne Probleme kommt. EMail Scan oder so ...

 

[Wolf.J]

Da hast ja auch noch ergänzt.
Zu ASR im Defender UI.
Die kannst Du alle einzeln ausschalten.
Musst nur auf der Seite ASR einzeln durchgehen und aus aus setzen.
Und nein, das verlinkte Tool kenne ich nicht und werde es zum jetzigen Zeitpunkt auch nicht testen.
Das kann man immer noch machen, wenn MS den Fix verteilt hat.

 

[Lemmi1de]

Weißt du wo man die Info über den Fix her bekommt? Wann er halt online geht ...

Beitrag automatisch zusammengeführt: 14.01.2023

Ich hab nur aktuell gelesen, dass MS ein paar Stunden dazu braucht und das Fix sogar die gelöschten Verknüpfungen wieder herstellen soll.

Wann es kommt steht noch nirgends. Wie lange ein paar Stunden für MS sind ist auch nicht sicher

 

[Sabine]

Wann es kommt steht noch nirgends. Wie lange ein paar Stunden für MS sind ist auch nicht sicher

Im verlinkten Artikel von deskmodder.de habe ich folgendes gefunden:

• [Update 14.01.23]: Dieses Problem wurde mit dem Security Update 1.381.2164.0 behoben. Die Installation von Build 1.381.2164.0 oder höher sollte das Problem verhindern, stellt aber zuvor gelöschte Verknüpfungen nicht wieder her. Siehe auch hier.
  • Hinweis: Auf den betroffenen Geräten ist die ASR-Regel (Atack Surface Reduction) „Win32-API-Aufrufe von Office-Makros blockieren“ aktiviert. Diese Geräte waren davon betroffen.

Ich habe inzwischen das Defender Security-Update 1.381.2191.0 auf dem Win 11-Laptop. Vorher ohne Netzwerkanbindung den Laptop gestartet, Defender UI auf "Standard Profil" zurückgesetzt (vorher waren alle ASR-regeln aktiviert, das wäre voll in die Hose gegangen!) und Defender UI gelöscht. Neustart, Netzwerkverbindung hergestellt, alles okay.

Ab sofort bleibe ich bei Windows-Bordmitteln. Asche auf mein Haupt, das propagieren wir im Forum ständig.

 

[Wolf.J]

Der Vollständigkeit geschuldet:
Microsoft hat ein Powershell-Script zur Verfügung gestellt, dieses soll die Verknüpfungen wiederherstellen.
Ich habe mir die Liste der enthaltenen Programme angesehen, da sind die meisten gängigen Sachen enthalten.

Bitte daran denken, das Script als Administrator in einer Powershell ausführen.
Für mich unverständlich, als Standard ist unter Powershell die Scriptausführung deaktiviert, unter cmd.exe aber nicht.
Ausführliche Beschreibung bei Heise:
Windows: Powershell-Skript ausführen

Und der Link selbst
MDE-PowerBI-Templates/AddShortcuts.ps1 at master · microsoft/MDE-PowerBI-Templates

 

[dau0815]

Für mich unverständlich, als Standard ist unter Powershell die Scriptausführung deaktiviert, unter cmd.exe aber nicht.

Das könnte daran liegen, dass die Powershell um ein vielfaches mächtiger ist, als die "gute, alte" Eingabeaufforderung mit seinen Batch-Dateien.

 

[Wolf.J]

Ist zwar Off Topic,
aber mit beiden mache ich eine Installation mit ein paar Befehlen platt.
Und wer damit arbeiten will, wird die Scriptausführung nicht wieder deaktivieren.
Aber beugen wir uns dem weisen Beschluss von Microsoft.

 

[Lemmi1de]

Ich hab nachdem alles gefixed scheint wieder die Defender UI am laufen. Einfach aus dem Grund, weil man da ein paar Sachen doch besser aktivieren kann und den Schutz der Endpoint Version bei der normalen Version einschalten kann.

Fühle mich aber nach dem ganzen was passiert ist nicht unbedingt sicherer mit dem Defender. Aber dazu mach ich mal was neues auf im Windows 11 Bereich, da ich ja jetzt auf Windows 11 bin und wahrscheinlich bleibe.

MS Defender wirklich sicher?