Microsoft e a comunidade lançam scripts para ajudar a mitigar a bagunça do Defender

Microsoft e a comunidade lançam scripts para ajudar a mitigar a bagunça do Defender
Imagem: Reprodução | Bleeping Computer

Os técnicos estão preocupados e temem o pior em relação ao Defender for Endpoint, carregado de bugs, da Microsoft. Isso depois que as atualizações removeram ícones e atalhos de aplicativos da área de trabalho do Windows 11 e 10, barra de tarefas e menu Iniciar. Portanto, a Microsoft e a comunidade lançam scripts para ajudar a mitigar a bagunça do Defender.

A atualização enviada aos usuários em 13 de janeiro causou pesadelos para os administradores do Windows, forçando a Microsoft a emitir Advanced Hunting Queries e um script PowerShell no dia seguinte em uma tentativa de ajudar a localizar e recuperar aplicativos.

Em um post em seu fórum Tech Community em 14 de janeiro, a Microsoft disse:

“Os clientes do Windows Security e do Microsoft Defender para Endpoint podem ter experimentado uma série de detecções de falsos positivos para a regra de Resolução de Superfície de Ataque (ASR) ‘Bloquear chamadas de API Win32 da macro do Office’ após a atualização para compilações de inteligência de segurança entre 1.381.2134.0 e 1.381.2163.0 Essas detecções resultaram na exclusão de arquivos que correspondiam à lógica de detecção incorreta, afetando principalmente os arquivos de atalho (.lnk) do Windows.”

Atualmente, a Microsoft está aconselhando os clientes a atualizar para 1.381.2164.0 (a compilação de inteligência de segurança atualizada mais recente) ou posterior. Isso significa que o modo de bloqueio pode ser ativado com segurança, no entanto, crucialmente, isso não restaurará os arquivos excluídos.

Microsoft e a comunidade lançam scripts para ajudar a mitigar a bagunça do Defender

Aqueles que não tinham o “Block Win32 API call from Office macro” ativado no modo de bloqueio ou não atualizaram para as compilações 1.381.2134.0, 1.381.2140.0, 1.381.2152 e 1.381.2163.0 não foram atingidos pela bagunça . Fontes nos disseram que a Microsoft interrompeu a atualização antes de chegar aos usuários na América do Norte.

“A Microsoft confirmou as etapas que os clientes podem seguir para recriar os links do menu Iniciar para um subconjunto significativo dos aplicativos afetados que foram excluídos. Eles foram consolidados no script PowerShell abaixo para ajudar os administradores corporativos a realizar ações de recuperação em seu ambiente”, disse o Windows gigante.

A versão 1.1 do script está disponível aqui, e as instruções para implantar o script usando o Microsoft InTune estão aqui.

Microsoft e a comunidade lançam scripts para ajudar a mitigar a bagunça do Defender
Microsoft e a comunidade lançam scripts para ajudar a mitigar a bagunça do Defender.

Os profissionais de TI disseram que a Microsoft havia estragado tudo. A versão 1 do script tem cerca de 20 aplicativos e a versão 1.1 tem mais de 30.

“A grande maioria dos atalhos de aplicativos que as pessoas usam não está lá. Não consigo ver uma maneira de a Microsoft recuperar, esta é uma exclusão permanente. Eles se saíram bem com este.”

No fórum Tech Community da Microsoft, um administrador disse:

“Suspeito que esses links foram perdidos indefinidamente e nós, administradores, teremos que recuperar o Menu Estrela, e os usuários terão que controlar manualmente todos os atalhos da barra de tarefas e do Quick Launch.

“Quem diabos lançou essa atualização sem verificar o impacto? Existem milhares de administradores em todo o mundo tendo que reparar seus ambientes, o que está causando um grande impacto na produtividade.”

Outro participante no fórum disse que duvidava que o AHQ fosse suficiente. “No nosso caso, centenas de links do Office foram excluídos, mas apenas 16 foram exibidos na busca avançada… Como posso encontrar tudo o que foi bloqueado (e [ por ] bloqueado quero dizer excluído?)”

Outros pedem créditos ou algum tipo de compensação para pagar o “enorme fardo da TI para corrigi-lo” manualmente e alguns pediram um recurso de reversão para o Defender.

A Microsoft não comentou as críticas, nem lançou uma solução definitiva.

Acesse a versão completa
Sair da versão mobile