Einleitung
Freitag der 13. ist gemeinhin als Unglückstag bekannt – am Freitag, den 13.01.2023 hat ein Update mit ASR Fehlfunktion dafür gesorgt, dass dieser Tag seinem Ruf gerecht wird. Die Version 1.381.2140.0 des Defender Security Updates enthielt einen Fehler, der dafür sorgte, dass die Attack Surface Reduction (ASR) Komponente des Microsoft Defender auf unzähligen Windows Clients weltweit Verknüpfungen (.lnk) löschte oder unbrauchbar machte. Microsoft hat dieses Problem relativ schnell auf seinem Twitter Kanal bestätigt. Die Resonanz der Admins weltweit reichte von Schadenfreude bis hin zu Entsetzen und vielen Kommentaren in die Richtung Qualitätssicherung. Im Endeffekt hatte dieses fehlerhafte Update dann zur Folge, dass Startmenüs und Taskleisten oft so oder so ähnlich aussehen:
Auch die Protection History bestätigt dies und gibt ASR als Quelle an:
Schnell machte sich in den sozialen Medien auch der Hashtah #ASRmageddon breit. Der offizielle Workaround war, die oben beschriebene Funktion Block Win32 API calls from Office macro auf Audit zu stellen und die Synchronisation der Intune gemanageten Geräte zu erzwingen – in der Hoffnung, dass man selbst verschont bleibt. Trotzdem waren viele Millionen Geräte betroffen. Nun bleibt die Frage, wie man die fehlenden Verknüpfungen auf allen seinen Firmengeräten wiederherstellen kann.
Allgemeingültig
Die ASR Fehlfunktion ist mittlerweile behoben, also sollten alle Geräte unverzüglich zum Update des Defender gezwungen werden. Dies kann man zum Beispiel über Intune machen.
Wie stark ist mein Unternehmen betroffen?
Über die Advanced Hunting Funktionalität im Defender Portal kann man dies auswerten – Microsoft hat ein Query zur Verfügung gestellt. Das erste Query identifiziert alle Geräte, die die von der Regel betroffen sind, da die Regel im „Block“-Modus läuft:
DeviceEvents
| where Timestamp > datetime(2023-01-14)
| where ActionType contains "AsrOfficeMacroWin32ApiCallsBlocked"
| extend JSON = parse_json(AdditionalFields)
| extend isAudit = tostring(JSON.IsAudit)
| where isAudit == "false"
| summarize by Timestamp, DeviceId, FileName, FolderPath, ActionType, AdditionalFields, isAudit
| sort by Timestamp ascEs gibt allerdings keine Möglichkeit granular die Links zu identifizieren, die durch AsR zerstört wurden – zumindest fehlt hierzu jegliche Information seitens Microsoft.
Option 1a – Der scriptbasierte Lösungsansatz von Microsoft
Microsoft hat auf seinem Twitter Account einen Workaround veröffentlicht. Dieser ist unter der Adresse https://aka.ms/asrfprecovery aufrufbar. Der Link führt auf einen Techcommunity Artikel. Hier stellt Microsoft ein PowerShell Script bereit, welches Unternehmen helfen soll, die Links automatisiert wiederherzustellen. Dieses Script stellt oft genutzte Links wieder her. Allerdings hat dieses Script mehrere Schwächen:
- es läuft nur „als Administrator“ – das darf nicht jeder Benutzer ausführen.
- es stellt nur stark verbreitete Links wieder her, wie Adobe Reader, Office Programme, notepad++ und so weiter. Andere, eigene Verknüpfungen nicht.
- Es stellt die Taskleistenverknüpfungen nicht wieder her.
Das Script ist also nur in gewissen Anwendungsfällen wirklich brauchbar.
Die Community war diesbezüglich schneller als Microsoft, bereits wenige Stunden nach Bekanntwerden der ASR Fehlfunktion tauchten im Netz Artikel wie dieser auf, welche einen sehr ähnlichen Quick-Fix Ansatz haben.
Option 1b – der manuelle Ansatz von Microsoft durch Installationsreparatur
Microsoft erklärt in obigem Artikel auch, dass die Reparaturfunktion der Installationsprogramme die Verknüpfungen ebenfalls wiederherstellen kann. Diese Option kann allerdings sehr aufwändig werden und ist nur zu empfehlen, wenn ein Client aufgrund der ASR Fehlfunktion sehr schnell händisch repariert werden muss.
Option 2 – Wiederherstellung via GPO oder Intune Policy
Sind die Links im Unternehmen standardisiert, können diese über GPO oder Intune Policy im gesamten Unternehmen wieder neu ausgerollt werden: Configure and customize Windows 11 taskbar – Configure Windows | Microsoft Learn. Dies hilft vielen zumindest für eine Teilmenge an Geräten, zum Beispiel wenn verschiedene Gerätekategorien im Einsatz sind, die standardisierte Layouts haben, welche die Benutzer nicht anpassen dürfen.
Option 3 – Windows Restore Point
Es gibt die Möglichkeit, Windows auf einen Restore Point zurückzusetzen, zum Beispiel auf einen Punkt am 12.01.2023, als alle Verknüpfungen noch funktional waren. Die Voraussetzung ist, dass ein solcher Restore Point existiert. Die Wiederherstellung erfordert manuelle Eingabe, kann aber automatisiert getriggert werden. Der manuelle Vorgang ist hier dokumentiert. Es gibt zahlreiche andere Blogartikel im Netz (wie diesen), welche das Vorgehen bebildert beschreiben.
Da Benutzerinteraktion erforderlich ist, ist diese Option als Lösung für die ASR Fehlfunktion ebenfalls nur für ausgewählte Benutzer- und Gerätegruppen machbar.
Option 4 – händische Wiederherstellung
Auch sehr aufwändig, aber leichter umsetzbar als die Windows Wiederherstellung ist die Erstellung der Links in den Ordnern. Alle Startmenüverknüpfungen für Windows 11 liegen im Ordner C:\ProgramData\Microsoft\Windows\Start Menu\Programs. Alle Taskleistenverknüpfungen für Windows 11 liegen im Ordner C:\Users\<USERNAME>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar.
Auch diese Variante als Antwort auf die ASR Fehlfunktion ist aufwändig, kann bei versierten Benutzern aber schnell zum Erfolg führen.
Option 5 – Restore aus Client Backup
Wer ein Client Backup im Einsatz hat, kann die Verknüpfungen aus dem Backup wiederherstellen. Hier sind wieder die beiden oben bereits erwähnten Ordner relevant:
- Startmenü: C:\ProgramData\Microsoft\Windows\Start Menu\Programs
- Taskleiste: C:\Users\<USERNAME>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\
Viele Backuplösungen ermöglichen Automatisierung. So gesehen ist aktuell die beste Möglichkeit für die Wiederherstellung der fehlenden Verknüpfungen, welche die ASR Fehlfunktion unbrauchbar gemacht oder gelöscht hat. Unsere Tests haben gezeigt, dass dies außerdem (neben dem System Restore) die stabilste Variante ist. Problematisch sind nur mehrere verlinkte Edge-Profile, alle anderen Verknüpfungen wurden tadellos wiederhergestellt. Da die Nutzung der Edge Profilen oft eher die Ausnahme ist, oder durch Administratoren genutzt wird, ist die Auswirkung nicht mehr so dramatisch wie bei anderen Lösungsansätzen.
Das Ergebnis unserer Tests ist, dass tatsächlich nur die Edge Profile fehlen und das Startmenü wieder komplett ist:
Alle wiederhergestellten Verknüpfungen waren nach dem Recovery voll funktional. Es blieben nur die Edge Profil Verknüpfungen. Diese mussten neu erstellt werden.
Fazit
Der Fauxpass des Defender am 13.01. hat eindrucksvoll gezeigt, dass ein Fehler bei einem Serviceprovider global negative Auswirklungen haben kann. Solche Fehler passieren glücklicherweise nicht sehr oft, aber sie passieren. Sehr häufig gehen Kunden davon aus, dass der Serviceprovider die Arbeit komplett abnimmt und auch alles wiederherstellen kann – das ist falsch, wie dieser Fall zeigt. Es gibt für eine ASR Fehlfunktion keinen Papierkorb, sonst wären die Verknüpfungen leicht wiederherstellbar. Jeder Kunde ist in der Pflicht, seine Daten selbst zu sichern, um diese wiederherstellen zu können.
Black Magic Cloud bietet hierfür die Lösungen von Acronis an, mit denen wir hier auch sehr gute Erfolge erzielen konnten, wie der Artikel weiter oben beschrieben hat. Möchten auch Sie Ihre Clients und / oder Cloudlösungen gegen versehentliche Löschungen absichern? Wir beraten Sie gerne hinsichtlich der Mächtigkeit der Acronis Lösung:
