パスワードを忘れた? アカウント作成
16470374 story
Windows

Microsoft Defender、誤動作でスタートメニューなどからショートカットを削除 31

ストーリー by headless
削除 部門より
あるAnonymous Coward 曰く、

Windows 10 / 11 の Microsoft Defender で利用可能な Attack Surface Reduction (攻撃面の縮小: ASR) ルールのうち、「Office マクロからの Win32 API 呼び出しをブロックする」の誤爆によりタスクバーやスタートメニューのショートカットが誤って削除されてしまう事象が発生した。この事象が発生すると、タスクバー等のショートカットが削除され、Windowsセキュリティが「操作がブロックされました」という通知を表示する。Microsoftは既にこの件を把握しており、解決に努めているようだ。

この問題は該当ルールを監査モードに設定することで対処することが可能だ。
# タレコミ子の私物と会社の PC でも発生しており、このタレコミを書いている最中も誤爆していてとても鬱陶しい。

影響を受けるのは Windows 10バージョン 20H2 / 21H2 / 22H2 と Windows 10 Enterprise 2015 LTSB / LTSC 2016 / LTSC 2019、Windows 11 バージョン 21H2 / 22H2。セキュリティインテリジェンスビルド1.381.2140.0で発生し、ビルド 1.381.2164.0 で修正された。ビルド 1.381.2164.0 以降をインストールすることで問題は発生しなくなるが、削除されたショートカットは復元されない (Microsoft Learn の記事)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年01月15日 19時07分 (#4394637)

    Declare Functionなんて普通に使われてると思うけど…、月曜の職場は阿鼻叫喚ってこと?

    何年か前にあった、「空の配列は全てエラー」 [security.srad.jp]の時は大変だったな。

    • by Anonymous Coward

      MDMで管理者が別途設定しないと有効にならないから安心していいよ。
      Declare Function呼ぶマクロ使わないか、署名出来るような組織向け。

    • by Anonymous Coward

      すべての Office アプリケーションが子プロセスを作成できないようにブロックする
      https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endp... [microsoft.com]

      これも、win32関係なくShell命令なんてよく使

  • by Anonymous Coward on 2023年01月16日 10時35分 (#4394781)

    手元のWindows 10 21H2の場合。

    [設定]→[更新とセキュリティ]→[Windowsセキュリティ]→「Windowsセキュリティを開く」→[ウイルスと脅威の防止]→[ウイルスと脅威の防止の更新 更新プログラムのチェック]→[保護の更新 セキュリティインテリジェンス]→「セキュリティインテリジェンスのバージョン」

    超メンドクセー!

    • by Anonymous Coward

      んな事するより、イベントログから

      Get-EventLog -LogName System -Source "Microsoft-Windows-WindowsUpdateClient" -InstanceId 19 -Message "*Defender*" -Newest 1 | Format-List

      で最新を確認したり、

      Get-EventLog -LogName System -Source "Microsoft-Windows-WindowsUpdateClient" -InstanceId 19 -Message "*Defender*" -Newest 5 | Format-List

      で、最新5個の更新履歴見たり、

      Get-EventLog -LogName System -Source "Microsoft-Windows-WindowsUpdateClient" -InstanceId 19 -Message "*Defender*1.381.21*" | Format-L

  • by Anonymous Coward on 2023年01月15日 19時00分 (#4394632)

    実行ファイルが誤って削除されるのを防止するのがショートカットの重要な目的なのだから
    目的が達成されて目出度し目出度しなのだ。

    • by Anonymous Coward

      初耳です

      • by Anonymous Coward

        「デスクトップ(ショートカット)」の話が混じってるんじゃないかな。

        • by Anonymous Coward

          もしくは、漢字talkとかのMacOSか。

          • by Anonymous Coward

            初耳です。

            • by Anonymous Coward

              #4394632が言いたかったのは、一部アプリはコピーだけで動くから、デスクトップとかにまんま置く人が居たけど、
              邪魔とかの理由でそのまま消しちゃう人が居たから、ポカヨケにショートカットみたいな管理の話かなと。

    • by Anonymous Coward

      URLショートカット(.url)とか、MS-DOSショートカット(.pif)とかを知らんから、そんな妄言を…。
      どちらも、.lnkと同じくデスクトップ ショートカット扱いだけど、どう実行するかの設定を含む。
      .lnkですらカレントディレクトリを指定するなどの重要な役割を持つ。

      #分かってて煽ってるんだろうけど、煽られた。

  • by Anonymous Coward on 2023年01月15日 20時01分 (#4394642)

    これがDefender以外だったらすごくたたかれてそう。

    • by Anonymous Coward

      逆じゃね?

    • by Anonymous Coward

      逆だね。
      事故ったところをボロクソに叩きマイクロソフトすごいとか
      変に持ち上げる書き込みがセットになる。

      • by Anonymous Coward

        期待している人ほど貶すし、期待していない人ほど擁護する。

        逆に言えば、貶す人が多いというのは実績についての評価が高いことの証であり、擁護する人が多いというのは実績についての評価が低いことが証である。

        • by Anonymous Coward

          ヘビーユーザーはよく困ってるし、ノンユーザーに弾丸は当たらない。
          WindowsUpdateのたびに見かける光景ですね。

      • by Anonymous Coward

        その逆じゃね?

    • by Anonymous Coward

      逆だねオンパレードだけど、俺もDefender以外だったらすごくたたかれてそうと思う。
      特にウイルスバスター。

  • by Anonymous Coward on 2023年01月16日 0時59分 (#4394697)

    もうMSの技術者はクビにしてAIにコード書かせたらいいんじゃないかな。とんでもないバグを平然と仕込んでくるだろうけど人間も同レベルだから大した問題ではない

    • by Anonymous Coward

      「本件が人間の仕業だといつから錯覚していた?」

      ……人間モドキの仕業だったらヤだなぁ。

  • by Anonymous Coward on 2023年01月16日 7時53分 (#4394736)

    このコンボ決まったら完全にOSがマルウェア

  • by Anonymous Coward on 2023年01月16日 9時55分 (#4394773)

    スタートメニューなどからショートカットが削除されると起動する術を失う。
    表記上の名前と実際の.exeを把握してないとどこに何があるのかの把握も困難。

    大変かもね。

    • by Anonymous Coward

      ライブラリを検索すればすむストアアプリを優先して使うべきだよな。

      • by Anonymous Coward

        Windowsが破綻してるので何とも言えないが
        名称をアルファベット表記から、ショートカットの表示名に変更すべきだと思います。
        ただこの方法だとMS-DOSのパスの長さ制限に引っかかてうまく動かないくなる可能性は出てきます。
        まぁ旧型のWindowsはOSですからなんとも・・・

  • by Anonymous Coward on 2023年01月16日 11時07分 (#4394799)

    Defenderって基本的には問答無用の削除はせずに隔離じゃなかったけ
    Defenderの保護の履歴から1個ずつなら元に戻せるんではなかろうか
    まぁ戻したところで再隔離されるから先に
    Defender>ウイルスと驚異の防止>除外
    でスタートメニューフォルダあたりを指定しとかなきゃだけど

    /*
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs
    %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
    その他 個々人で指定したツールバーフォルダ

    %USERPROFILE%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
    %USERPROFILE%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
    */

  • by Anonymous Coward on 2023年01月17日 5時16分 (#4395320)

    プレビューの機能に文字コード由来のバグがあり
    プリンタードライバーでエラーが出てプレビューが出ません。

    回避方法
    CTRL + Shift + P (システム ダイアログを使用して印刷する)で回避する。
    ですかね。

    WindowsはShift-JIS限定しないとダメでしょうな

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...