KB2267602 Defender 更新删除快捷方式和 ASR 问题

安装最新的 Defender 更新 KB2267602 后，某些用户无法使用“开始”菜单和任务栏上的应用程序快捷方式。 Microsoft 已通过记录事件票证 (MO497128) 承认了此问题，并正在致力于修复。

在设备上安装 KB2267602 版本 1.381.2140.0 后，开始菜单和任务栏上的应用程序快捷方式将自动删除。由于攻击面减少规则，多个客户收到了受到此影响的报告。多个用户已通过 Twitter 和其他社交平台报告了这些问题。

Microsoft 发布了一个新事件 MO497128，确认 KB2267602 Defender 更新确实会导致用户访问“开始”菜单和任务栏上的应用程序快捷方式出现问题。

追踪 MO497128 事件

如果您已在设备上安装了 KB2267602 更新并遇到了这些问题，以下是与 MO497128 事件相关的一些更新：

• Microsoft 的第一响应：我们正在审查客户报告数据，以确定下一步的故障排除步骤。
• Microsoft 的第二次回应：我们正在调查 Microsoft Defender 服务的最新更改，以找出根本原因并制定缓解计划。
• Microsoft 的第三次回复：我们发现特定规则正在产生影响。我们已经恢复了该规则，以防止在进一步调查的同时产生进一步的影响。此快速更新旨在提供有关此问题的最新信息。
• Microsoft 的第四次响应：我们恢复了有问题的 ASR 规则，但是，此更改正在整个环境中传播，可能需要几个小时才能完成。我们建议您采取措施将有问题的 ASR 规则置于审核模式并防止进一步影响，直到更新完成部署

要跟踪此问题，您可以访问 Microsoft 365 管理中心运行状况仪表板并选择服务运行状况。选择服务 - Microsoft 365 套件，您可以在此处跟踪有关此问题的所有详细信息。如果您希望获取有关MO497128的更新，您可以选择自定义并配置电子邮件。

KB2267602 Defender 更新影响 ASR 规则

KB2267602 更新导致 ASR（攻击面减少）规则阻止来自 Office 宏的 Win32 API 调用，甚至阻止 OfficeClickToRun 等应用程序。

请注意，ASR 会阻止设备上应用程序的执行，例如浏览器 (explore.exe)、office 单击运行、RuntimeBroker.exe 等。

KB2267602 解决方法 - 修改 ASR 规则

如果要使用 Intune 部署 Defender 更新，并且规则是从任务栏中删除快捷方式并阻止应用程序，则可以使用以下解决方法。您所需要做的就是编辑 ASR 规则，然后在配置设置下，将设置阻止来自 Office 宏的 Win32 API 调用更改为关闭。如果您将其设置为审核，它可能无法按照用户报告的那样工作。

注意：Microsoft 正在处理此问题，并将很快解决。在此之前，您可以尝试上面提到的解决方法。如果上述解决方法对您不起作用，请在评论部分告诉我。

解决方法 1 - 通过应用程序启动器启动 Office 应用程序

Microsoft 针对安装 KB2267602 Defender 更新后遇到问题的用户建议了以下解决方法。

在我们调查根本问题时，用户可以使用 Office 应用或通过 Microsoft 365 应用启动器直接启动 Office 应用。有关 Microsoft 365 应用启动器的更多详细信息，请访问 https://support.microsoft.com/en-us/office/meet-the-microsoft-365-app-launcher-79f12104-6fed-442f-96a0-eb089a3f476a。

解决方法 2：将 ASR 规则配置为审核模式

对于使用 Intune 管理 Defender 更新的设置，Microsoft 建议采用以下解决方法。

我们建议您将 ASR 规则置于审核模式以避免进一步影响。这可以通过以下选项来完成：

• 使用 Powershell：Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode
• 使用 Intune：https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-attack-surface-reduction?view=o365-worldwide#mem
• 使用组策略：https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-attack-surface-reduction?view=o365-worldwide#group -政策
• 请注意，ASR 规则“阻止来自 Office 宏的 Win32 API 调用”，ID 为：92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

您还可以将规则设置为禁用模式。在这种情况下，请考虑使用以下 PowerShell 命令：

Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions Disabled