Защитник Microsoft представляет собой встроенный антивирус для домашних и корпоративных пользователей Windows. Уровень его защиты ничуть не уступает сторонним антивирусам, однако бывают и проблемы.

Прошлая пятница стала неудачным днём для пользователей Windows и системных администраторов. Microsoft Defender for Endpoint внезапно стал удалять ярлыки и файлы из панели задач Windows и меню «Пуск», временами удаляя даже связанные программные файлы с диска.

В Windows 10 и Windows 11 эта проблема может быть связана с правилом ASR, изменённым в недавнем обновлении Защитника. Правила уменьшения поверхности атаки (ASR) нацелены на определённое поведение программного обеспечения, вроде запуска исполняемых файлов и сценариев, выполнения запутанных сценариев или «выполнения действий, которые приложения обычно не инициируют в ходе повседневной работы», разъясняет Microsoft.

Рассматриваемое правило ASR под названием «Блокировать вызовы Win32 API из макроса Office» пострадало после того, как Microsoft выпустила обновление подписи 1.381.2140.0 для Защитника. В некоторых случаях правило стало заставлять системную защиту от вредоносных программ удалять ярлыки и полностью удалять пакет Office.

Кроме Office, пострадали приложения Google Chrome, Mozilla Firefox, Slack, Visual Studio, Notepad++, Adobe Acrobat и другие. Выпущенный следом бюллетень от Microsoft подтвердил, что проблема связана с обновлённым правилом ASR «Блокировать вызовы Win32 API из макроса Office».

Для смягчения последствий системные администраторы могут поменять поведение ASR на «Режим аудита» с помощью Intune или собственной групповой политики Windows. Новое правило ASR выпустили в обновлении Защитника 1.381.2164.0. Впрочем, это не вернуло уже удалённые ярлыки и программы, которые придётся создавать заново.

Опубликованное в Microsoft Community Hub описание предлагает частичное решение этой проблемы с помощью сценария PowerShell для воссоздания удалённых ярлыков для 33 наиболее популярных затронутых ошибкой программ, пишет Techspot.