8
GPO-SRP und W10 V 22H2
Moin liebe Community,
Wir setzen bei uns MS Server ein. Unsere DC-Server sind Server2019 und unsere Clients sind MS W10 Pro
Um zu verhindern, dass Benutzer *.exe, *.bat, *.msi etc., aus beliebigen Ordner anwenden Können, haben wir eine Server-Seitige GPO, die software restriction policies (SRP) in die Clients reindrückt.
Hat alles bisher auch einwandfrei funktioniert.
Jedoch stellten wir bei einem Client fest, dem wir das neuste W10-Update 22H2 gegönnt haben, dass keine installierte Software mehr geht. Es kommt immer die Meldung, dass die Software vom Systemadministrator geblockt wurde und man sich an diesen wenden solle.
Diese Nachricht soll eigentlich nur kommen, wenn oben genannte Dateien aus nicht freigegebenen Bereichen ausgeführt wird. Jetzt ist es aber so, dass nicht einmal mehr der Administrator selbst die Dateien ausführen darf.
Die Software ist standardmäßig unter "C:\Program Files" bzw. "C:\Program Files (x86)" installiert und diese beiden Ordner sind generell in der restriction freigegeben.
Gibt es hierzu Erfahrungen, ob es einen Bug in dem Update gibt, bzw. ob es von MS gewollt ist, dass es nicht mehr mit W10 Pro geht?
Wir setzen bei uns MS Server ein. Unsere DC-Server sind Server2019 und unsere Clients sind MS W10 Pro
Um zu verhindern, dass Benutzer *.exe, *.bat, *.msi etc., aus beliebigen Ordner anwenden Können, haben wir eine Server-Seitige GPO, die software restriction policies (SRP) in die Clients reindrückt.
Hat alles bisher auch einwandfrei funktioniert.
Jedoch stellten wir bei einem Client fest, dem wir das neuste W10-Update 22H2 gegönnt haben, dass keine installierte Software mehr geht. Es kommt immer die Meldung, dass die Software vom Systemadministrator geblockt wurde und man sich an diesen wenden solle.
Diese Nachricht soll eigentlich nur kommen, wenn oben genannte Dateien aus nicht freigegebenen Bereichen ausgeführt wird. Jetzt ist es aber so, dass nicht einmal mehr der Administrator selbst die Dateien ausführen darf.
Die Software ist standardmäßig unter "C:\Program Files" bzw. "C:\Program Files (x86)" installiert und diese beiden Ordner sind generell in der restriction freigegeben.
Gibt es hierzu Erfahrungen, ob es einen Bug in dem Update gibt, bzw. ob es von MS gewollt ist, dass es nicht mehr mit W10 Pro geht?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4535821604
Url: https://administrator.de/contentid/4535821604
Ausgedruckt am: 17.11.2024 um 07:11 Uhr
8 Kommentare
Neuester Kommentar
Ich habe da eine gute und eine schlechte Nachricht für Dich:
die schlechte zuerst: SRP ist deprecated und nicht mehr im Support (seit Win10 v1803).
Die gute: SRPV2, also known as Applocker, geht auch auf Win10 Pro!
Siehe https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-wind ...
Versuch es damit. Ist eh fortschrittlicher als SRP.
die schlechte zuerst: SRP ist deprecated und nicht mehr im Support (seit Win10 v1803).
Die gute: SRPV2, also known as Applocker, geht auch auf Win10 Pro!
Siehe https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-wind ...
Versuch es damit. Ist eh fortschrittlicher als SRP.
Moin,
wenn ich mich richtig erinnere, gibt es dazui ein Eventlog-Eintrag, der den entsprechend geblockten Pfad enthält?
Gruß
wenn ich mich richtig erinnere, gibt es dazui ein Eventlog-Eintrag, der den entsprechend geblockten Pfad enthält?
Gruß
Zitat von @ArnoNymous:
Moin,
wenn ich mich richtig erinnere, gibt es dazui ein Eventlog-Eintrag, der den entsprechend geblockten Pfad enthält?
Gruß
Moin,
wenn ich mich richtig erinnere, gibt es dazui ein Eventlog-Eintrag, der den entsprechend geblockten Pfad enthält?
Gruß
Nein, der Eventlog verzeichnet die genannte Blockaden eben leider nicht. Zu den Zeiten, zu denen wir ein Programmaufruf starten, gibt es in der Ereignisanzeige leider keinerlei auffälligen Einträge, so als sei alles normal gelaufen.
Zitat von @DerWoWusste:
Ich habe da eine gute und eine schlechte Nachricht für Dich:
die schlechte zuerst: SRP ist deprecated und nicht mehr im Support (seit Win10 v1803).
Die gute: SRPV2, also known as Applocker, geht auch auf Win10 Pro!
Siehe https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-wind ...
Versuch es damit. Ist eh fortschrittlicher als SRP.
Ich habe da eine gute und eine schlechte Nachricht für Dich:
die schlechte zuerst: SRP ist deprecated und nicht mehr im Support (seit Win10 v1803).
Die gute: SRPV2, also known as Applocker, geht auch auf Win10 Pro!
Siehe https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-wind ...
Versuch es damit. Ist eh fortschrittlicher als SRP.
Unseres Wissens nach benötigen wir für Applocker die Enterprice-Version.
Wir nutzen in den GPO-Einstellungen "Computerrichtlinien -> Windowseinstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung", was bis zu dem besagten Update auch funktioniert hat.
Neue Erkenntnisse:
Wir haben den betroffenen PC aus der Domäne rausgenommen und ihn stand alone gestellt.
Nun haben wir einfache Programme wie TotalComander probiert und haben weiterhin das Problem, dass es nicht ausgeführt werden darf (Zur Erinnerung, jetzt greifen keine GPOs mehr, die haben wir händich geprüft und ggf. deaktiviert).
Nun haben wir das Programm verschoben, auf den Desktop und siehe da, das Programm läuft. Egal wohin wir das Programm schieben, es läuft, außer in den beiden Ordnern c:\programme bzw. c:\programme (x86)
Diese beiden Ordner sind blockiert. Wir haben es mit einem weiteren PC nachgestellt, auch dieser hat das Problem, gleich nach Installation des Updates 22H2...
Wir haben den betroffenen PC aus der Domäne rausgenommen und ihn stand alone gestellt.
Nun haben wir einfache Programme wie TotalComander probiert und haben weiterhin das Problem, dass es nicht ausgeführt werden darf (Zur Erinnerung, jetzt greifen keine GPOs mehr, die haben wir händich geprüft und ggf. deaktiviert).
Nun haben wir das Programm verschoben, auf den Desktop und siehe da, das Programm läuft. Egal wohin wir das Programm schieben, es läuft, außer in den beiden Ordnern c:\programme bzw. c:\programme (x86)
Diese beiden Ordner sind blockiert. Wir haben es mit einem weiteren PC nachgestellt, auch dieser hat das Problem, gleich nach Installation des Updates 22H2...
Unseres Wissens nach benötigen wir für Applocker die Enterprice-Version.
Das ist falsch. Viele irren da, da es tatsächlich mal so galt, wie Du sagst. Das ist Geschichte, siehe mein Link.
Moin,
siehe Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr. Lass dich vom Titel nicht stören.
Gruß,
Dani
siehe Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr. Lass dich vom Titel nicht stören.
Gruß,
Dani
Zitat von @Dani:
Moin,
siehe Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr. Lass dich vom Titel nicht stören.
Gruß,
Dani
Moin,
siehe Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr. Lass dich vom Titel nicht stören.
Gruß,
Dani
Der Thread ist zwar schon etwas älter - aber es gibt nun Licht am Ende des Tunnels. Unter #Windows11 22H2 - und wohl auch #Windows10 22H2 wirken Software Restriction Policies (SRC) -nicht mehr, weil ein (fehlerhafter) Registry-Eintrag Windows vorgaukelt, dass Applocker aktiv sei (selbst wenn Applocker nicht unterstützt wird). Das lässt sich aber durch einen Registrierungseingriff korrigieren.
Software Restriction Policies (auch SAFER) weiterhin unter Windows 11 22H2 möglich …
