littleadm
Goto Top

GPO-SRP und W10 V 22H2

Moin liebe Community,

Wir setzen bei uns MS Server ein. Unsere DC-Server sind Server2019 und unsere Clients sind MS W10 Pro

Um zu verhindern, dass Benutzer *.exe, *.bat, *.msi etc., aus beliebigen Ordner anwenden Können, haben wir eine Server-Seitige GPO, die software restriction policies (SRP) in die Clients reindrückt.

Hat alles bisher auch einwandfrei funktioniert.
Jedoch stellten wir bei einem Client fest, dem wir das neuste W10-Update 22H2 gegönnt haben, dass keine installierte Software mehr geht. Es kommt immer die Meldung, dass die Software vom Systemadministrator geblockt wurde und man sich an diesen wenden solle.

Diese Nachricht soll eigentlich nur kommen, wenn oben genannte Dateien aus nicht freigegebenen Bereichen ausgeführt wird. Jetzt ist es aber so, dass nicht einmal mehr der Administrator selbst die Dateien ausführen darf.
Die Software ist standardmäßig unter "C:\Program Files" bzw. "C:\Program Files (x86)" installiert und diese beiden Ordner sind generell in der restriction freigegeben.

Gibt es hierzu Erfahrungen, ob es einen Bug in dem Update gibt, bzw. ob es von MS gewollt ist, dass es nicht mehr mit W10 Pro geht?

Content-ID: 4535821604

Url: https://administrator.de/forum/gpo-srp-und-w10-v-22h2-4535821604.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

DerWoWusste
DerWoWusste 07.11.2022 aktualisiert um 15:48:01 Uhr
Goto Top
Ich habe da eine gute und eine schlechte Nachricht für Dich:

die schlechte zuerst: SRP ist deprecated und nicht mehr im Support (seit Win10 v1803).
Die gute: SRPV2, also known as Applocker, geht auch auf Win10 Pro!
Siehe https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-wind ...
Versuch es damit. Ist eh fortschrittlicher als SRP.
ArnoNymous
ArnoNymous 07.11.2022 um 15:47:55 Uhr
Goto Top
Moin,

wenn ich mich richtig erinnere, gibt es dazui ein Eventlog-Eintrag, der den entsprechend geblockten Pfad enthält?

Gruß
littleAdm
littleAdm 07.11.2022 um 15:52:50 Uhr
Goto Top
Zitat von @ArnoNymous:

Moin,

wenn ich mich richtig erinnere, gibt es dazui ein Eventlog-Eintrag, der den entsprechend geblockten Pfad enthält?

Gruß

Nein, der Eventlog verzeichnet die genannte Blockaden eben leider nicht. Zu den Zeiten, zu denen wir ein Programmaufruf starten, gibt es in der Ereignisanzeige leider keinerlei auffälligen Einträge, so als sei alles normal gelaufen.
littleAdm
littleAdm 07.11.2022 um 15:55:52 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich habe da eine gute und eine schlechte Nachricht für Dich:

die schlechte zuerst: SRP ist deprecated und nicht mehr im Support (seit Win10 v1803).
Die gute: SRPV2, also known as Applocker, geht auch auf Win10 Pro!
Siehe https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-wind ...
Versuch es damit. Ist eh fortschrittlicher als SRP.

Unseres Wissens nach benötigen wir für Applocker die Enterprice-Version.
Wir nutzen in den GPO-Einstellungen "Computerrichtlinien -> Windowseinstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung", was bis zu dem besagten Update auch funktioniert hat.
littleAdm
littleAdm 07.11.2022 aktualisiert um 16:41:11 Uhr
Goto Top
Neue Erkenntnisse:

Wir haben den betroffenen PC aus der Domäne rausgenommen und ihn stand alone gestellt.
Nun haben wir einfache Programme wie TotalComander probiert und haben weiterhin das Problem, dass es nicht ausgeführt werden darf (Zur Erinnerung, jetzt greifen keine GPOs mehr, die haben wir händich geprüft und ggf. deaktiviert).

Nun haben wir das Programm verschoben, auf den Desktop und siehe da, das Programm läuft. Egal wohin wir das Programm schieben, es läuft, außer in den beiden Ordnern c:\programme bzw. c:\programme (x86)

Diese beiden Ordner sind blockiert. Wir haben es mit einem weiteren PC nachgestellt, auch dieser hat das Problem, gleich nach Installation des Updates 22H2...
DerWoWusste
DerWoWusste 07.11.2022 um 17:12:34 Uhr
Goto Top
Unseres Wissens nach benötigen wir für Applocker die Enterprice-Version.
Das ist falsch. Viele irren da, da es tatsächlich mal so galt, wie Du sagst. Das ist Geschichte, siehe mein Link.
Dani
Dani 12.11.2022 um 11:25:17 Uhr
Goto Top
Moin,
siehe Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr. Lass dich vom Titel nicht stören.


Gruß,
Dani
kgborn
kgborn 23.02.2023 um 15:08:36 Uhr
Goto Top
Zitat von @Dani:

Moin,
siehe Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr. Lass dich vom Titel nicht stören.


Gruß,
Dani

Der Thread ist zwar schon etwas älter - aber es gibt nun Licht am Ende des Tunnels. Unter #Windows11 22H2 - und wohl auch #Windows10 22H2 wirken Software Restriction Policies (SRC) -nicht mehr, weil ein (fehlerhafter) Registry-Eintrag Windows vorgaukelt, dass Applocker aktiv sei (selbst wenn Applocker nicht unterstützt wird). Das lässt sich aber durch einen Registrierungseingriff korrigieren.

Software Restriction Policies (auch SAFER) weiterhin unter Windows 11 22H2 möglich …