Gu4rdi4n 58 Geschrieben 25. September 2018 Melden Teilen Geschrieben 25. September 2018 Hi, ich habe hier Windows 7 und Windows 10 Rechner. Auf den Rechnern wird eine SRP angewendet. Jetzt habe ich ein seltsames verhalten nur bei den W10 Rechnern: Wenn ein User sich ohne Admin Rechte am Windows 10 anmeldet und versucht eine Datei herunter zu laden (egal ob Chrome oder Edge), sagt der Browser entweder "Fehler beim Virenscan" (Chrome) oder "XYZ.datei enthielt einen Virus und wurde gelöscht" (Edge) etc. Bei Firefox etc funktioniert es. Ich kann mir vorstellen, da chrome ja teilweise auf die Windows Vorgaben zugreift, ist das ein generelles "Windows Problem" Ich habe den Defender schon deaktiviert - keine Besserung Jetzt zum eigentlich seltsamen Ich habe SRP im Einsatz. Als der erste W10 Rechner das Problem zeigte, hab ich die Schuld erstmal auf HP Sureclick geschoben. Hab's dann deinstalliert und es funktionierte dann wieder. Jetzt allerdings taucht das Problem bei anderen W10 Rechnern ebenfalls auf. Auch ohne Sureclick. Wenn ich den Browser als Admin starte, funktionieren die Downloads. Also habe ich 1+1 zusammen gezählt und die SRP als "Übeltäter" identifiziert. Jetzt stellen sich mir allerdings 2 Fragen: - Wieso kann der eine Client trotz greifender SRP Dateien herunterladen und andere nicht, bzw, warum hilft es bei anderen Clients die SRP GPO zu deaktivieren und bei einem Client funktioniert es trotzdem? Gleiches Image, gleiche Software, gleiche Hardware auf beiden PCs - Was könnte eine SRP unter Windows 10 blocken, was ein Browser braucht um Dateien herunterzuladen? Unter Windows 7 funktionieren die Richtlinien so wie sie sollen. Ach, und Applocker ist keine Option, da Windows 10 Pro Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. September 2018 Melden Teilen Geschrieben 25. September 2018 Wie genau sieht die SRP Konfiguration aus? Welche Dateien werden von wo nach wo herunter geladen? Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 25. September 2018 Autor Melden Teilen Geschrieben 25. September 2018 Ah sorry, wollte noch einen Screen posten, Hier ist die Config Es ist egal was heruntergeladen wird. Ob es files aus dem Sharepoint (ist in vertrauenswürdiger Zone eingetragen) oder Testfiles von http://www.speedtestx.de/ sind Alles wird als virus getaggt solange der Browser nicht als admin gestartet wurde oder die SRP aus ist Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. September 2018 Melden Teilen Geschrieben 25. September 2018 (bearbeitet) Die GPO für SRP kopieren in eine OU und die Vererbung von oben deaktivieren. Jetzt einzelne Einträge aus der Test GPO deaktivieren und probieren. Außer Du findest im Ereignisprotokoll noch Details. Die TEMP-Einstellungen würde ich vermutlich als erstes deaktivieren. BTW: Bei der Masse an Ausnahmen kann man SRP ja fast weglassen. Weshalb braucht man im NETLOGON so eine Ausnahme? bearbeitet 25. September 2018 von Sunny61 Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 26. September 2018 Autor Melden Teilen Geschrieben 26. September 2018 Naja, bis auf netlogon, wo du übrigens recht hast - das hab ich vergessen nach einem Test wieder raus zu nehmen - sind das alles Programme, die ohne die Ausnahme nicht lauffähig sind. Viele Programme brauchen leider unter AppData ausnahmen, da sie sonst nicht lauffähig sind. Beispiel Ninite oder SFirm. Da geht ohne AppData garnichts - was ich auch nicht sonderlich toll finde Allerdings kann der Normalo User dort auch nichts reinspeichern, wo SRP Ausnahmen sind. Also weitestgehend gesichert. Wenn ich die Einträge aus der Test GPO deaktiviere, dann schränke ich doch alles noch weiter ein? Es ist ja eine Whitelist und keine Blacklist. Also müsste ich doch eigentlich immer mehr whitelisten bis ich es gefunden habe? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 Dann mach es anders, Testclient in eine TestOU. Keinerlei GPO-Vererbung zulassen, erstell ein neues GPO für SRP und setz eine Einstellung nach der anderen. Anschließend immer einmal booten und testen. BTW: Gibt es für euch keinen Ersatz für SFirm? Programme mit solch weitreichenden Berechtigungen sehe ich als sehr kritisch an. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 26. September 2018 Autor Melden Teilen Geschrieben 26. September 2018 vor 11 Minuten schrieb Sunny61: Dann mach es anders, Testclient in eine TestOU. Keinerlei GPO-Vererbung zulassen, erstell ein neues GPO für SRP und setz eine Einstellung nach der anderen. Anschließend immer einmal booten und testen. BTW: Gibt es für euch keinen Ersatz für SFirm? Programme mit solch weitreichenden Berechtigungen sehe ich als sehr kritisch an. Ist leider von der Sparkasse ein Programm das mein Chef haben will. Ich weiß nicht ob er es wirklich braucht oder ob es dafür alternativen gibt. Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 SFirm ist einigen - mir bekannten großen - Firmen im Einsatz. Buchhaltung und GF brauchen die SW zur Zahlungsfreigabe. Ich kenne keine alternativ Software der Sparkasse. Da wir keine SRP oder AppLocker im Einsatz haben, kann ich zu den Policys hier nichts beitragen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 (bearbeitet) Wir haben den TEMP-Ordner generell auf C:\TEMP verschoben. Für diesen dämlichen Updater von SFirm muss man in der Tat ein paar Ausnahmen im Temp definieren. Es ist ein ein schlechtes Design, dort EXE-Dateien hinzukopieren um sie dann von dort auszuführen. Das könnten die genauso gut auch auf der zentralen Netzwerkressource machen. TEMP würde ich aber auf keinen Fall generell erlauben (die Viren freuen sich...) Auf Netogon braucht man Ausnahmen, wenn man dort BAT-oder CMD-Dateien ausführen will (soweit dies in der SRP enthalten ist). Ansonsten hilft Event 865 im Anwendungslog weiter. bearbeitet 26. September 2018 von zahni Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 26. September 2018 Autor Melden Teilen Geschrieben 26. September 2018 (bearbeitet) vor 23 Minuten schrieb zahni: Wir haben den TEMP-Ordner generell auf C:\TEMP verschoben. Für diesen dämlichen Updater von SFirm muss man in der Tat ein paar Ausnahmen im Temp definieren. Es ist ein ein schlechtes Design, dort EXE-Dateien hinzukopieren um sie dann von dort auszuführen. Das könnten die genauso gut auch auf der zentralen Netzwerkressource machen. TEMP würde ich aber auf keinen Fall generell erlauben (die Viren freuen sich...) Auf Netogon braucht man Ausnahmen, wenn man dort BAT-oder CMD-Dateien ausführen will (soweit dies in der SRP enthalten ist). Ansonsten hilft Event 865 im Anwendungslog weiter. genau das ist das Problem. Einfach mieses Software design. So also ich bin scchonmal so weit, dass ich weiß, dass der komplette Ausschluss von AppData nicht hilft. Muss also irgendwo anders liegen Mal immer weiter die ebenen nach unten klettern. Wenn ich Komplett C:\ freigebe, funktioniert's. Also fehlt irgendwas definitiv Das Event 865 wird in diesem Fall leider nicht geworfen bearbeitet 26. September 2018 von Gu4rdi4n Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 (bearbeitet) Wie geschrieben: Hat Du im Eventlog geschaut? Noch wichtig: SRP nur auf Benutzer konfigurieren, nicht auf Computer. Nachschauen kann ich nicht. Kollege hat kürzlich auf Applocker umgebastelt. Da müsste ich mich erst einarbeiten. bearbeitet 26. September 2018 von zahni Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 26. September 2018 Autor Melden Teilen Geschrieben 26. September 2018 (bearbeitet) Ja, wie gesagt, Event 865 wird bei den Downloads leider nicht geworfen. Ist auf benutzer konfiguriert und hat unter W7 auch so funktioniert. Ich komme der Spur näher. Scheinbar irgendwas im ProgramData ordner was fehlt Edit: HAHA! Hab den Übelträter!!! c:\ProgramData\Microsoft\Windows Defender https://social.technet.microsoft.com/Forums/en-US/1afeb5c9-0aee-47f6-b678-7d26bb201b3a/software-restriction-policy-breaks-windows-defender-definition-updates?forum=win10itprosecurity bearbeitet 26. September 2018 von Gu4rdi4n Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 Eigentlich blockiert SRP auch keinen Download (schreiben), sondern nur die Ausführung. Da muss noch etwas Anders quer liegen. SRP erzeugt immer einen 865, wenn etwas blockiert wird. Ich würde mal beim Virenscanner vorbeischauen. oder vielleicht beim Smartscreen Filter? Gab es beim mitgelieferten Windows 10 Virenschutz von 1803 nicht irgendeine Funktion, die so etwas ähnliches macht? Sorry, muss jetzt los... 1 Zitieren Link zu diesem Kommentar
Beste Lösung Gu4rdi4n 58 Geschrieben 26. September 2018 Autor Beste Lösung Melden Teilen Geschrieben 26. September 2018 (bearbeitet) vor 4 Minuten schrieb zahni: Eigentlich blockiert SRP auch keinen Download (schreiben), sondern nur die Ausführung. Da muss noch etwas Anders quer liegen. SRP erzeugt immer einen 865, wenn etwas blockiert wird. Ich würde mal beim Virenscanner vorbeischauen. oder vielleicht beim Smartscreen Filter? Gab es beim mitgelieferten Windows 10 Virenschutz von 1803 nicht irgendeine Funktion, die so etwas ähnliches macht? Sorry, muss jetzt los... Ja so in etwa. Richtige Richtung gedacht. https://social.technet.microsoft.com/Forums/en-US/1afeb5c9-0aee-47f6-b678-7d26bb201b3a/software-restriction-policy-breaks-windows-defender-definition-updates?forum=win10itprosecurity Es ist der Defender im ProgramData verzeichnis Scheinbar loggt die 865 nicht bei DLLs Zitat Enabling log tracing for SRP didn't work because it didn't list DLLs as Unrestricted or Disallowed; only EXE and other listed file types. bearbeitet 26. September 2018 von Gu4rdi4n Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 Eine sehr gute Alternative zu SFirm ist z.b. windata. Sind sehr zufrieden damit. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.