basstscho 10 Geschrieben 15. Oktober 2022 Autor Melden Teilen Geschrieben 15. Oktober 2022 Zusammengefasst: - Win11 Pro 21H2: funktioniert wie erwartet - Win11 Pro 22H2: keine Funktion des SRP Ich hab nun aber mal das Detail-Logging auf beiden Rechnern aktiviert. Interessant ist Folgendes: - Auf dem 21H2 erscheint wie erwartet im Log: ....exe as Unrestricted using path rule, Guid = ... ....exe as Disallowed using default rule, Guid = ... - Auf dem 22H2 erscheint immer die für mich unbekannte Regel SRPv2 ....exe as Unrestricted using SRPv2 rule, Guid = ... Es sieht also so aus, wie wenn sich da was einmischt - vermutlich der AppLocker. Dem bin ich nochmal etwas nachgegangen und hab festgestellt, dass auf dem 22H2 der Anwendungsidentität-Dienst ausgeführt wird (obwohl der Service auf manuell steht) und auf dem 21H2 nicht. Ich hab daraufhin lokal auf dem 22H2 die AppLocker-Einstellungen geprüft: Sie sind leer, ich hab sie dennoch zurückgesetzt und unter C:\Windows\System32\AppLocker die Regel-Dateien gelöscht. Den Dienst beendet und mein Glück erneut versucht. Es greift immer noch die SRPv2-Regel. Nach nem Neustart war der Anwendungsidentität-Dienst wieder gestartet (Abhängigkeiten und Beschreibung des Dienstes sind 1:1 wie im 21H2). Daher habe ich in der Registry den Dienst manuell auf Status 4 gesetzt (=deaktiviert). Nach dem Neustart war der Dienst nicht aktiv, aber die SRPv2 hat immer noch gezogen. Eine Suche in der Registry nach SRPv2 war leider auch ergebnislos. Ebenso sind die klassischen Reg-Speicherorte für die SRP auch leer. Frage 1 ist somit, wieso in der Installation vom 22H2 der Anwendungsidentität-Dienst nun wohl standardmäßig ausgeführt wird und Frage 2), wie ich ihn wieder los werde ;) Vielleicht hat ja jemand von euch AppLocker-Profis ne Idee dazu. Grüße, Johannes Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 16. Oktober 2022 Melden Teilen Geschrieben 16. Oktober 2022 SRPv2 ist - korrekt - AppLocker. Was steht denn im Applocker Eventlog so drin? Wenn Du die Regeln loswerden willst, reicht es "normalerweise", HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2 zu löschen. Wenn die Regeln danach wiederkommen, laß ProcMon mitlaufen und schau, wer da reinschreibt und was dieser Prozess vorher so gelesen hat. Und daß AppLocker "blockt", ohne daß AppIdSvc läuft, habe ich noch nie gesehen. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 16. Oktober 2022 Melden Teilen Geschrieben 16. Oktober 2022 Moin, mit 22H2 würde ja das Smart App Control eingeführt, quasi dynamisches WDAC mit GUI. Und obwohl Smart App Control nur bei Neuinstallationen aktiviert werden kann, werden in den Docs nur WDAC und AppLocker als Code Control-Technologien erwähnt. Vielleicht wurde SRP auch tatsächlich abgeschafft... Ich frag mal. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. Oktober 2022 Melden Teilen Geschrieben 17. Oktober 2022 Oder es funktioniert nur mit Enterprise? Per Google findet man nicht wirklich was. Zitieren Link zu diesem Kommentar
basstscho 10 Geschrieben 7. November 2022 Autor Melden Teilen Geschrieben 7. November 2022 Hallo zusammen, hat in der Zwischenzeit jemand ne Info bzgl. der SRP in Win11 Pro 22H2 bekommen können? Danke und Grüße, Johannes Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 8. November 2022 Melden Teilen Geschrieben 8. November 2022 Hi, Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr | Borns IT- und Windows-Blog (borncity.com) So richtig Einigkeit herrscht da aber auch nicht. ;) HTH Jan Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 8. November 2022 Melden Teilen Geschrieben 8. November 2022 Dort spekuliert ein Kommentar, dass die SRP-API für "Smart App Control" genutzt wird. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 8. November 2022 Melden Teilen Geschrieben 8. November 2022 Wobei dieser Link in den Kommentar ganz interessant ist: Enable AppLocker on Windows 10 Pro and Windows 11 Pro with PowerShell – 4sysops (Wo sich dann aber die Frage stellt, ob das lizenzrechtlich i.O. und supportet ist.) Zitieren Link zu diesem Kommentar
basstscho 10 Geschrieben 8. November 2022 Autor Melden Teilen Geschrieben 8. November 2022 Über den Link bin ich auch schon gestolpert, aber ich möchte ja eigentlich in Summe nicht auf den AppLocker setzen, sondern einfach die SRP nutzen. Sollte also jemand erfolgreich Win11 Pro 22H2 mit SRP im Einsatz haben bitte melden. Bei mir hat es bei zwei Installationen nicht geklappt! Zitieren Link zu diesem Kommentar
damiel_gc 0 Geschrieben 9. November 2022 Melden Teilen Geschrieben 9. November 2022 Ich habe derzeit nur eine Testinstallation von Windows 11 22H2, die habe ich am 14.10.2022 mit dem da aktuellen Patchlevel als saubere Neuinstallation gemacht. Die SRP sind per Gruppenrichtlinien in einer Server-2022-Domäne aktiv und scheinen da korrekt zu funktionieren: Zitieren Link zu diesem Kommentar
basstscho 10 Geschrieben 14. November 2022 Autor Melden Teilen Geschrieben 14. November 2022 Da ich mich schon damit abgefunden habe zukünftig auf die Enterprise-Version wechseln zu müssen, hab ich mich in meinem Testsystem mal mit dem Thema AppLocker beschäftigt. Ich hab aus Faulheit die AppLocker-Einstellungen einfach mal in der gleiche GPO gepackt, wie die vorab konfigurierten SRP. Dann hab ich mich auf dem Win 11 Pro 22H2 eingeloggt und konnte auf einmal meine Test-exe auf dem Desktop nicht mehr ausführen - interessant! Den "erzwingen"-Haken entfernt -> ich konnte die Datei wieder ausführen. Auf meinem Testsystem ziehen die vollen AppLocker-Regeln auf der Pro-Version. Kann das eventuell auch erklären, dass bei manchen Installationen vermeintlich die "SRP" funktioniert hat, es aber in Wahrheit die parallel konfigurierten AppLocker-Einstellungen waren? SRP deaktivieren und dafür den AppLocker auf den Pro-Versionen zu aktivieren wäre für mich fair und verständlich. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 14. November 2022 Melden Teilen Geschrieben 14. November 2022 Du hast ganz sicher den Rechner komplett neu installiert und neu in die Domain aufgenommen und nur das 1 GPO für den Applocker verlinkt? Falls nein, mach das doch mal. ;) BTW: Enterprise hat übrigens auch Vorteile, der Support für die einzelnen W10 Versionen ist länger, d.h. Du brauchst nicht so oft alle Maschinen upzudaten. ;) Zitieren Link zu diesem Kommentar
basstscho 10 Geschrieben 14. November 2022 Autor Melden Teilen Geschrieben 14. November 2022 Neuinstalliert hab ich jetzt nicht, aber auf zwei VMs ist es eindeutig: Wenn ich eine Pfad-Änderung in der AppLocker-GPO durchführe (z.B. Ausführen von Anwendungen vom Desktop aus), dann werden die angewendet bzw. auch nicht, wenn sie gelöscht werden. Die müssten bei Win11 Pro ja eigentlich ignoriert werden. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 14. November 2022 Melden Teilen Geschrieben 14. November 2022 Naja, ich würde es mit einer sauberen Neuinstallation verifizieren, erst wenn es dann auch ganz ohne SRP-GPO funktioniert, hast Du temporär gewonnen. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 14. November 2022 Melden Teilen Geschrieben 14. November 2022 Was ich so lesen konnte ist, dass das Problem auch bei Anderen bekannt ist. Clean Windows 11 22H2 -> Geht Upgrade von 21H2 -> Geht nicht Man warte was passiert. Ist ja nicht das erste Mal das Sicherheitsfeatures still und heimlich ganz oder teilweise den Dienst versagen. Man nehme bspw. MotW & Smart-Screen in letzter Zeit. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.