Gu4rdi4n

Hi Remus,

könntest du freundlicherweise eine Liste mit IPs und Ports (komplett) posten?

Bei mir taucht das Problem noch sporadisch auf

vor 4 Minuten schrieb zahni:

Eigentlich blockiert SRP auch keinen Download (schreiben), sondern nur die Ausführung.  Da muss noch etwas Anders quer liegen. SRP erzeugt immer einen 865, wenn etwas blockiert wird.

Ich würde mal beim Virenscanner vorbeischauen. oder vielleicht beim Smartscreen Filter?

Gab es beim mitgelieferten Windows 10 Virenschutz von 1803 nicht irgendeine Funktion, die so etwas ähnliches macht?

Sorry, muss jetzt los...

 

Ja so in etwa. Richtige Richtung gedacht.

https://social.technet.microsoft.com/Forums/en-US/1afeb5c9-0aee-47f6-b678-7d26bb201b3a/software-restriction-policy-breaks-windows-defender-definition-updates?forum=win10itprosecurity

Es ist der Defender im ProgramData verzeichnis

Scheinbar loggt die 865 nicht bei DLLs

Zitat

Enabling log tracing for SRP didn't work because it didn't list DLLs as Unrestricted or Disallowed; only EXE and other listed file types. 

Ja, wie gesagt, Event 865 wird bei den Downloads leider nicht geworfen.

Ist auf benutzer konfiguriert und hat unter W7 auch so funktioniert.

Ich komme der Spur näher. Scheinbar irgendwas im ProgramData ordner was fehlt

Edit:

HAHA!

Hab den Übelträter!!!

c:\ProgramData\Microsoft\Windows Defender

https://social.technet.microsoft.com/Forums/en-US/1afeb5c9-0aee-47f6-b678-7d26bb201b3a/software-restriction-policy-breaks-windows-defender-definition-updates?forum=win10itprosecurity

vor 23 Minuten schrieb zahni:

Wir haben den TEMP-Ordner generell auf C:\TEMP verschoben. Für diesen dämlichen Updater von SFirm muss man in der Tat ein paar Ausnahmen im Temp definieren.

Es ist ein ein schlechtes Design, dort EXE-Dateien hinzukopieren um sie dann von dort auszuführen. Das könnten die genauso gut auch auf der zentralen Netzwerkressource machen.

TEMP würde ich aber  auf keinen Fall generell erlauben (die Viren freuen sich...)

Auf Netogon braucht man Ausnahmen, wenn man dort BAT-oder CMD-Dateien ausführen will (soweit dies in der SRP enthalten ist).

Ansonsten hilft Event 865 im Anwendungslog weiter.

genau das ist das Problem. Einfach mieses Software design.

So also ich bin scchonmal so weit, dass ich weiß, dass der komplette Ausschluss von  AppData nicht hilft. Muss also irgendwo anders liegen

Mal immer weiter die ebenen nach unten klettern. 

Wenn ich Komplett C:\ freigebe, funktioniert's. Also fehlt irgendwas definitiv 

Das Event 865 wird in diesem Fall leider nicht geworfen

vor 11 Minuten schrieb Sunny61:

Dann mach es anders, Testclient in eine TestOU. Keinerlei GPO-Vererbung zulassen, erstell ein neues GPO für SRP und setz eine Einstellung nach der anderen. Anschließend immer einmal booten und testen.

 

BTW: Gibt es für euch keinen Ersatz für SFirm? Programme mit solch weitreichenden Berechtigungen sehe ich als sehr kritisch an.

Ist leider von der Sparkasse ein Programm das mein Chef haben will.

Ich weiß nicht ob er es wirklich braucht oder ob es dafür alternativen gibt.

Naja, bis auf netlogon, wo du übrigens recht hast - das hab ich vergessen nach einem Test wieder raus zu nehmen - sind das alles Programme, die ohne die Ausnahme nicht lauffähig sind.

Viele Programme brauchen leider unter AppData ausnahmen, da sie sonst nicht lauffähig sind. 

Beispiel Ninite oder SFirm. Da geht ohne AppData garnichts - was ich auch nicht sonderlich toll finde

Allerdings kann der Normalo User dort auch nichts reinspeichern, wo SRP Ausnahmen sind. Also weitestgehend gesichert.

Wenn ich die Einträge aus der Test GPO deaktiviere, dann schränke ich doch alles noch weiter ein? Es ist ja eine Whitelist und keine Blacklist. Also müsste ich doch eigentlich immer mehr whitelisten bis ich es gefunden habe?

Ah sorry, wollte noch einen Screen posten,

Hier ist die Config

Es ist egal was heruntergeladen wird. Ob es files aus dem Sharepoint (ist in vertrauenswürdiger Zone eingetragen) oder Testfiles von http://www.speedtestx.de/ sind

Alles wird als virus getaggt solange der Browser nicht als admin gestartet wurde oder die SRP aus ist

Hi,

ich habe hier Windows 7 und Windows 10 Rechner. Auf den Rechnern wird eine SRP angewendet.

Jetzt habe ich ein seltsames verhalten nur bei den W10 Rechnern:

Wenn ein User sich ohne Admin Rechte am Windows 10 anmeldet und versucht eine Datei herunter zu laden (egal ob Chrome oder Edge), sagt der Browser entweder "Fehler beim Virenscan" (Chrome) oder "XYZ.datei enthielt einen Virus und wurde gelöscht" (Edge) etc. Bei Firefox etc funktioniert es. Ich kann mir vorstellen, da chrome ja teilweise auf die Windows Vorgaben zugreift, ist das ein generelles "Windows Problem"

Ich habe den Defender schon deaktiviert - keine Besserung

Jetzt zum eigentlich seltsamen

Ich habe SRP im Einsatz. 

Als der erste W10 Rechner das Problem zeigte, hab ich die Schuld erstmal auf HP Sureclick geschoben. Hab's dann deinstalliert und es funktionierte dann wieder.

Jetzt allerdings taucht das Problem bei anderen W10 Rechnern ebenfalls auf. Auch ohne Sureclick.

Wenn ich den Browser als Admin starte, funktionieren die Downloads.

Also habe ich 1+1 zusammen gezählt und die SRP als "Übeltäter" identifiziert.

Jetzt stellen sich mir allerdings 2 Fragen:

- Wieso kann der eine Client trotz greifender SRP Dateien herunterladen und andere nicht, bzw, warum hilft es bei anderen Clients die SRP GPO zu deaktivieren und bei einem Client funktioniert es trotzdem? Gleiches Image, gleiche Software, gleiche Hardware auf beiden PCs

- Was könnte eine SRP unter Windows 10 blocken, was ein Browser braucht um Dateien herunterzuladen? Unter Windows 7 funktionieren die Richtlinien so wie sie sollen.

Ach, und Applocker ist keine Option, da Windows 10 Pro

Ist das eine Computer richtlinie oder eine Benutzer Richtlinie?

Wenn Computer, dann ist das Problem vielleicht hier zu suchen

Was für eine Meldung bekommst du denn?

Ist es zufällig die CredSSP Meldung?

Die Clients.

Also Computerbrowser und SSDP sind aktiviert.

Ich habe unter Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows Defender Firewall mit erweiterter Sicherheit die vorgegebenen Regeln Für Datei und Druckerfreigabe sowie bei der Netzwerkerkennung hinzugefügt

Nun geht's. Dass die Optionen trotzdem noch auf deaktiviert stehen ist reine Kosmetik. Zwar unschön, aber was solls

@NorbertFe

Ja, das ist wohl wahr. Wir haben hier aber ein paar spezialisten in höheren Rängen, die gerne auf Netzwerkumgebung klicken ;) Kann ich leider nichts machen außer andere Wege aufzeigen. 

Jedoch ist immer sofort ein "das geht nichtmehr" zu hören. Dann aktivier ich es halt einfach.

@Sunny61

Das hab ich beides schon aktiv. Hat aber nichts geändert.

Druckerfreigaben brauch ich beispielsweise für Dymo Drucker Freigaben. 

Kannst du mir genauer sagen, was CSE bedeutet? Meinst du das unter Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows Defender Firewall mit erweiterter Sicherheit?

Das hab ich gerade getestet und es funktioniert auch. Die Optionen wie oben im bild bleiben aber trotzdem auf deaktivieren stehen. Aber immerhin funktioniert es nun. Danke!

Hi,

ich scheitere daran, die Netzwerkerkennung und Datei bzw. Druckerfreigabe per GPO zu aktivieren.

Überall wird geschrieben, dass man hierzu folgendes aktivieren muss:

Leider ist das nonsense und bringt nichts.

Ich bekomme immer noch folgende Meldungen:

hat hier jemand vielleicht eine Idee wo ich die richtigen Einstellungen finden kann?

Vollbild kann man ja auch machen, dann müsste man aber wie gesagt 2 Monitore als einen Virtuellen darstellen

Ich weiß, dass es mit AMD Eyefinity beispielsweise geht, wenn man dazu Anzeigegruppen erstellt

vor 4 Minuten schrieb mwiederkehr:

Es sollte mit einem Client gehen, bei dem man die Auflösung manuell einstellen kann, beispielsweise mRemoteNG oder Parallels Client.

MRemote geht soweit ich weiß nicht.

Das hab ich mir damals auch mal angesehen.

Dazu gab's ein Feature request

https://github.com/mRemoteNG/mRemoteNG/issues/192

Man kann aber natürlich den Client über 2 Monitore ziehen, damit er so groß wird.

Vielleicht zusätzlich noch über ein Tool 2 Monitore des Clients zu einem Virtuellen Monitor mergen, sodass man MRemote einfach maximieren kann

So viel ich weiß ist das ein Enterprise feature.

Du kannst im RDP Client anhaken alle Monitore des sich verbindenden Clients zu nutzen.

Wenn du nur die Pro variante hast, dann kannst du nur einen Monitor nutzen.

Sprich, es ist egal wie viele Monitore an der Station betrieben werden auf die du dich verbinden willst,. Es zählt hier nur die Anzahl der Monitore des Clients der sich verbindet.

(man kann mich auch eines besseren Belehren)

Anders sieht das bei VNC Verbindungen aus.

Hab noch gesehen dass du wirklich nur 2 monitore willst. 

Dann solltest du vielleicht wirklich auf alternativen umsteigen.

HP RGS kann aber glaub ich genau das was du suchst

https://www8.hp.com/us/en/workstations/remote-graphics-software.html

Da gibt's für den RGS Server eine 60 day trial

Kann man da kein inplace "upgrade" durchführen?

Ich glaube ich weiß an was es liegt. Verknüpfungen auf Shares funktionieren so generell scheinbar nicht.

Ja bin ich, 

Es wurde ja so von Powershell erstellt. 

Mein Office und das Wetter funktionieren ja auch

An der Anordnung hab ich selbst nichts geändert

Ich gehe momentan davon aus, dass diese Funktion nicht mit verknüpfungen, die parameter enthalten funktioniert

hier aber trotzdem als beweis:

<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
  <LayoutOptions StartTileGroupCellWidth="6" />
  <DefaultLayoutOverride>
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6">
        <start:Group Name="Produktiv">
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\STARFACE UCC Client.lnk" />
          <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!Microsoft.WindowsLive.Calendar" />
          <start:Tile Size="2x2" Column="4" Row="6" AppUserModelID="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\proALPHA 6.1 client\Test\proALPHA (Test).lnk" />
          <start:Tile Size="2x2" Column="0" Row="6" AppUserModelID="Microsoft.MicrosoftOfficeHub_8wekyb3d8bbwe!Microsoft.MicrosoftOfficeHub" />
          <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.Office.OneNote_8wekyb3d8bbwe!microsoft.onenoteim" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\proALPHA 6.1 client\Production\proALPHA (Production).lnk" />
          <start:Tile Size="2x2" Column="2" Row="6" AppUserModelID="Microsoft.WindowsMaps_8wekyb3d8bbwe!App" />
          <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Picasa 3\Picasa 3.lnk" />
        </start:Group>
      </defaultlayout:StartLayout>
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>

Hi,

Man kann bei Windows 10 ja mittels GPO die Tiles und Gruppen fest vorgeben, sodass sie nicht verändert werden können.

Jetzt wird unser ERP System freundlicherweise über eine Verknüpfung, welche auf eine Batch Datei in einem Netzwerkshare zeigt und etliche Parameter hat gestartet.

Ich kann diese Verknüpfung auch ans Startmenü anpinnen und erfolgreich mit Export-StartLayout in eine XML exportieren. Sobald ich dann aber entweder Import-StartLayout oder die XML über die GPO verteile, ist das Tile dann plötzlich leer.

Links ist soll zustand

Rechts ist dann der Import Zustand

XML Datei sieht so aus:

<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
  <LayoutOptions StartTileGroupCellWidth="6" />
  <DefaultLayoutOverride LayoutCustomizationRestrictionType = "OnlySpecifiedGroups">
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6">
        <start:Group Name="Produktiv">
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\STARFACE UCC Client.lnk" />
          <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!Microsoft.WindowsLive.Calendar" />
          <start:Tile Size="2x2" Column="4" Row="6" AppUserModelID="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\proALPHA 6.1 client\Test\proALPHA (Test).lnk" />
          <start:Tile Size="2x2" Column="0" Row="6" AppUserModelID="Microsoft.MicrosoftOfficeHub_8wekyb3d8bbwe!Microsoft.MicrosoftOfficeHub" />
          <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.Office.OneNote_8wekyb3d8bbwe!microsoft.onenoteim" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" />
          <start:Tile Size="2x2" Column="2" Row="6" AppUserModelID="Microsoft.WindowsMaps_8wekyb3d8bbwe!App" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\proALPHA 6.1 client\Production\proALPHA (Production).lnk" />
          <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Picasa 3\Picasa 3.lnk" />
        </start:Group>
      </defaultlayout:StartLayout>
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>

Wohl wahr. Die regeln das dann über die Build version. Irgendwie auch logisch.

Danke für die Info!

vor 54 Minuten schrieb NorbertFe:

Es gibt Enterprise nur als VL und sowohl mit als auch ohne SA. Für beide braucht man aber ein qualifizierendes OS auf den Geräten.

Nein, denn du hast ja eine permanente VL mit 2 Jahren SA erworben. Heißt, nach 2 Jahren darfst du die zuletzt im Zeitraum deiner SA erhältliche Version weiterverwenden.

Ah ok.

Mit "Die zuletzr im Zeitraum meiner SA erhältliche Version" meinst du Windows 10 Enterprise an sich und nicht etwa die Feature updates oder?

Da wir auf W10 sowieso wieder bis zum St. Nimmerleinstag sitzen werden, wäre mir das recht egal. Hauptsache ich bekomme noch alle Updates und darf die Enterprise Version für immer weiter nutzen

Hi,

da ich momentan mit Windows 10 Pro beschäftigt und doch irgendwie geschockt bin, was denn alles mit der "Professional" version NICHT geht, stellt sich mir die Frage, ob ich auf W10E upgraden soll.

Gibt es die Enterprise auch als "Lizenzkey" Standalone Version?

Online habe ich Angebote mit 2 Jahren SA only für 150€ gefunden. 

Wird mein Windows 10 Pro dann nach 2 Jahren einfach auf die Pro Version zurück geschraubt, wie es bei Microsoft 365 F1 und Windows 10 Enterprise E3 der Fall ist?

(Kann mir hier übrigens jemand den Unterschied zwischen Windows 10 Enterprise E3 und Windows 10 Enterprise E3 (local only) aufzeigen?

Werde da nicht schlau draus.