Richtlinien für Softwareeinschränkungen werden nicht angewendet

[basstscho 10]

Zusammengefasst:

- Win11 Pro 21H2: funktioniert wie erwartet

- Win11 Pro 22H2: keine Funktion des SRP

 

Ich hab nun aber mal das Detail-Logging auf beiden Rechnern aktiviert. Interessant ist Folgendes:

- Auf dem 21H2 erscheint wie erwartet im Log:

....exe as Unrestricted using path rule, Guid = ...
....exe as Disallowed using default rule, Guid = ...

 

- Auf dem 22H2 erscheint immer die für mich unbekannte Regel SRPv2

....exe as Unrestricted using SRPv2 rule, Guid = ...

 

Es sieht also so aus, wie wenn sich da was einmischt - vermutlich der AppLocker.

Dem bin ich nochmal etwas nachgegangen und hab festgestellt, dass auf dem 22H2 der Anwendungsidentität-Dienst ausgeführt wird (obwohl der Service auf manuell steht) und auf dem 21H2 nicht. Ich hab daraufhin lokal auf dem 22H2 die AppLocker-Einstellungen geprüft: Sie sind leer, ich hab sie dennoch zurückgesetzt und unter C:\Windows\System32\AppLocker die Regel-Dateien gelöscht. Den Dienst beendet und mein Glück erneut versucht. Es greift immer noch die SRPv2-Regel. Nach nem Neustart war der Anwendungsidentität-Dienst wieder gestartet (Abhängigkeiten und Beschreibung des Dienstes sind 1:1 wie im 21H2). Daher habe ich in der Registry den Dienst manuell auf Status 4 gesetzt (=deaktiviert). Nach dem Neustart war der Dienst nicht aktiv, aber die SRPv2 hat immer noch gezogen. Eine Suche in der Registry nach SRPv2 war leider auch ergebnislos. Ebenso sind die klassischen Reg-Speicherorte für die SRP auch leer. 

Frage 1 ist somit, wieso in der Installation vom 22H2 der Anwendungsidentität-Dienst nun wohl standardmäßig ausgeführt wird und Frage 2), wie ich ihn wieder los werde ;) Vielleicht hat ja jemand von euch AppLocker-Profis ne Idee dazu.

 

Grüße,

Johannes

[daabm 1.184]

SRPv2 ist - korrekt - AppLocker. Was steht denn im Applocker Eventlog so drin?

 

Wenn Du die Regeln loswerden willst, reicht es "normalerweise", HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2 zu löschen. Wenn die Regeln danach wiederkommen, laß ProcMon mitlaufen und schau, wer da reinschreibt und was dieser Prozess vorher so gelesen hat.

 

Und daß AppLocker "blockt", ohne daß AppIdSvc läuft, habe ich noch nie gesehen.

[cj_berlin 1.137]

Moin,

 

mit 22H2 würde ja das Smart App Control eingeführt, quasi dynamisches WDAC mit GUI. Und obwohl Smart App Control nur bei Neuinstallationen aktiviert werden kann, werden in den Docs nur WDAC und AppLocker als Code Control-Technologien erwähnt.

 

Vielleicht wurde SRP auch tatsächlich abgeschafft... Ich frag mal.

[zahni 521]

Oder es funktioniert nur mit Enterprise? Per Google findet man nicht wirklich was.

[basstscho 10]

Hallo zusammen,

 

hat in der Zwischenzeit jemand ne Info bzgl. der SRP in Win11 Pro 22H2 bekommen können? 

 

Danke und Grüße,

Johannes

[testperson 1.528]

Hi,

 

Windows 11 22H2 unterstützt keine Software Restriction Policies (SRP) mehr | Borns IT- und Windows-Blog (borncity.com)

 

So richtig Einigkeit herrscht da aber auch nicht. ;)

 

HTH

Jan

[zahni 521]

Dort spekuliert ein Kommentar, dass die SRP-API für "Smart App Control" genutzt wird.

[testperson 1.528]

Wobei dieser Link in den Kommentar ganz interessant ist: Enable AppLocker on Windows 10 Pro and Windows 11 Pro with PowerShell – 4sysops

(Wo sich dann aber die Frage stellt, ob das lizenzrechtlich i.O. und supportet ist.)

[basstscho 10]

Über den Link bin ich auch schon gestolpert, aber ich möchte ja eigentlich in Summe nicht auf den AppLocker setzen, sondern einfach die SRP nutzen.

Sollte also jemand erfolgreich Win11 Pro 22H2 mit SRP im Einsatz haben bitte melden. Bei mir hat es bei zwei Installationen nicht geklappt!

[damiel_gc 0]

Ich habe derzeit nur eine Testinstallation von Windows 11 22H2, die habe ich am 14.10.2022 mit dem da aktuellen Patchlevel als saubere Neuinstallation gemacht. Die SRP sind per Gruppenrichtlinien in einer Server-2022-Domäne aktiv und scheinen da korrekt zu funktionieren:

 

[basstscho 10]

Da ich mich schon damit abgefunden habe zukünftig auf die Enterprise-Version wechseln zu müssen, hab ich mich in meinem Testsystem mal mit dem Thema AppLocker beschäftigt. Ich hab aus Faulheit die AppLocker-Einstellungen einfach mal in der gleiche GPO gepackt, wie die vorab konfigurierten SRP. Dann hab ich mich auf dem Win 11 Pro 22H2 eingeloggt und konnte auf einmal meine Test-exe auf dem Desktop nicht mehr ausführen - interessant! Den "erzwingen"-Haken entfernt -> ich konnte die Datei wieder ausführen. Auf meinem Testsystem ziehen die vollen AppLocker-Regeln auf der Pro-Version. Kann das eventuell auch erklären, dass bei manchen Installationen vermeintlich die "SRP" funktioniert hat, es aber in Wahrheit die parallel konfigurierten AppLocker-Einstellungen waren?

SRP deaktivieren und dafür den AppLocker auf den Pro-Versionen zu aktivieren wäre für mich fair und verständlich.

[Sunny61 773]

Du hast ganz sicher den Rechner komplett neu installiert und neu in die Domain aufgenommen und nur das 1 GPO für den Applocker verlinkt? Falls nein, mach das doch mal. ;)

 

BTW: Enterprise hat übrigens auch Vorteile, der Support für die einzelnen W10 Versionen ist länger, d.h. Du brauchst nicht so oft alle Maschinen upzudaten. ;)

[basstscho 10]

Neuinstalliert hab ich jetzt nicht, aber auf zwei VMs ist es eindeutig: Wenn ich eine Pfad-Änderung in der AppLocker-GPO durchführe (z.B. Ausführen von Anwendungen vom Desktop aus), dann werden die angewendet bzw. auch nicht, wenn sie gelöscht werden. Die müssten bei Win11 Pro ja eigentlich ignoriert werden. 

[Sunny61 773]

Naja, ich würde es mit einer sauberen Neuinstallation verifizieren, erst wenn es dann auch ganz ohne SRP-GPO funktioniert, hast Du temporär gewonnen.

[MurdocX 904]

Was ich so lesen konnte ist, dass das Problem auch bei Anderen bekannt ist.

• Clean Windows 11 22H2 -> Geht
• Upgrade von 21H2 -> Geht nicht

 

Man warte was passiert. Ist ja nicht das erste Mal das Sicherheitsfeatures still und heimlich ganz oder teilweise den Dienst versagen. Man nehme bspw. MotW & Smart-Screen in letzter Zeit.