[English]Heute noch ein kleiner Beitrag für Administratoren, die Microsoft Defender Application Control (WDAC) im Umfeld von Windows 10 Enterprise oder unter Windows 11 Enterprise bzw. auf den Windows Server-Pendants von 2016 bis 2022 einsetzen und durch ungewollte Neustarts geplagt werden. Diese ungewollten Neustarts werden wohl durch eine Einstellung verursacht, wie ein MVP herausgefunden hat. Ich stelle die Information mal hier im Blog ein, vielleicht hilft sie weiter.
Anzeige
Die Anwendungssteuerung für Windows (Windows Defender Application Control, oder kurz WDAC) steht nur in einigen Windows-Versionen für Unternehmensumgebungen zur Verfügung. Die Anwendungssteuerung WDAC kann laut Microsoft dazu beitragen, diese Arten von Sicherheitsbedrohungen zu mindern, indem die Anwendungen, die Benutzer ausführen dürfen, und der Code, der im System Core (Kernel) ausgeführt wird, eingeschränkt werden.
Am 20. Februar 2022 bin ich auf obigem Tweet von MVP Gerry Hampson gestoßen. Dieser wurde bei einem Kunden erneut auf das Problem aufmerksam, dass dort Windows 10-Rechner ohne Vorwarnung neu gestartet wurden. Es gab eine Warnung an den Benutzer, dass dieser abgemeldet und das System in 10 Minuten neu gestartet werde.
Bei der Analyse, was die Ursache für dieses ungewollte Verhalten sein könnte, ließ sich das Problem auf die Microsoft Defender Application Control im Microsoft Endpoint Manager eingrenzen. Gemäß dieser Microsoft-Dokumentation zu AppLocker-CSP wird ein Neustart eingeplant, wenn eine Richtlinie angewendet wird oder ein Löschvorgang mithilfe des AppLocker/ApplicationLaunchRestrictions/Grouping/CodeIntegrity/Policy-URI erfolgt.
Anzeige
Gerry Hampson konnte verifizieren, dass genau die Anwendung einer Richtlinie diesen nicht erwünschten Neustart der Windows-Systeme veranlasste. Das war auch beim Entfernen der Richtlinie der Fall. Gemäß obigem Screenshot im Tweet war die Richtlinien für die Code-Integrität der Anwendungskontrolle sogar auf "Audit Only" eingestellt. Im Blog-Beitrag hier wurden von Kollegen diverse Lösungen vorgeschlagen.
Hampson schreibt, dass er das Neustart-Problem interessanterweise durch Verwendung des ConfigMgr zur Konfigurierung lösen konnte. Dort gibt es die Option Enforce a restart …, die sich aufheben lässt.
Anzeige