{"id":262813,"date":"2022-02-22T00:17:00","date_gmt":"2022-02-21T23:17:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262813"},"modified":"2022-02-21T19:49:31","modified_gmt":"2022-02-21T18:49:31","slug":"windows-10-ungewollte-neustarts-wegen-microsoft-defender-application-control-wdac","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/22\/windows-10-ungewollte-neustarts-wegen-microsoft-defender-application-control-wdac\/","title":{"rendered":"Windows 10: Ungewollte Neustarts wegen Microsoft Defender Application Control (WDAC)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Heute noch ein kleiner Beitrag f\u00fcr Administratoren, die Microsoft Defender Application Control (WDAC) im Umfeld von Windows 10 Enterprise oder unter Windows 11 Enterprise bzw. auf den Windows Server-Pendants von 2016 bis 2022 einsetzen und durch ungewollte Neustarts geplagt werden. Diese ungewollten Neustarts werden wohl durch eine Einstellung verursacht, wie ein MVP herausgefunden hat. Ich stelle die Information mal hier im Blog ein, vielleicht hilft sie weiter.<\/p>\n

<\/p>\n

\"\"Die Anwendungssteuerung f\u00fcr Windows (Windows Defender Application Control, oder kurz WDAC) steht nur in einigen Windows-Versionen f\u00fcr Unternehmensumgebungen zur Verf\u00fcgung. Die Anwendungssteuerung WDAC kann laut Microsoft<\/a> dazu beitragen, diese Arten von Sicherheitsbedrohungen zu mindern, indem die Anwendungen, die Benutzer ausf\u00fchren d\u00fcrfen, und der Code, der im System Core (Kernel) ausgef\u00fchrt wird, eingeschr\u00e4nkt werden.<\/p>\n

\"Windows-Reboot<\/a><\/p>\n

Am 20. Februar 2022 bin ich auf obigem Tweet<\/a> von MVP Gerry Hampson gesto\u00dfen. Dieser wurde bei einem Kunden erneut auf das Problem aufmerksam, dass dort Windows 10-Rechner ohne Vorwarnung neu gestartet wurden. Es gab eine Warnung an den Benutzer, dass dieser abgemeldet und das System in 10 Minuten neu gestartet werde.<\/p>\n

Bei der Analyse, was die Ursache f\u00fcr dieses ungewollte Verhalten sein k\u00f6nnte, lie\u00df sich das Problem auf die Microsoft Defender Application Control im Microsoft Endpoint Manager eingrenzen. Gem\u00e4\u00df dieser Microsoft-Dokumentation<\/a> zu AppLocker-CSP wird ein Neustart eingeplant, wenn eine Richtlinie angewendet wird oder ein L\u00f6schvorgang mithilfe des AppLocker\/ApplicationLaunchRestrictions\/Grouping\/CodeIntegrity\/Policy-URI erfolgt.<\/p>\n

Gerry Hampson konnte verifizieren, dass genau die Anwendung einer Richtlinie diesen nicht erw\u00fcnschten Neustart der Windows-Systeme veranlasste. Das war auch beim Entfernen der Richtlinie der Fall. Gem\u00e4\u00df obigem Screenshot im Tweet war die Richtlinien f\u00fcr die Code-Integrit\u00e4t der Anwendungskontrolle sogar auf \"Audit Only\" eingestellt. Im Blog-Beitrag hier wurden von Kollegen diverse L\u00f6sungen vorgeschlagen.<\/p>\n

<\/p>\n

Hampson schreibt, dass er das Neustart-Problem interessanterweise durch Verwendung des ConfigMgr zur Konfigurierung l\u00f6sen konnte. Dort gibt es die Option Enforce a restart …<\/em>, die sich aufheben l\u00e4sst.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute noch ein kleiner Beitrag f\u00fcr Administratoren, die Microsoft Defender Application Control (WDAC) im Umfeld von Windows 10 Enterprise oder unter Windows 11 Enterprise bzw. auf den Windows Server-Pendants von 2016 bis 2022 einsetzen und durch ungewollte Neustarts geplagt werden. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161,301],"tags":[2699,24,3288],"class_list":["post-262813","post","type-post","status-publish","format-standard","hentry","category-virenschutz","category-windows","tag-defender","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262813","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262813"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262813\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262813"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262813"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262813"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}