Server-Eye

Beschreibung:

Wenn ein manuelles Deaktivieren des Anti-Ransom Schutzes notwendig ist, da der servereye Anti-Ransom Sensor nicht mehr verfügbar ist, kann dies mithilfe folgender Anleitung durchgeführt werden.

Unterschieden wird hier zwischen SAFER (W10) und AppLocker (W11).

INHALTSVERZEICHNIS

• Deaktivierung von SAFER für Windows 10
  • Entfernung per Registry
  • Entfernung per Skript
• Deaktivierung von AppLocker ab Windows 11 H2/22
  • Entfernung per AppLocker Oberfläche
  • Entfernung per Registry

Deaktivierung von SAFER für Windows 10

Der Anti-Ransom Sensor von servereye setzt bei Windows 10 Systemen auf den SAFER Richtlinien der Dateiausführungsverhinderung auf. Das bedeutet, dass dieser servereye Sensor Windowseigene Funktionen benutzt, die nicht mit abgeschaltet werden, wenn man den Sensor entfernt oder servereye deinstalliert.

Entfernung per Registry

1. Öffne per regedit die Registry der Maschine.
2. Wechsel nun in folgenden Registry-Key: 

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]

3. Dort sollte es einen Eintrag "DefaultLevel" geben. Dieser Eintrag steht auf Wert Default=0.
4. Doppelklicke diesen Wert, stelle im sich dann öffnenden Fenster die Basis von Hexadezimal auf Dezimal um und gib den Wert "262144" ein.
5. Durch das Setzen des Werts 262144 wird die SAFER Richtlinie deaktiviert, sprich der "Anti-Ransom Schutz" aufgehoben und die Maschine ist wieder frei bedienbar für alle Anwender.

Entfernung per Skript

Für diese Schritte haben wir auch einen Befehl in dem anhängenden PowerShell-Skript geschrieben. Diese Anpassung lässt sich somit auch über die OCC Aufgabenplanung direkt auf mehreren Maschinen ausrollen.

Deaktivierung von AppLocker ab Windows 11 H2/22

Entfernung per AppLocker Oberfläche

Entfernung per Registry

1. Öffne per regedit die Registry der Maschine.
2. Wechsel nun in folgenden Registry-Key:  

   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SRPV2]

3. Dort muss für jeden Subordner (Exe, Appx, Msi, Script) der "EnforcementMode" geändert werden. Dieser Eintrag steht auf Wert Default=1.
4. Doppelklicke diesen Wert, stelle im sich dann öffnenden Fenster die Basis von Hexadezimal auf Dezimal um und gib den Wert "0" ein.
5. Durch das Setzen des Werts 0 wird die AppLocker Richtlinie deaktiviert, sprich der "Anti-Ransom Schutz" aufgehoben und die Maschine ist wieder frei bedienbar für alle Anwender.

Achtung:
Es gibt anscheinend in Windows Bugs, dass AppLocker trotz entfernter Richtlinien immer noch greift.

Sollte das der Fall sein, kann es u.a. sein, dass AppLocker den Cache nicht korrekt bereinigt.
Dazu einfach die Dateien unter "%windir%\System32\AppLocker\" löschen.

Die Konstellation Windows Upgrade von Windows 10 auf Windows 11 kann auch zu dem Verhalten führen.

Falls Gruppenrichtlinien auch betroffen sein sollten, müssen die Ordner "GroupPolicy" und "GroupPolicyUsers" unter "%windir%\System32\" auch geleert werden.