Der Anti-Ransom Sensor von servereye setzt bei Windows 10 Systemen auf den SAFER Richtlinien der Dateiausführungsverhinderung auf. Das bedeutet, dass dieser servereye Sensor Windowseigene Funktionen benutzt, die nicht mit abgeschaltet werden, wenn man den Sensor entfernt oder servereye deinstalliert.


Wenn ein manuelles Deaktivieren des Anti-Ransom Schutzes notwendig ist, da der servereye Anti-Ransom Sensor nicht mehr verfügbar ist, kann dies mithilfe folgender Anleitung durchgeführt werden:


  1. Öffne per regedit die Registry der Maschine
  2. Wechsel nun in folgendes Registrykey → [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
  3. Dort sollte es einen Eintrag "DefaultLevel" geben. Dieser Eintrag steht auf Wert Default=0
  4. Doppelklicke diesen Wert, stelle im sich dann öffnenden Fenster die Basis von Hexadezimal auf Dezimal um und gib den Wert 262144 ein
  5. Durch das Setzen des Werts 262144 wird die Safer Richtlinie deaktiviert, sprich der "Anti-Ransom Schutz" aufgehoben und die Maschine ist wieder frei bedienbar für alle Anwender


Für diese Schritte haben wir auch einen Befehl in dem anhängenden PowerShell-Skript geschrieben. Diese Anpassung lässt sich somit auch über die OCC Aufgabenplanung direkt auf mehreren Maschinen ausrollen.


Deaktivierung von AppLocker ab Windows 11 H2/22


Die einfachste Option ist das Bereinigen über die offizielle AppLocker Oberfläche:


Man kann auch über die Registry das ganze deaktivieren.

  1. Öffne per regedit die Registry der Maschine
  2. Wechsel nun in folgendes Registrykey → [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SRPV2]
  3. Dort muss für jeden Subordner (Exe,Appx,Msi,Script) der  "EnforcementMode" geändert werden. Dieser Eintrag steht auf Wert Default=1
  4. Doppelklicke diesen Wert, stelle im sich dann öffnenden Fenster die Basis von Hexadezimal auf Dezimal um und gib den Wert 0ein
  5. Durch das Setzen des Werts 0 wird die AppLocker Richtlinie deaktiviert, sprich der "Anti-Ransom Schutz" aufgehoben und die Maschine ist wieder frei bedienbar für alle Anwender


Achtung: Es gibt anscheinend in Windows Bugs, das AppLocker trotz entfernter Richtlinien immer noch greift. Sollte das der Fall sein, kann es sein das AppLocker den Cache nicht bereinigt. 

Dazu, einfach die Dateien unter "%windir%\System32\AppLocker\" löschen!