Beschreibung:
Anwendungen, die nicht in einem freigegebenen Pfad liegen werden ausgeführt.
Auch der Eintrag "DefaultLevel" in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers wird automatisch immer wieder auf 262144 (also inaktiv, siehe Anleitung - Manuelles Deaktivieren des Anti-Ransom Schutzes) zurückgesetzt.
Ursache:
Häufige Ursache für dieses Problem ist, dass es im Netzwerk bereits eine GPO gibt, welche die SAFER-Richtlinien (Software Restriction Policies) setzt.
Dieses Verhalten tritt auf, wenn von einer dritten Stelle die Änderungen unseres Anti-Ransom-Schutzes sofort wieder überschrieben oder zurückgesetzt werden.
Da unser Anti-Ransom-Schutz Updates der GPO mittels gpupdate lokal verteilen muss wird dies auch ausgelöst, wenn konkurrierende Einstellungen zu SAFER im Active Directory existieren.
Unter AppLocker ab Windows 11 H2/22
Bitte hier prüfen ob es GPO Richtlinien gibt für AppLocker (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SRPV2). Wenn diese im Konflikt stehen, kann der Anti-Ransom Sensor nicht zuverlässig arbeiten!