web-dev-qa-db-ja.com

マップされたプリンタのインストールをブロックするSymantecEndpoint Protection

Windows7上のSymantecEndpoint Protection(SEP)バージョン12.1クライアントで奇妙な問題が発生しています。

ユーザーがプリントサーバーから新しいネットワークプリンターをマップしようとすると(\ OurPrintServerを参照するときにプリンター名をダブルクリックします)-標準のドライバーインストールプロセスは通常どおり開始されますが、エラーメッセージで終了します:"Windowsはできませんプリンタに接続します。アクセスが拒否されました。 "

さまざまなドライバー、さらにはさまざまなプリンターメーカーを使用して、さまざまなプリンター共有を持つ複数のシステムでテストしました。クライアントシステムにまだ存在していないすべてのプリンタドライバのインストールは、SEPによってブロックされているようです。

奇妙なことに、SEPを無効にしてもエラーが発生し、新しいプリンタードライバーのインストールに失敗します。クライアントコンピューターからSEPを完全に削除すると、プリンタードライバーは正常にインストールされ、プリンター共有は期待どおりにマップされます。

さらにテストするために、ドメインwithoutSEPで他のWindows7クライアントを試し、期待どおりにドライバーを正しくインストールするプリンターをマップしました。

誰かがWindows7のSEP 12.xでこのような問題を見たことがありますか?もしそうなら、問題を解決する方法について何か提案がありますか?このような奇妙なケースでは、SEPが無効になっている場合でも、何らかの形でこれらのプリンタードライバーのインストールがブロックされています。 SEPが完全に削除された場合にのみ、Windows共有ネットワークプリンタードライバーのインストールが正しく機能します。

2
Mister_Tom

最近のSymantec定義の更新により、システムで使用されているHost Intrusion Prevention System(HIPS)ポリシーの1つで問題が発生したようです。ヒント@joeqwertyをありがとう。組織はこのコンポーネントをインストールしたままにしておきたいようであるため、ブロックではなくログにルールを変更しました。詳細は次のとおりです。

  • Symantec Endpoint ProtectionManagerを開きます
  • 移動先:ポリシー-アプリケーションとデバイスの制御
  • 使用中のアプリケーションおよびデバイス制御ポリシーの名前をダブルクリックします
  • 左側の[アプリケーション制御]を選択して、[アプリケーション制御ルールセット]を表示します
  • 「システムファイルの変更を防止する(HIPS)[AC14]」という名前のルールセットを選択します。
  • N-check [有効]ボタンまたは[テスト(ログのみ)]に設定します
  • 「OK」で変更を保存
  • 更新されたポリシーを通常どおりクライアントに適用します

「システムファイルの変更を防止する(HIPS)[AC14]」ポリシーを無効にした後、クライアントプリンターのマッピングとプリンタードライバーのインストールは正しく機能しました。視覚的な補助として関連するスクリーンショットを次に示します。

Application Control Rule Sets

Prevent modification of system files

最善の解決策は、おそらくすべてのSymantec Endpoint Protection(SEP)クライアントのインストールからIPSコンポーネントを除外することです。組織がHIPSのインストールを維持したい場合は、このような失敗したポリシーに取り組む必要があります。 1。

2
Mister_Tom