Symantec Enpoint Protection 阻止映射列印機安裝
我們在 Windows 7客戶端上遇到了Symantec Endpoint Protection (SEP) 版本 12.1的一個奇怪問題。
當我們的使用者嘗試從我們的列印伺服器映射新的網路列印機時(瀏覽 \OurPrintServer 時點兩下列印機名稱) - 標準驅動程序安裝過程照常開始,但以錯誤消息結束:“Windows 無法連接到列印機. 訪問被拒絕。”
我們已經使用不同的驅動程序甚至不同的列印機製造商在具有不同列印機共享的多個系統上進行了測試。SEP 似乎阻止了客戶端系統上尚未安裝的所有列印機驅動程序的安裝。
奇怪的是,當我們禁用 SEP 時,錯誤仍然出現,並且新的列印機驅動程序仍然無法安裝。如果我們從客戶端電腦中完全刪除 SEP,則列印機驅動程序安裝成功並且列印機共享映射按預期進行。
為了進一步測試,我們在我們的域中嘗試了其他沒有SEP 的 Windows 7 客戶端,它們映射列印機按預期正確安裝驅動程序。
有沒有人在 Windows 7 上看到過 SEP 12.x 的此類問題,如果是,您對如何解決該問題有任何建議嗎?這種奇怪的情況,即使 SEP 被禁用,它仍然會以某種方式阻止這些列印機驅動程序的安裝。只有完全刪除 SEP 後,Windows 共享網路列印機驅動程序才能正常安裝。
賽門鐵克最近的定義更新似乎破壞了我們系統上使用的主機入侵防護系統 (HIPS) 策略之一。感謝@joeqwerty 的提示。該組織似乎希望保持安裝此組件,因此他們將規則更改為記錄而不是阻止。以下是詳細資訊:
- 打開 Symantec Endpoint Protection Manager
- 轉到:策略 - 應用程序和設備控制
- 點兩下正在使用的應用程序和設備控制策略的名稱
- 選擇左側的“應用程序控制”查看“應用程序控制規則集”
- 選擇名為“防止修改系統文件 (HIPS)”的規則集$$ AC14 $$"
- 取消選中“啟用”按鈕或將其設置為“測試(僅限日誌)”
- “確定”保存更改
- 照常將更新的策略應用於客戶端
禁用“防止修改系統文件 (HIPS)”後
$$ AC14 $$" 策略、客戶端列印機映射和列印機驅動程序安裝工作正常。以下是一些相關的螢幕截圖作為視覺輔助:
最好的解決方案可能是從所有 Symantec Endpoint Protection (SEP) 客戶端安裝中排除 IPS 組件。如果您的組織更喜歡保持安裝 HIPS,那麼您必須與像這樣的拙劣政策爭論不休。