我们遇到了一个奇怪的问题Windows 7 上的 Symantec Endpoint Protection (SEP) 版本 12.1客户。
当我们的用户尝试从我们的打印服务器映射新的网络打印机(浏览 \OurPrintServer 时双击打印机名称)时 - 标准驱动程序安装过程照常开始,但以错误消息结束:“Windows 无法连接到打印机。访问被拒绝。”
我们已经在多个系统上测试了不同的打印机共享,这些系统使用了不同的驱动程序,甚至不同的打印机制造商。客户端系统上尚未安装的所有打印机驱动程序的安装似乎都被 SEP 阻止了。
奇怪的是,当我们禁用 SEP 时,错误仍然会出现,新的打印机驱动程序仍然无法安装。如果我们从客户端计算机中完全删除 SEP,打印机驱动程序将成功安装,打印机共享映射也将按预期进行。
为了进一步测试,我们尝试了域中的其他 Windows 7 客户端没有SEP 并且他们正确映射打印机并按预期安装驱动程序。
有人在 Windows 7 上看到过 SEP 12.x 出现这样的问题吗?如果是,您对如何解决该问题有什么建议吗?这是一个奇怪的情况,即使禁用了 SEP,它仍然会以某种方式阻止这些打印机驱动程序的安装。只有完全删除 SEP,Windows 共享网络打印机驱动程序安装才能正常工作。
答案1
看来最近的 Symantec 定义更新破坏了我们系统上使用的主机入侵防御系统 (HIPS) 策略之一。感谢 @joeqwerty 提供的提示。该组织似乎希望保留此组件,因此他们将规则更改为记录而不是阻止。以下是详细信息:
- 打开 Symantec Endpoint Protection Manager
- 转至:策略 - 应用程序和设备控制
- 双击正在使用的应用程序和设备控制策略的名称
- 选择左侧的“应用程序控制”,查看“应用程序控制规则集”
- 选择名为“防止修改系统文件 (HIPS) [AC14]”的规则集
- 取消检查“启用”按钮或将其设置为“测试(仅日志)”
- “确定”保存更改
- 照常将更新后的政策应用于客户端
禁用“防止修改系统文件 (HIPS) [AC14]”策略后,客户端打印机映射和打印机驱动程序安装即可正常工作。以下是一些相关屏幕截图,供您直观查看:
最好的解决方案可能是从所有 Symantec Endpoint Protection (SEP) 客户端安装中排除 IPS 组件。如果您的组织希望保留 HIPS 安装,那么您必须与像这样的拙劣策略进行斗争。