我们在 Windows 7客户端上遇到了Symantec Endpoint Protection (SEP) 版本 12.1的一个奇怪问题。
当我们的用户尝试从我们的打印服务器映射新的网络打印机时(浏览 \OurPrintServer 时双击打印机名称) - 标准驱动程序安装过程照常开始,但以错误消息结束:“Windows 无法连接到打印机. 访问被拒绝。”
我们已经使用不同的驱动程序甚至不同的打印机制造商在具有不同打印机共享的多个系统上进行了测试。SEP 似乎阻止了客户端系统上尚未安装的所有打印机驱动程序的安装。
奇怪的是,当我们禁用 SEP 时,错误仍然出现,并且新的打印机驱动程序仍然无法安装。如果我们从客户端计算机中完全删除 SEP,则打印机驱动程序安装成功并且打印机共享映射按预期进行。
为了进一步测试,我们在我们的域中尝试了其他没有SEP 的 Windows 7 客户端,它们映射打印机按预期正确安装驱动程序。
有没有人在 Windows 7 上看到过 SEP 12.x 的此类问题,如果是,您对如何解决该问题有任何建议吗?这种奇怪的情况,即使 SEP 被禁用,它仍然会以某种方式阻止这些打印机驱动程序的安装。只有完全删除 SEP 后,Windows 共享网络打印机驱动程序才能正常安装。
看起来最近的赛门铁克定义更新破坏了我们系统上使用的主机入侵防御系统 (HIPS) 策略之一。感谢@joeqwerty 的提示。该组织似乎希望保持安装此组件,因此他们将规则更改为记录而不是阻止。以下是详细信息:
禁用“防止修改系统文件 (HIPS) [AC14]”策略后,客户端打印机映射和打印机驱动程序安装工作正常。以下是一些相关的屏幕截图作为视觉辅助:
最好的解决方案可能是从所有 Symantec Endpoint Protection (SEP) 客户端安装中排除 IPS 组件。如果您的组织更喜欢保持安装 HIPS,那么您必须与像这样的拙劣政策争论不休。