Mi è recentemente capitato di avere un computer che non voleva assolutamente applicare i setting di Microsoft Defender for Endpoint, nonostante l’onboarding fosse apparentemente andato a buon fine.
Il client è in un deploy di Defender for Business in cui non c’è a disposizione purtroppo Intune per la configurazione delle policy e vengono quindi usate le GPO di Active Directory per questo.
Dopo un paio di giorni dall’onboarding, il client veniva ancora visualizzato in questo stato, si nota che manca l’ID del dispositivo:
Le Security Recomendation mostravano inoltre che nessuna delle impostazioni applicate agli client era stata qui applicata:
Apparantemente Defender non aveva problemi (onboarding ok, live response correttamente operativa, software aggiornato correttamente, inventari operativi, etc.), quindi ho iniziato a fare un minimo di troubleshooting lato client esaminando le Group Policy. Qui ho trovato la prima sorpresa con un “gpresult /Z“:
Nonostante la policy con i setting di Defender fosse applicata (risultava tra quelle applicate al computer), i setting dei template amministrativi erano completamente assenti, insieme a quelli di altre GPO applicate a quel pc. Ovviamente, se invece la policy con i setting di Defender non fosse tra quelle applicate, dovrebbe essere fatto a questo punto il normale troubleshooting per la mancata applicazione di GPO in un client di dominio.
Ho provato a forzare l’update delle policy ed ho trovato qualcosa che non andava:
Apparentemente, un errore nella LocalGPO del pc blocca infatti l’applicazione delle altre GPO lato computer. Una veloce ricerca mi ha portato alla soluzione, ossia la rimozione in “C:\Windows\System32\GroupPolicy\Machine\” del file “registry.pol” corrotto (con un timestamp di diversi anni fa infatti):
Fatto questo, ho potuto forzare con successo l’update delle policy e stavolta i setting di Defender e delle altre GPO sono subito comparsi nei risultati del “gpresult /Z” sul client, consentendo la normale configurazione di tutte le impostazioni di sicurezza richieste.
