Résoudre les problèmes liés aux stratégies de restriction logicielle

Cet article décrit les problèmes courants et les solutions lors de la résolution des problèmes liés aux stratégies de restriction logicielle (SRP) à partir de Windows Server 2008 et Windows Vista.

              Sʼapplique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Introduction

Les stratégies de restriction logicielle (SRP) sont stratégie de groupe fonctionnalité qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et contrôle la capacité de ces programmes à s’exécuter. Vous utilisez des stratégies de restriction logicielle pour créer une configuration très restreinte pour les ordinateurs, dans laquelle vous autorisez uniquement l’exécution d’applications identifiées. Ces applications sont intégrées à Microsoft services de domaine Active Directory et stratégie de groupe, mais peuvent également être configurées sur des ordinateurs autonomes. Pour plus d’informations sur SRP, consultez Stratégies de restriction logicielle.

À compter de Windows Server 2008 R2 et Windows 7, Windows AppLocker peut être utilisé à la place ou en collaboration avec SRP pour une partie de votre stratégie de contrôle d’application.

Windows ne peut pas ouvrir un programme

Les utilisateurs reçoivent un message indiquant : « Windows ne peut pas ouvrir ce programme, car il a été empêché par une stratégie de restriction logicielle. Pour plus d’informations, ouvrez observateur d'événements ou contactez votre administrateur système. » Ou, sur la ligne de commande, un message s’affiche indiquant : « Le système ne peut pas exécuter le programme spécifié ».

Cause : Le niveau de sécurité par défaut (ou une règle) a été créé afin que le programme logiciel soit défini sur Non autorisé et qu’il ne démarre pas.

Solution: Recherchez dans le journal des événements une description détaillée du message. Le message du journal des événements indique quel programme logiciel est défini comme Non autorisé et quelle règle est appliquée au programme.

Les stratégies de restriction logicielle modifiées ne prennent pas effet

Cause 1 : Les stratégies de restriction logicielle spécifiées dans un domaine via stratégie de groupe remplacent tous les paramètres de stratégie configurés localement. Lorsque les stratégies ne prennent pas effet, cela peut impliquer qu’il existe un paramètre de stratégie du domaine qui substitue votre paramètre de stratégie.

Cause 2 : stratégie de groupe n’a peut-être pas actualisé ses paramètres de stratégie. stratégie de groupe applique régulièrement les modifications apportées aux paramètres de stratégie. Par conséquent, il est probable que les modifications de stratégie apportées dans l’annuaire n’ont pas encore été actualisées.

Solutions:

• L’ordinateur sur lequel vous modifiez les stratégies de restriction logicielle pour le réseau doit être en mesure de contacter un contrôleur de domaine. Vérifiez que l’ordinateur peut contacter un contrôleur de domaine.
• Actualisez la stratégie en vous connectant au réseau, puis en vous reconnectant au réseau. Si une stratégie est appliquée via stratégie de groupe, la connexion actualise ces stratégies.
• Vous pouvez actualiser les paramètres de stratégie à l’aide de l’utilitaire gpupdate de ligne de commande ou en vous déconnectez à partir de , puis en vous reconnectant à votre ordinateur. Pour obtenir de meilleurs résultats, exécutez gpupdate, puis déconnectez-vous de et reconnectez-vous à votre ordinateur. En règle générale, les paramètres de sécurité sont actualisés toutes les 90 minutes sur une station de travail ou un serveur et toutes les 5 minutes sur un contrôleur de domaine. Ces paramètres font également l'objet d'une actualisation toutes les 16 heures, même si aucune modification n'est intervenue. Ces paramètres étant configurables, les intervalles d’actualisation peuvent être différents dans chaque domaine.
• Vérifiez les stratégies qui s’appliquent. Vérifiez les stratégies de niveau domaine pour les paramètres Aucun remplacement .
• Les stratégies de restriction logicielle spécifiées dans un domaine via stratégie de groupe remplacent toutes les stratégies configurées localement. Utilisez l’outil Gpresult en ligne de commande pour déterminer l’effet net de la stratégie. Lorsque les stratégies ne prennent pas effet, cela peut impliquer qu’il existe une stratégie du domaine qui substitue votre paramètre local.
• Si les paramètres de stratégie SRP et AppLocker se trouvent dans le même objet de stratégie de groupe, les paramètres AppLocker sont prioritaires sur Windows 7, Windows Server 2008 R2 et les versions ultérieures. Il est recommandé de placer les paramètres de stratégie SRP et AppLocker dans différents objets de stratégie de groupe.

Après avoir ajouté une règle via SRP, vous ne pouvez pas vous connecter à votre ordinateur

Cause : Votre ordinateur accède à de nombreux programmes et fichiers lorsqu’il démarre. Vous avez peut-être défini par inadvertance l’un de ces programmes ou fichiers sur Non autorisé. Étant donné que l’ordinateur ne peut pas accéder au programme ou au fichier, il ne peut pas démarrer correctement.

Solution: Démarrez l’ordinateur en mode sans échec, connectez-vous en tant qu’administrateur local, puis modifiez les stratégies de restriction logicielle pour autoriser l’exécution du programme ou du fichier.

Un nouveau paramètre de stratégie ne s’applique pas à une extension de nom de fichier spécifique

Cause : L’extension de nom de fichier ne figure pas dans la liste des types de fichiers pris en charge.

Solution: Ajoutez l’extension de nom de fichier à la liste des types de fichiers pris en charge par SRP.

Les stratégies de restriction logicielle résolvent le problème de régulation du code inconnu ou non approuvé. Les stratégies de restriction logicielle sont des paramètres de sécurité permettant d’identifier les logiciels et de contrôler leur capacité à s’exécuter sur un ordinateur local, dans un site, un domaine ou une unité d’organisation. Vous pouvez implémenter ces paramètres via un objet de stratégie de groupe.

Une règle par défaut ne limite pas comme prévu

Cause : Les règles appliquées dans une séquence particulière peuvent entraîner le remplacement de règles par défaut par des règles spécifiques. SRP applique les règles dans l’ordre suivant (du plus spécifique au plus général) :

1. Règles de hachage
2. Règles de certificat
3. Règles de chemin d’accès
4. Règles de zone Internet
5. Règles par défaut

Solution: Évaluez les règles limitant l’application et, le cas échéant, supprimez toutes les règles sauf la règle par défaut.

Impossible de découvrir quelles restrictions sont appliquées

Cause : Il n’existe aucune cause apparente pour le comportement inattendu. L’actualisation de l’objet de stratégie de groupe n’a pas résolu le problème ; une enquête plus approfondie est nécessaire.

Solutions:

• Examinez le journal des événements système, en filtrant sur la source de « Stratégie de restriction logicielle ». Les entrées indiquent explicitement quelle règle est implémentée pour chaque application.
• Activez la journalisation avancée.
• Pour plus d’informations sur les stratégies de restriction logicielle, consultez Déterminer la liste des Allow-Deny et l’inventaire des applications pour les stratégies de restriction logicielle.