Risolvere i problemi relativi ai criteri di restrizione software

Questo articolo descrive i problemi e le soluzioni comuni durante la risoluzione dei problemi relativi ai criteri di restrizione software (SRP) a partire da Windows Server 2008 e Windows Vista.

              Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Introduzione

Software Restriction Policies (SRP) è una funzionalità basata su Criteri di gruppo che identifica i programmi software in esecuzione nei computer in un dominio e controlla la capacità di esecuzione di tali programmi. I criteri di restrizione software vengono usati per creare una configurazione con restrizioni elevate per i computer, in cui è possibile eseguire solo le applicazioni identificate. Queste applicazioni sono integrate con Microsoft Active Directory Domain Services e Criteri di gruppo, ma possono essere configurate anche in computer autonomi. Per altre informazioni su SRP, vedere Criteri di restrizione software.

A partire da Windows Server 2008 R2 e Windows 7, è possibile usare Windows AppLocker anziché o in combinazione con SRP per una parte della strategia di controllo dell'applicazione.

Windows non può aprire un programma

Gli utenti ricevono un messaggio che indica che "Windows non può aprire questo programma perché è stato impedito da un criterio di restrizione software. Per altre informazioni, aprire Visualizzatore eventi o contattare l'amministratore di sistema." In alternativa, nella riga di comando viene visualizzato un messaggio che indica che il sistema non può eseguire il programma specificato.

Causa: Il livello di sicurezza predefinito (o una regola) è stato creato in modo che il programma software sia impostato come Non consentito e di conseguenza non viene avviato.

Soluzione: Cercare nel registro eventi una descrizione approfondita del messaggio. Il messaggio del registro eventi indica quale programma software è impostato come Non consentito e quale regola viene applicata al programma.

I criteri di restrizione software modificati non hanno effetto

Causa 1: I criteri di restrizione software specificati in un dominio tramite Criteri di gruppo ignorare le impostazioni dei criteri configurate in locale. Quando i criteri non diventano effettivi, potrebbe implicare che esiste un'impostazione di criteri dal dominio che esegue l'override dell'impostazione dei criteri.

Causa 2: Criteri di gruppo potrebbe non aver aggiornato le impostazioni dei criteri. Criteri di gruppo applica periodicamente modifiche alle impostazioni dei criteri, pertanto è probabile che le modifiche apportate ai criteri nella directory non siano ancora state aggiornate.

Soluzioni:

• Il computer in cui si modificano i criteri di restrizione software per la rete deve essere in grado di contattare un controller di dominio. Assicurarsi che il computer possa contattare un controller di dominio.
• Aggiornare i criteri disconnettendosi dalla rete e quindi accedendo nuovamente alla rete. Se vengono applicati criteri tramite Criteri di gruppo, la registrazione in aggiorna tali criteri.
• È possibile aggiornare le impostazioni dei criteri con l'utilità gpupdate della riga di comando oppure disconnettersi da e quindi accedere di nuovo al computer. Per ottenere risultati ottimali, eseguire gpupdate, quindi disconnettersi da e accedere di nuovo al computer. In genere, le impostazioni di sicurezza vengono aggiornate ogni 90 minuti in una workstation o in un server e ogni 5 minuti in un controller di dominio. Le impostazioni vengono inoltre aggiornate ogni 16 ore, indipendentemente dal fatto che siano state modificate o meno. Queste impostazioni sono configurabili, quindi gli intervalli di aggiornamento possono essere diversi in ogni dominio.
• Controllare quali criteri si applicano. Controllare i criteri a livello di dominio per Nessuna impostazione di override .
• I criteri di restrizione software specificati in un dominio tramite Criteri di gruppo sostituiscono tutti i criteri configurati in locale. Usare Gpresult lo strumento da riga di comando per determinare qual è l'effetto netto dei criteri. Quando i criteri non diventano effettivi, potrebbe implicare che esiste un criterio dal dominio che esegue l'override dell'impostazione locale.
• Se le impostazioni dei criteri SRP e AppLocker si trovano nello stesso oggetto Criteri di gruppo, le impostazioni di AppLocker hanno la precedenza in Windows 7, Windows Server 2008 R2 e versioni successive. È consigliabile inserire le impostazioni dei criteri SRP e AppLocker in oggetti Criteri di gruppo diversi.

Dopo aver aggiunto una regola tramite SRP, non è possibile accedere al computer

Causa: Il computer accede a molti programmi e file all'avvio. È possibile che uno di questi programmi o file sia stato impostato inavvertitamente su Non consentito. Poiché il computer non può accedere al programma o al file, non può essere avviato correttamente.

Soluzione: Avviare il computer in modalità provvisoria, accedere come amministratore locale e quindi modificare i criteri di restrizione software per consentire l'esecuzione del programma o del file.

Una nuova impostazione di criteri non viene applicata a un'estensione di file specifica

Causa: L'estensione del nome file non è nell'elenco dei tipi di file supportati.

Soluzione: Aggiungere l'estensione del nome file all'elenco dei tipi di file supportati da SRP.

I criteri di restrizione software affrontano il problema della regolazione del codice sconosciuto o non attendibile. I criteri di restrizione software sono impostazioni di sicurezza per identificare il software e controllarne la capacità di esecuzione in un computer locale, in un sito, un dominio o un'unità organizzativa. È possibile implementare queste impostazioni tramite un oggetto Criteri di gruppo.

Una regola predefinita non limita come previsto

Causa: Le regole applicate in una sequenza specifica possono causare l'override di regole predefinite specifiche. SRP applica le regole nella sequenza seguente (dalla più specifica alla più generale):

1. Regole hash
2. Regole del certificato
3. Regole di percorso
4. Regole dell'area Internet
5. Regole predefinite

Soluzione: Valutare le regole che limitano l'applicazione e, se appropriato, rimuovere tutte le regole tranne quella predefinita.

Non è possibile individuare le restrizioni applicate

Causa: Non esiste alcuna causa apparente per il comportamento imprevisto. L'aggiornamento dell'oggetto Criteri di gruppo non ha risolto il problema; ulteriori indagini sono necessarie.

Soluzioni:

• Esaminare il registro eventi di sistema, filtrando in base all'origine di "Criteri di restrizione software". Le voci specificano in modo esplicito quale regola viene implementata per ogni applicazione.
• Abilitare la registrazione avanzata.
• Per altre informazioni sui criteri di restrizione software, vedere Determinare l'elenco di Allow-Deny e l'inventario delle applicazioni per i criteri di restrizione software.