Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano typowe problemy i rozwiązania podczas rozwiązywania problemów z zasadami ograniczeń oprogramowania (SRP) począwszy od systemów Windows Server 2008 i Windows Vista.
Wprowadzenie
Zasady ograniczeń oprogramowania (SRP) to funkcja oparta na zasadach grupy, która identyfikuje programy programowe uruchomione na komputerach w domenie i kontroluje możliwość uruchamiania tych programów. Zasady ograniczeń oprogramowania służą do tworzenia konfiguracji o wysokim stopniu ograniczonym dla komputerów, w których można uruchamiać tylko zidentyfikowane aplikacje. Te aplikacje są zintegrowane z usługami microsoft domena usługi Active Directory i zasadami grupy, ale można je również skonfigurować na komputerach autonomicznych. Aby uzyskać więcej informacji na temat protokołu SRP, zobacz Zasady ograniczeń oprogramowania.
Począwszy od systemów Windows Server 2008 R2 i Windows 7, funkcja Windows AppLocker może być używana zamiast lub w połączeniu z funkcją SRP dla części strategii sterowania aplikacjami.
System Windows nie może otworzyć programu
Użytkownicy otrzymują komunikat "System Windows nie może otworzyć tego programu, ponieważ nie został on zabroniony przez zasady ograniczeń oprogramowania. Aby uzyskać więcej informacji, otwórz Podgląd zdarzeń lub skontaktuj się z administratorem systemu. Albo w wierszu polecenia zostanie wyświetlony komunikat "System nie może wykonać określonego programu".
Przyczyna: domyślny poziom zabezpieczeń (lub reguła) został utworzony tak, aby program był ustawiony jako Niedozwolony i w wyniku tego nie uruchamia się.
Rozwiązanie: Poszukaj w dzienniku zdarzeń szczegółowego opisu komunikatu. Komunikat dziennika zdarzeń wskazuje, jaki program jest ustawiony jako Niedozwolony i jaka reguła jest stosowana do programu.
Zmodyfikowane zasady ograniczeń oprogramowania nie obowiązują
Przyczyna 1. Zasady ograniczeń oprogramowania określone w domenie za pomocą zasad grupy zastępują wszystkie ustawienia zasad skonfigurowane lokalnie. Jeśli zasady nie zostaną zastosowane, może to oznaczać, że istnieje ustawienie zasad z domeny, która zastępuje ustawienie zasad.
Przyczyna 2. Zasady grupy mogły nie odświeżyć ustawień zasad. Zasady grupy okresowo stosują zmiany w ustawieniach zasad; w związku z tym prawdopodobnie zmiany zasad wprowadzone w katalogu nie zostały jeszcze odświeżone.
Rozwiązania:
- Komputer, na którym modyfikujesz zasady ograniczeń oprogramowania dla sieci, musi mieć możliwość skontaktowania się z kontrolerem domeny. Upewnij się, że komputer może skontaktować się z kontrolerem domeny.
- Odśwież zasady, logując się z sieci, a następnie ponownie logując się do sieci. Jeśli jakiekolwiek zasady są stosowane za pomocą zasad grupy, rejestrowanie się z powrotem w ramach odświeżania tych zasad.
- Ustawienia zasad można odświeżyć za pomocą narzędzia
gpupdatewiersza polecenia lub wylogować się z komputera, a następnie zalogować się ponownie na komputerze. Aby uzyskać najlepsze wyniki, uruchom poleceniegpupdate, a następnie wyloguj się i zaloguj się ponownie na komputerze. Ogólnie rzecz biorąc, ustawienia zabezpieczeń są odświeżane co 90 minut na stacji roboczej lub serwerze i co 5 minut na kontrolerze domeny. Ustawienia te są również odświeżane co 16 godzin, niezależnie od tego, czy wprowadzano zmiany czy nie. Te ustawienia można konfigurować, więc interwały odświeżania mogą być różne w każdej domenie. - Sprawdź, które zasady mają zastosowanie. Sprawdź zasady na poziomie domeny dla ustawienia Brak przesłaniania .
- Zasady ograniczeń oprogramowania określone w domenie za pomocą zasad grupy zastępują wszystkie zasady skonfigurowane lokalnie. Użyj
Gpresultnarzędzia wiersza polecenia, aby określić, jaki jest efekt netto zasad. Jeśli zasady nie zostaną zastosowane, może to oznaczać, że istnieją zasady z domeny, która zastępuje ustawienie lokalne. - Jeśli ustawienia zasad SRP i AppLocker znajdują się w tym samym obiekcie zasad grupy, ustawienia funkcji AppLocker mają pierwszeństwo w systemach Windows 7, Windows Server 2008 R2 i nowszych wersjach. Zaleca się umieszczenie ustawień zasad SRP i AppLocker w różnych obiektach zasad grupy.
Po dodaniu reguły za pomocą protokołu SRP nie można zalogować się na komputerze
Przyczyna: Komputer uzyskuje dostęp do wielu programów i plików podczas uruchamiania. Być może nieumyślnie ustawisz jeden z tych programów lub plików na niedozwolone. Ponieważ komputer nie może uzyskać dostępu do programu lub pliku, nie może on uruchomić się poprawnie.
Rozwiązanie: Uruchom komputer w trybie awaryjnym, zaloguj się jako administrator lokalny, a następnie zmień zasady ograniczeń oprogramowania, aby umożliwić uruchamianie programu lub pliku.
Nowe ustawienie zasad nie jest stosowane do określonego rozszerzenia nazwy pliku
Przyczyna: Rozszerzenie nazwy pliku nie znajduje się na liście obsługiwanych typów plików.
Rozwiązanie: Dodaj rozszerzenie nazwy pliku do listy typów plików obsługiwanych przez protokół SRP.
Zasady ograniczeń oprogramowania dotyczą problemu regulacji nieznanego lub niezaufanego kodu. Zasady ograniczeń oprogramowania to ustawienia zabezpieczeń służące do identyfikowania oprogramowania i kontrolowania jego możliwości uruchamiania na komputerze lokalnym, w lokacji, domenie lub jednostki organizacyjnej. Te ustawienia można zaimplementować za pomocą obiektu zasad grupy.
Reguła domyślna nie ogranicza się zgodnie z oczekiwaniami
Przyczyna: Reguły stosowane w określonej sekwencji mogą powodować zastępowanie reguł domyślnych przez określone reguły. Protokół SRP stosuje reguły w następującej sekwencji (od najbardziej specyficznych do najbardziej ogólnych):
- Reguły skrótu
- Reguły certyfikatów
- Reguły ścieżek
- Reguły strefy internetowej
- Reguły domyślne
Rozwiązanie: Oceń reguły ograniczające aplikację i, jeśli to konieczne, usuń wszystkie oprócz reguły domyślnej.
Nie można wykryć, które ograniczenia są stosowane
Przyczyna: Nie ma widocznej przyczyny nieoczekiwanego zachowania. Odświeżanie obiektu zasad grupy nie rozwiązało problemu; konieczne jest dalsze badanie.
Rozwiązania:
- Zbadaj dziennik zdarzeń systemu, filtrując źródło "Zasady ograniczeń oprogramowania". Wpisy jawnie stwierdzają, która reguła jest implementowana dla każdej aplikacji.
- Włącz rejestrowanie zaawansowane.
- Aby uzyskać więcej informacji na temat zasad ograniczeń oprogramowania, zobacz Określanie listy dozwolonych odmów i spisu aplikacji dla zasad ograniczeń oprogramowania.