Resolver problemas de políticas de restrição de software
Este artigo descreve problemas comuns e soluções ao resolver problemas de Políticas de Restrição de Software (SRP) que começam com o Windows Server 2008 e o Windows Vista.
Introdução
As Políticas de Restrição de Software (SRP) são funcionalidades baseadas em Políticas de Grupo que identificam programas de software em execução em computadores num domínio e controlam a capacidade de execução desses programas. Pode utilizar políticas de restrição de software para criar uma configuração altamente restrita para computadores, na qual só permite a execução de aplicações identificadas. Estas aplicações estão integradas nos Serviços de Domínio do Microsoft Active Directory e na Política de Grupo, mas também podem ser configuradas em computadores autónomos. Para obter mais informações sobre o SRP, veja Políticas de Restrição de Software.
A partir do Windows Server 2008 R2 e Windows 7, o Windows AppLocker pode ser utilizado em vez de ou em conjunto com o SRP para uma parte da sua estratégia de controlo de aplicações.
O Windows não consegue abrir um programa
Os utilizadores recebem uma mensagem a indicar: "O Windows não consegue abrir este programa porque foi impedido por uma política de restrição de software. Para obter mais informações, abra o Visualizador de Eventos ou contacte o administrador de sistema." Ou, na linha de comandos, é apresentada uma mensagem a indicar "O sistema não consegue executar o programa especificado".
Causa: O nível de segurança predefinido (ou uma regra) foi criado para que o programa de software seja definido como Não permitido e, como resultado, não seja iniciado.
Solução: Procure no registo de eventos uma descrição detalhada da mensagem. A mensagem do registo de eventos indica que programa de software está definido como Não permitido e que regra é aplicada ao programa.
As políticas de restrição de software modificadas não estão a ser aplicadas
Causa 1: As políticas de restrição de software especificadas num domínio através da Política de Grupo substituem quaisquer definições de política configuradas localmente. Quando as políticas não estão a ser aplicadas, pode implicar que existe uma definição de política do domínio que está a substituir a definição de política.
Causa 2: A Política de Grupo pode não ter atualizado as definições de política. A Política de Grupo aplica alterações às definições de política periodicamente; Portanto, é provável que as alterações de política feitas no diretório ainda não tenham sido atualizadas.
Soluções:
- O computador no qual modifica as políticas de restrição de software para a rede tem de conseguir contactar um controlador de domínio. Certifique-se de que o computador pode contactar um controlador de domínio.
- Atualize a política ao iniciar sessão na rede e, em seguida, iniciar sessão novamente na rede. Se alguma política for aplicada através da Política de Grupo, voltar a iniciar sessão atualiza essas políticas.
- Pode atualizar as definições de política com o utilitário
gpupdate
da linha de comandos ou ao terminar sessão a partir de e, em seguida, voltar a iniciar sessão no seu computador. Para obter os melhores resultados, executegpupdate
e, em seguida, termine sessão e volte a iniciar sessão no seu computador. Geralmente, as definições de segurança são atualizadas a cada 90 minutos numa estação de trabalho ou servidor e a cada 5 minutos num controlador de domínio. As definições também são atualizadas a cada 16 horas, quer existam ou não alterações. Estas definições são configuráveis, pelo que os intervalos de atualização podem ser diferentes em cada domínio. - Verifique que políticas se aplicam. Verifique as políticas ao nível do domínio para ver as definições Sem Substituição .
- As políticas de restrição de software especificadas num domínio através da Política de Grupo substituem todas as políticas configuradas localmente. Utilize
Gpresult
a ferramenta de linha de comandos para determinar qual é o efeito líquido da política. Quando as políticas não estão a ser aplicadas, pode implicar que existe uma política do domínio que está a substituir a definição local. - Se as definições de política SRP e AppLocker estiverem no mesmo GPO, as definições do AppLocker têm precedência no Windows 7, Windows Server 2008 R2 e versões posteriores. Recomenda-se colocar as definições de política SRP e AppLocker em DIFERENTES GPOs.
Depois de adicionar uma regra através do SRP, não pode iniciar sessão no seu computador
Causa: O seu computador acede a muitos programas e ficheiros quando é iniciado. Poderá ter definido inadvertidamente um destes programas ou ficheiros como Não Permitido. Uma vez que o computador não consegue aceder ao programa ou ficheiro, não pode ser iniciado corretamente.
Solução: Inicie o computador no Modo de Segurança, inicie sessão como administrador local e, em seguida, altere as políticas de restrição de software para permitir a execução do programa ou ficheiro.
Uma nova definição de política não está a ser aplicada a uma extensão de nome de ficheiro específica
Causa: A extensão de nome de ficheiro não está na lista de tipos de ficheiro suportados.
Solução: Adicione a extensão de nome de ficheiro à lista de tipos de ficheiro suportados pelo SRP.
As políticas de restrição de software resolvem o problema de regulação de código desconhecido ou não fidedigno. As políticas de restrição de software são definições de segurança para identificar software e controlar a sua capacidade de execução num computador local, num site, domínio ou UO. Pode implementar estas definições através de um GPO.
Uma regra predefinida não está a restringir conforme esperado
Causa: As regras aplicadas numa sequência específica podem fazer com que regras específicas substituam as regras predefinidas. O SRP aplica regras na seguinte sequência (da mais específica para a mais geral):
- Regras de hash
- Regras de certificado
- Regras de caminho
- Regras de Zona de Internet
- Regras padrão
Solução: Avalie as regras que restringem a aplicação e, se adequado, remova todas as regras exceto a Predefinição.
Não é possível detetar que restrições são aplicadas
Causa: Não há nenhuma causa aparente para o comportamento inesperado. A atualização do GPO não resolveu o problema; é necessária uma investigação mais aprofundada.
Soluções:
- Investigue o Registo de Eventos do Sistema, filtrando na origem da "Política de Restrição de Software". As entradas declaram explicitamente que regra é implementada para cada aplicação.
- Ative o registo avançado.
- Para obter mais informações sobre políticas de restrição de software, veja Determinar Allow-Deny Lista e Inventário de Aplicações para Políticas de Restrição de Software.