Resolver problemas de políticas de restrição de software

Este artigo descreve problemas comuns e soluções ao resolver problemas de Políticas de Restrição de Software (SRP) que começam com o Windows Server 2008 e o Windows Vista.

Introdução

As Políticas de Restrição de Software (SRP) são funcionalidades baseadas em Políticas de Grupo que identificam programas de software em execução em computadores num domínio e controlam a capacidade de execução desses programas. Pode utilizar políticas de restrição de software para criar uma configuração altamente restrita para computadores, na qual só permite a execução de aplicações identificadas. Estas aplicações estão integradas nos Serviços de Domínio do Microsoft Active Directory e na Política de Grupo, mas também podem ser configuradas em computadores autónomos. Para obter mais informações sobre o SRP, veja Políticas de Restrição de Software.

A partir do Windows Server 2008 R2 e Windows 7, o Windows AppLocker pode ser utilizado em vez de ou em conjunto com o SRP para uma parte da sua estratégia de controlo de aplicações.

O Windows não consegue abrir um programa

Os utilizadores recebem uma mensagem a indicar: "O Windows não consegue abrir este programa porque foi impedido por uma política de restrição de software. Para obter mais informações, abra o Visualizador de Eventos ou contacte o administrador de sistema." Ou, na linha de comandos, é apresentada uma mensagem a indicar "O sistema não consegue executar o programa especificado".

Causa: O nível de segurança predefinido (ou uma regra) foi criado para que o programa de software seja definido como Não permitido e, como resultado, não seja iniciado.

Solução: Procure no registo de eventos uma descrição detalhada da mensagem. A mensagem do registo de eventos indica que programa de software está definido como Não permitido e que regra é aplicada ao programa.

As políticas de restrição de software modificadas não estão a ser aplicadas

Causa 1: As políticas de restrição de software especificadas num domínio através da Política de Grupo substituem quaisquer definições de política configuradas localmente. Quando as políticas não estão a ser aplicadas, pode implicar que existe uma definição de política do domínio que está a substituir a definição de política.

Causa 2: A Política de Grupo pode não ter atualizado as definições de política. A Política de Grupo aplica alterações às definições de política periodicamente; Portanto, é provável que as alterações de política feitas no diretório ainda não tenham sido atualizadas.

Soluções:

• O computador no qual modifica as políticas de restrição de software para a rede tem de conseguir contactar um controlador de domínio. Certifique-se de que o computador pode contactar um controlador de domínio.
• Atualize a política ao iniciar sessão na rede e, em seguida, iniciar sessão novamente na rede. Se alguma política for aplicada através da Política de Grupo, voltar a iniciar sessão atualiza essas políticas.
• Pode atualizar as definições de política com o utilitário gpupdate da linha de comandos ou ao terminar sessão a partir de e, em seguida, voltar a iniciar sessão no seu computador. Para obter os melhores resultados, execute gpupdatee, em seguida, termine sessão e volte a iniciar sessão no seu computador. Geralmente, as definições de segurança são atualizadas a cada 90 minutos numa estação de trabalho ou servidor e a cada 5 minutos num controlador de domínio. As definições também são atualizadas a cada 16 horas, quer existam ou não alterações. Estas definições são configuráveis, pelo que os intervalos de atualização podem ser diferentes em cada domínio.
• Verifique que políticas se aplicam. Verifique as políticas ao nível do domínio para ver as definições Sem Substituição .
• As políticas de restrição de software especificadas num domínio através da Política de Grupo substituem todas as políticas configuradas localmente. Utilize Gpresult a ferramenta de linha de comandos para determinar qual é o efeito líquido da política. Quando as políticas não estão a ser aplicadas, pode implicar que existe uma política do domínio que está a substituir a definição local.
• Se as definições de política SRP e AppLocker estiverem no mesmo GPO, as definições do AppLocker têm precedência no Windows 7, Windows Server 2008 R2 e versões posteriores. Recomenda-se colocar as definições de política SRP e AppLocker em DIFERENTES GPOs.

Depois de adicionar uma regra através do SRP, não pode iniciar sessão no seu computador

Causa: O seu computador acede a muitos programas e ficheiros quando é iniciado. Poderá ter definido inadvertidamente um destes programas ou ficheiros como Não Permitido. Uma vez que o computador não consegue aceder ao programa ou ficheiro, não pode ser iniciado corretamente.

Solução: Inicie o computador no Modo de Segurança, inicie sessão como administrador local e, em seguida, altere as políticas de restrição de software para permitir a execução do programa ou ficheiro.

Uma nova definição de política não está a ser aplicada a uma extensão de nome de ficheiro específica

Causa: A extensão de nome de ficheiro não está na lista de tipos de ficheiro suportados.

Solução: Adicione a extensão de nome de ficheiro à lista de tipos de ficheiro suportados pelo SRP.

As políticas de restrição de software resolvem o problema de regulação de código desconhecido ou não fidedigno. As políticas de restrição de software são definições de segurança para identificar software e controlar a sua capacidade de execução num computador local, num site, domínio ou UO. Pode implementar estas definições através de um GPO.

Uma regra predefinida não está a restringir conforme esperado

Causa: As regras aplicadas numa sequência específica podem fazer com que regras específicas substituam as regras predefinidas. O SRP aplica regras na seguinte sequência (da mais específica para a mais geral):

1. Regras de hash
2. Regras de certificado
3. Regras de caminho
4. Regras de Zona de Internet
5. Regras padrão

Solução: Avalie as regras que restringem a aplicação e, se adequado, remova todas as regras exceto a Predefinição.

Não é possível detetar que restrições são aplicadas

Causa: Não há nenhuma causa aparente para o comportamento inesperado. A atualização do GPO não resolveu o problema; é necessária uma investigação mais aprofundada.

Soluções:

• Investigue o Registo de Eventos do Sistema, filtrando na origem da "Política de Restrição de Software". As entradas declaram explicitamente que regra é implementada para cada aplicação.
• Ative o registo avançado.
• Para obter mais informações sobre políticas de restrição de software, veja Determinar Allow-Deny Lista e Inventário de Aplicações para Políticas de Restrição de Software.