Устранение неполадок с политиками ограниченного использования программного обеспечения

В этой статье описываются распространенные проблемы и решения при устранении неполадок с политиками ограниченного использования программного обеспечения (SRP), начиная с Windows Server 2008 и Windows Vista.

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Введение

Политики ограниченного использования программного обеспечения (SRP) — это групповая политика функция, которая определяет программы, выполняемые на компьютерах в домене, и управляет возможностью запуска этих программ. Политики ограниченного использования программного обеспечения используются для создания конфигурации с высоким уровнем ограничений для компьютеров, в которой разрешен запуск только определенных приложений. Эти приложения интегрированы с microsoft доменные службы Active Directory и групповая политика но также могут быть настроены на автономных компьютерах. Дополнительные сведения о SRP см. в разделе Политики ограниченного использования программного обеспечения.

Начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.

Windows не удается открыть программу

Пользователи получают сообщение: "Windows не может открыть эту программу, так как она была запрещена политикой ограниченного использования программного обеспечения. Для получения дополнительных сведений откройте Просмотр событий или обратитесь к системному администратору". Или в командной строке появится сообщение "Система не может выполнить указанную программу".

Вызвать: Уровень безопасности по умолчанию (или правило) был создан, чтобы программе было присвоено значение Запрещено и, как следствие, она не запускается.

Решение: Найдите в журнале событий подробное описание сообщения. В сообщении журнала событий указывается, какое программное обеспечение установлено как запрещенное и какое правило применяется к программе.

Измененные политики ограниченного использования программного обеспечения не действуют

Причина 1. Политики ограниченного использования программного обеспечения, указанные в домене с помощью групповая политика переопределяют все параметры политики, настроенные локально. Если политики не действуют, это может означать, что из домена есть параметр политики, который переопределяет ваш параметр политики.

Причина 2. возможно, групповая политика не обновили параметры политики. групповая политика периодически применяет изменения к параметрам политики, поэтому, скорее всего, изменения политики, внесенные в каталог, еще не были обновлены.

Решения:

• Компьютер, на котором изменяются политики ограниченного использования программного обеспечения для сети, должен иметь возможность связаться с контроллером домена. Убедитесь, что компьютер может связаться с контроллером домена.
• Обновите политику, выйдя из сети, а затем снова войдите в сеть. Если какая-либо политика применяется через групповая политика, вход в систему обновляет эти политики.
• Параметры политики можно обновить с помощью программы командной gpupdate строки или путем выхода из и последующего входа обратно на компьютер. Для достижения наилучших результатов запустите gpupdate, а затем выйдите из и снова войдите на компьютер. Как правило, параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Кроме того, независимо от наличия изменений эти параметры обновляются каждые 16 часов. Эти параметры можно настроить, поэтому интервалы обновления могут быть разными в каждом домене.
• Проверьте, какие политики применяются. Проверьте политики уровня домена на наличие параметров без переопределения .
• Политики ограниченного использования программного обеспечения, указанные в домене с помощью групповая политика переопределяют все политики, настроенные локально. Используйте Gpresult программу командной строки, чтобы определить, каков сетевой эффект политики. Если политики не действуют, это может означать, что есть политика из домена, которая переопределяет локальный параметр.
• Если параметры политики SRP и AppLocker находятся в одном объекте групповой политики, параметры AppLocker имеют приоритет в Windows 7, Windows Server 2008 R2 и более поздних версиях. Рекомендуется поместить параметры политики SRP и AppLocker в разные объекты групповой политики.

После добавления правила через SRP вы не сможете войти на компьютер.

Вызвать: При запуске компьютер получает доступ ко многим программам и файлам. Возможно, вы непреднамеренно присвоили одной из этих программ или файлов значение Запрещено. Так как компьютер не может получить доступ к программе или файлу, он не может запуститься должным образом.

Решение: Запустите компьютер в безопасном режиме, войдите в систему от имени локального администратора, а затем измените политики ограничения программного обеспечения, чтобы разрешить запуск программы или файла.

Новый параметр политики не применяется к определенному расширению имени файла

Вызвать: Расширение имени файла отсутствует в списке поддерживаемых типов файлов.

Решение: Добавьте расширение файла в список типов файлов, поддерживаемых SRP.

Политики ограниченного использования программного обеспечения решают проблему регулирования неизвестного или недоверенного кода. Политики ограниченного использования программного обеспечения — это параметры безопасности для идентификации программного обеспечения и управления его возможностью запуска на локальном компьютере, на сайте, в домене или подразделении. Эти параметры можно реализовать с помощью объекта групповой политики.

Правило по умолчанию не ограничивается должным образом

Вызвать: Правила, применяемые в определенной последовательности, могут привести к тому, что определенные правила переопределяются по умолчанию. SRP применяет правила в следующей последовательности (от наиболее специфичных к наиболее общим):

1. Хэш-правила
2. Правила сертификатов
3. Правила путей
4. Правила зоны Интернета
5. Правила по умолчанию

Решение: Оцените правила, ограничивающие приложение, и при необходимости удалите все, кроме правила по умолчанию.

Не удается определить, какие ограничения применяются

Вызвать: Нет никаких очевидных причин для непредвиденного поведения. Обновление объекта групповой политики не решило проблему; требуется дальнейшее расследование.

Решения:

• Изучите журнал системных событий с фильтрацией по источнику "Политика ограниченного использования программного обеспечения". В записях явно указывается, какое правило реализовано для каждого приложения.
• Включите расширенное ведение журнала.
• Дополнительные сведения о политиках ограниченного использования программного обеспечения см. в статье Определение списка Allow-Deny и инвентаризации приложений для политик ограниченного использования программного обеспечения.