針對軟體限制原則進行疑難解答
本文說明從 Windows Server 2008 和 Windows Vista 開始 (SRP) 軟體限制原則疑難解答時的常見問題和解決方案。
簡介
軟體限制原則 (SRP) 是組策略型功能,可識別網域中計算機上執行的軟體程式,並控制這些程式的執行能力。 您可以使用軟體限制原則為計算機建立高度受限制的設定,讓您只允許執行識別的應用程式。 這些應用程式與 Microsoft Active Directory 網域服務和組策略整合,但也可在獨立電腦上設定。 如需 SRP 的詳細資訊,請參閱 軟體限制原則。
從 Windows Server 2008 R2 和 Windows 7 開始,Windows AppLocker 可用於應用程控策略的一部分,而非 SRP,或與 SRP 搭配使用。
Windows 無法開啟程式
使用者會收到訊息,指出「Windows 無法開啟此程式,因為軟體限制原則已防止此程式。 如需詳細資訊,請開啟事件查看器或連絡您的系統管理員。」或者,在命令行上會出現訊息,指出「系統無法執行指定的程式」。
原因: 建立預設安全性層級 (或規則) ,讓軟體程式設定為 [不允許 ],因此不會啟動。
解決方案: 在事件記錄檔中查看訊息的深入描述。 事件記錄訊息會指出哪些軟體程式設定為 [不允許 ],以及套用至程序的規則。
修改過的軟體限制原則未生效
原因 1: 透過組策略在網域中指定的軟體限制原則會覆寫在本機設定的任何原則設定。 當原則未生效時,可能表示網域中有原則設定正在覆寫您的原則設定。
原因 2: 組策略可能尚未重新整理其原則設定。 組策略會定期將變更套用至原則設定;因此,可能尚未重新整理目錄中所做的原則變更。
解決方案:
- 您修改網路軟體限制原則的電腦必須能夠連絡域控制器。 確定計算機可以連絡域控制器。
- 藉由註銷網路,然後再次登入網路來重新整理原則。 如果任何原則是透過組策略套用,則在 中重新記錄會重新整理這些原則。
- 您可以使用命令行公用程式
gpupdate重新整理原則設定,或從 中註銷,然後再登入您的計算機。 為了獲得最佳結果,請執行gpupdate,然後註銷並重新登入您的計算機。 一般而言,安全性設定會在工作站或伺服器上每隔 90 分鐘重新整理一次,並在域控制器上每隔 5 分鐘重新整理一次。 無論是否有任何變更,設定也會每隔 16 小時重新整理一次。 這些設定是可設定的,因此每個網域中的重新整理間隔可能會不同。 - 檢查適用的原則。 檢查 [無覆寫 ] 設定的網域層級原則。
- 透過組策略在網域中指定的軟體限制原則會覆寫在本機設定的任何原則。 使用
Gpresult命令行工具來判斷原則的凈效果。 當原則未生效時,可能表示網域中有原則會覆寫您的本機設定。 - 如果 SRP 和 AppLocker 原則設定位於相同的 GPO 中,AppLocker 設定會優先於 Windows 7、Windows Server 2008 R2 和更新版本。 建議您將 SRP 和 AppLocker 原則設定放在不同的 GPO 中。
透過 SRP 新增規則之後,您就無法登入電腦
原因: 您的電腦會在啟動時存取許多程序和檔案。 您可能不小心將其中一個程式或檔案設定為 [不允許]。 因為計算機無法存取程式或檔案,所以無法正確啟動。
解決方案: 以安全模式啟動計算機、以本機系統管理員身分登入,然後變更軟體限制原則以允許程式或檔案執行。
新的原則設定未套用至特定的擴展名
原因: 擴展名不在支援的檔案類型清單中。
解決方案: 將擴展名新增至 SRP 支援的檔案類型清單。
軟體限制原則可解決管理未知或不受信任程式碼的問題。 軟體限制原則是安全性設定,可識別軟體並控制其在本機計算機、網站、網域或 OU 中執行的能力。 您可以透過 GPO 實作這些設定。
默認規則未如預期般限制
原因: 在特定序列中套用的規則可能會導致特定規則覆寫默認規則。 SRP 會套用下列序列中的規則, (從最特定到最一般) :
- 雜湊規則
- 憑證規則
- 路徑規則
- 因特網區域規則
- 默認規則
解決方案: 評估限制應用程式的規則,並在適當時移除 [預設] 規則除其他所有規則。
無法探索套用哪些限制
原因: 未預期的行為沒有明顯的原因。 GPO 重新整理尚未解決此問題;需要進一步的調查。
解決方案:
- 調查系統事件記錄檔,篩選「軟體限制原則」的來源。這些項目會明確指出要為每個應用程式實作哪一個規則。
- 啟用進階記錄。
- 如需軟體限制原則的詳細資訊,請 參閱判斷軟體限制原則 Allow-Deny 清單和應用程式清查。