对软件限制策略进行故障排除

本文介绍从 Windows Server 2008 和 Windows Vista 开始对软件限制策略 (SRP) 进行故障排除时遇到的常见问题及其解决方案。

简介

软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,并控制这些程序的运行能力。 你可以使用软件限制策略来创建计算机的高度受限配置,从而仅允许运行已识别的应用程序。 这些应用程序与 Microsoft Active Directory 域服务和组策略相集成,但是,也可以在独立的计算机上配置它们。 有关 SRP 的详细信息,请参阅软件限制策略

从 Windows Server 2008 R2 和 Windows 7 开始,Windows AppLocker 可以代替 SRP 或与其一起用于应用程序控制策略的一部分。

Windows 无法打开程序

用户收到一条消息,指出“Windows 无法打开此程序,因为它已被软件限制策略阻止。 有关详细信息,请打开事件查看器或联系系统管理员”。或者命令行上显示一条消息,指出“系统无法执行指定的程序”。

原因:创建了默认安全级别(或规则),软件程序被设置为“不允许”,因此不会启动。

解决方案:在事件日志中查找消息的详细说明。 事件日志消息指出哪个软件程序被设置为“不允许”,以及对程序应用了什么规则。

修改的软件限制策略未生效

原因 1: 通过组策略在域中指定的软件限制策略将覆盖本地配置的任何策略设置。 策略未生效时,可能意味着域中有一个策略设置替代了你的策略设置。

原因 2: 组策略可能尚未刷新其策略设置。 组策略定期对策略设置应用更改,目录中所做的策略更改可能尚未刷新。

解决方案:

  • 你在其上修改网络软件限制策略的计算机必须能够联系域控制器。 确保计算机可以联系域控制器。
  • 通过注销网络然后再次登录网络来刷新策略。 如果通过组策略应用了任何策略,进行重新登录将刷新这些策略。
  • 可以通过命令行实用工具 gpupdate 来刷新策略设置,也可以通过注销后再重新登录到计算机来刷新策略设置。 为了获得最佳结果,请运行 gpupdate,然后注销并重新登录到计算机。 通常情况下,工作站或服务器上的安全设置是每 90 分钟刷新一次,域控制器上的是每 5 分钟刷新一次。 还可将设置指定为每 16 个小时刷新一次,无论是否存在更改。 这些是可配置的设置,因此每个域中的刷新间隔可能不同。
  • 检查哪些策略适用。 检查域级策略中是否存在“禁止替代”设置。
  • 通过组策略在域中指定的软件限制策略会替代本地配置的任何策略。 可使用 Gpresult 命令行工具来确定策略的最终效果。 策略未生效时,可能意味着域中有一个策略替代了你的本地设置。
  • 如果 SRP 和 AppLocker 策略设置位于同一 GPO 中,则 AppLocker 设置在 Windows 7、Windows Server 2008 R2 及更高版本上优先。 建议将 SRP 和 AppLocker 策略设置放在不同的 GPO 中。

通过 SRP 添加规则后,无法登录到计算机

原因:计算机启动时会访问许多程序和文件。 你可能已无意中将其中一个程序或文件设置为“不允许”。 由于计算机无法访问程序或文件,因此无法正常启动。

解决方案:在安全模式下启动计算机,以本地管理员身份登录,然后更改软件限制策略以允许程序或文件运行。

新策略设置不适用于特定文件扩展名

原因:文件扩展名不在受支持文件类型列表中。

解决方案:将文件扩展名添加到 SRP 支持的文件类型的列表中。

软件限制策略解决了监管未知或不受信任代码的问题。 软件限制策略是安全设置,用于识别软件并控制其在本地计算机、站点、域或 OU 中运行的能力。 可以通过 GPO 实现这些设置。

默认规则未按预期进行限制

原因:在特定序列中应用的规则可能导致特定规则替代默认规则。 SRP 按以下顺序应用规则(从最具体到最常规):

  1. 哈希规则
  2. 证书规则
  3. 路径规则
  4. Internet 区域规则
  5. 默认规则

解决方案:评估限制应用程序的规则,根据需要删除除默认规则之外的所有规则。

无法发现应用了哪些限制

原因:出现意外行为没有明显原因。 GPO 刷新尚未解决问题,需要进一步调查。

解决方案:

  • 调查系统事件日志,在“软件限制策略”的源上进行筛选。这些条目明确说明了为每个应用程序实施的规则。
  • 启用高级日志记录。
  • 有关软件限制策略的详细信息,请参阅 “确定软件限制策略的允许-拒绝列表和应用程序清单”。