針對軟體限制原則進行疑難解答

  • 文章

本文說明從 Windows Server 2008 和 Windows Vista 開始 (SRP) 軟體限制原則疑難解答時的常見問題和解決方案。

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

簡介

SRP) (軟體限制原則是以 群組原則 為基礎的功能,可識別網域中計算機上執行的軟體程式,並控制這些程式的執行能力。 您可以使用軟體限制原則為計算機建立高度受限制的設定,讓您只允許執行識別的應用程式。 這些應用程式與 Microsoft Active Directory 網域服務 和 群組原則 整合,但也可在獨立電腦上設定。 如需 SRP 的詳細資訊,請參閱 軟體限制原則

從 Windows Server 2008 R2 和 Windows 7 開始,Windows AppLocker 可用於應用程控策略的一部分,而非 SRP,或與 SRP 搭配使用。

Windows 無法開啟程式

使用者會收到訊息,指出「Windows 無法開啟此程式,因為軟體限制原則已防止此程式。 如需詳細資訊,請開 事件檢視器 或連絡您的系統管理員。」或者,在命令行上會出現訊息,指出「系統無法執行指定的程式」。

原因: 建立預設安全性層級 (或規則) ,讓軟體程式設定為 [不允許 ],因此不會啟動。

解決方案: 在事件記錄檔中查看訊息的深入描述。 事件記錄訊息會指出哪些軟體程式設定為 [不允許 ],以及套用至程序的規則。

修改過的軟體限制原則未生效

原因 1:透過網域中指定的軟體限制原則 群組原則 覆寫在本機設定的任何原則設定。 當原則未生效時,可能表示網域中有原則設定正在覆寫您的原則設定。

原因 2:群組原則 可能尚未重新整理其原則設定。 群組原則 會定期將變更套用至原則設定;因此,可能尚未重新整理目錄中所做的原則變更。

解決方案:

  • 您修改網路軟體限制原則的電腦必須能夠連絡域控制器。 確定計算機可以連絡域控制器。
  • 藉由註銷網路,然後再次登入網路來重新整理原則。 如果透過 群組原則 套用任何原則,則回溯記錄會重新整理這些原則。
  • 您可以使用命令行公用程式 gpupdate 重新整理原則設定,或從 中註銷,然後再登入您的計算機。 為了獲得最佳結果,請執行 gpupdate,然後註銷並重新登入您的計算機。 一般而言,安全性設定會在工作站或伺服器上每隔 90 分鐘重新整理一次,並在域控制器上每隔 5 分鐘重新整理一次。 無論是否有任何變更,設定也會每隔 16 小時重新整理一次。 這些設定是可設定的,因此每個網域中的重新整理間隔可能會不同。
  • 檢查適用的原則。 檢查 [無覆寫 ] 設定的網域層級原則。
  • 透過網域中指定的軟體限制原則 群組原則 覆寫在本機設定的任何原則。 使用 Gpresult 命令行工具來判斷原則的凈效果。 當原則未生效時,可能表示網域中有原則會覆寫您的本機設定。
  • 如果 SRP 和 AppLocker 原則設定位於相同的 GPO 中,AppLocker 設定會優先於 Windows 7、Windows Server 2008 R2 和更新版本。 建議您將 SRP 和 AppLocker 原則設定放在不同的 GPO 中。

透過 SRP 新增規則之後,您就無法登入電腦

原因: 您的電腦會在啟動時存取許多程序和檔案。 您可能不小心將其中一個程式或檔案設定為 [不允許]。 因為計算機無法存取程式或檔案,所以無法正確啟動。

解決方案: 以安全模式啟動計算機、以本機系統管理員身分登入,然後變更軟體限制原則以允許程式或檔案執行。

新的原則設定未套用至特定的擴展名

原因: 擴展名不在支援的檔案類型清單中。

解決方案: 將擴展名新增至 SRP 支援的檔案類型清單。

軟體限制原則可解決管理未知或不受信任程式碼的問題。 軟體限制原則是安全性設定,可識別軟體並控制其在本機計算機、網站、網域或 OU 中執行的能力。 您可以透過 GPO 實作這些設定。

默認規則未如預期般限制

原因: 在特定序列中套用的規則可能會導致特定規則覆寫默認規則。 SRP 會套用下列序列中的規則, (從最特定到最一般) :

  1. 雜湊規則
  2. 憑證規則
  3. 路徑規則
  4. 因特網區域規則
  5. 默認規則

解決方案: 評估限制應用程式的規則,並在適當時移除 [預設] 規則除其他所有規則。

無法探索套用哪些限制

原因: 未預期的行為沒有明顯的原因。 GPO 重新整理尚未解決此問題;需要進一步的調查。

解決方案: