排查软件限制策略问题

  • 项目

本文介绍从 Windows Server 2008 和 Windows Vista 开始对软件限制策略 (SRP) 进行故障排除时的常见问题和解决方案。

适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

简介

软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,并控制这些程序运行的能力。 使用软件限制策略为计算机创建高度受限的配置,其中仅允许运行标识的应用程序。 这些应用程序与 Microsoft Active Directory 域服务和组策略集成,但也可在独立计算机上配置。 有关 SRP 的详细信息,请参阅 软件限制策略

从 Windows Server 2008 R2 和 Windows 7 开始,可以将 Windows AppLocker 用于应用程序控制策略的一部分,而不是与 SRP 配合使用或配合使用。

Windows 无法打开程序

用户会收到一条消息,指出“Windows 无法打开此程序,因为它已被软件限制策略阻止。 有关详细信息,请打开事件查看器或联系系统管理员。”或者,在命令行上显示一条消息,指出“系统无法执行指定的程序”。

原因: 已创建默认安全级别 (或规则) ,以便将软件程序设置为 “不允许 ”,因此它不会启动。

解决 方案: 在事件日志中查找消息的深入说明。 事件日志消息指示将哪些软件程序设置为 “不允许 ”,以及将哪些规则应用于该程序。

修改的软件限制策略不会生效

原因 1:通过组策略域中指定的软件限制策略替代本地配置的任何策略设置。 策略未生效时,可能意味着域中有一个策略设置替代策略设置。

原因 2:组策略可能尚未刷新其策略设置。 组策略定期对策略设置应用更改;因此,目录中的策略更改很可能尚未刷新。

解决 方案:

  • 修改网络软件限制策略的计算机必须能够联系域控制器。 确保计算机可以联系域控制器。
  • 通过注销网络,然后再次登录到网络来刷新策略。 如果通过组策略应用了任何策略,则重新登录将刷新这些策略。
  • 可以使用命令行实用工具 gpupdate 刷新策略设置,或者从 中注销,然后重新登录到计算机。 为了获得最佳结果,请运行 gpupdate,然后从 注销并重新登录到计算机。 通常,安全设置在工作站或服务器上每 90 分钟刷新一次,在域控制器上每 5 分钟刷新一次。 不管是否进行更改,安全设置都是每 16 小时刷新一次。 这些设置是可配置的,因此每个域中的刷新间隔可能不同。
  • 检查应用哪些策略。 检查“ 无替代” 设置的域级别策略。
  • 通过组策略域中指定的软件限制策略将覆盖本地配置的任何策略。 使用 Gpresult 命令行工具确定策略的净效果。 策略未生效时,这可能意味着域中有一个策略替代本地设置。
  • 如果 SRP 和 AppLocker 策略设置位于同一 GPO 中,则 AppLocker 设置优先于 Windows 7、Windows Server 2008 R2 及更高版本。 建议将 SRP 和 AppLocker 策略设置放在不同的 GPO 中。

通过 SRP 添加规则后,无法登录到计算机

原因: 计算机在启动时会访问许多程序和文件。 你可能无意中将其中一个程序或文件设置为 “不允许”。 由于计算机无法访问程序或文件,因此无法正常启动。

解决 方案: 在安全模式下启动计算机,以本地管理员身份登录,然后更改软件限制策略以允许程序或文件运行。

新策略设置未应用于特定文件扩展名

原因: 文件扩展名不在支持的文件类型列表中。

解决 方案: 将文件扩展名添加到 SRP 支持的文件类型列表中。

软件限制策略解决了管理未知或不受信任的代码的问题。 软件限制策略是用于标识软件并控制其在本地计算机、站点、域或 OU 中运行的能力的安全设置。 可以通过 GPO 实现这些设置。

默认规则未按预期限制

原因: 在特定序列中应用的规则可能导致特定规则替代默认规则。 SRP 按以下顺序 (从最特定到最常规) 应用规则:

  1. 哈希规则
  2. 证书规则
  3. 路径规则
  4. Internet 区域规则
  5. 默认规则

解决 方案: 评估限制应用程序的规则,并根据需要删除除默认规则的所有规则。

无法发现应用了哪些限制

原因: 出现意外行为没有明显原因。 GPO 刷新尚未解决问题;需要进一步调查。

解决 方案: