排查软件限制策略问题
本文介绍从 Windows Server 2008 和 Windows Vista 开始对软件限制策略 (SRP) 进行故障排除时的常见问题和解决方案。
适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
简介
软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,并控制这些程序运行的能力。 使用软件限制策略为计算机创建高度受限的配置,其中仅允许运行标识的应用程序。 这些应用程序与 Microsoft Active Directory 域服务和组策略集成,但也可在独立计算机上配置。 有关 SRP 的详细信息,请参阅 软件限制策略。
从 Windows Server 2008 R2 和 Windows 7 开始,可以将 Windows AppLocker 用于应用程序控制策略的一部分,而不是与 SRP 配合使用或配合使用。
Windows 无法打开程序
用户会收到一条消息,指出“Windows 无法打开此程序,因为它已被软件限制策略阻止。 有关详细信息,请打开事件查看器或联系系统管理员。”或者,在命令行上显示一条消息,指出“系统无法执行指定的程序”。
原因: 已创建默认安全级别 (或规则) ,以便将软件程序设置为 “不允许 ”,因此它不会启动。
解决 方案: 在事件日志中查找消息的深入说明。 事件日志消息指示将哪些软件程序设置为 “不允许 ”,以及将哪些规则应用于该程序。
修改的软件限制策略不会生效
原因 1:通过组策略域中指定的软件限制策略替代本地配置的任何策略设置。 策略未生效时,可能意味着域中有一个策略设置替代策略设置。
原因 2:组策略可能尚未刷新其策略设置。 组策略定期对策略设置应用更改;因此,目录中的策略更改很可能尚未刷新。
解决 方案:
- 修改网络软件限制策略的计算机必须能够联系域控制器。 确保计算机可以联系域控制器。
- 通过注销网络,然后再次登录到网络来刷新策略。 如果通过组策略应用了任何策略,则重新登录将刷新这些策略。
- 可以使用命令行实用工具
gpupdate
刷新策略设置,或者从 中注销,然后重新登录到计算机。 为了获得最佳结果,请运行gpupdate
,然后从 注销并重新登录到计算机。 通常,安全设置在工作站或服务器上每 90 分钟刷新一次,在域控制器上每 5 分钟刷新一次。 不管是否进行更改,安全设置都是每 16 小时刷新一次。 这些设置是可配置的,因此每个域中的刷新间隔可能不同。 - 检查应用哪些策略。 检查“ 无替代” 设置的域级别策略。
- 通过组策略域中指定的软件限制策略将覆盖本地配置的任何策略。 使用
Gpresult
命令行工具确定策略的净效果。 策略未生效时,这可能意味着域中有一个策略替代本地设置。 - 如果 SRP 和 AppLocker 策略设置位于同一 GPO 中,则 AppLocker 设置优先于 Windows 7、Windows Server 2008 R2 及更高版本。 建议将 SRP 和 AppLocker 策略设置放在不同的 GPO 中。
通过 SRP 添加规则后,无法登录到计算机
原因: 计算机在启动时会访问许多程序和文件。 你可能无意中将其中一个程序或文件设置为 “不允许”。 由于计算机无法访问程序或文件,因此无法正常启动。
解决 方案: 在安全模式下启动计算机,以本地管理员身份登录,然后更改软件限制策略以允许程序或文件运行。
新策略设置未应用于特定文件扩展名
原因: 文件扩展名不在支持的文件类型列表中。
解决 方案: 将文件扩展名添加到 SRP 支持的文件类型列表中。
软件限制策略解决了管理未知或不受信任的代码的问题。 软件限制策略是用于标识软件并控制其在本地计算机、站点、域或 OU 中运行的能力的安全设置。 可以通过 GPO 实现这些设置。
默认规则未按预期限制
原因: 在特定序列中应用的规则可能导致特定规则替代默认规则。 SRP 按以下顺序 (从最特定到最常规) 应用规则:
- 哈希规则
- 证书规则
- 路径规则
- Internet 区域规则
- 默认规则
解决 方案: 评估限制应用程序的规则,并根据需要删除除默认规则的所有规则。
无法发现应用了哪些限制
原因: 出现意外行为没有明显原因。 GPO 刷新尚未解决问题;需要进一步调查。
解决 方案:
- 调查系统事件日志,根据“软件限制策略”的源进行筛选。条目明确说明为每个应用程序实现的规则。
- 启用高级日志记录。
- 有关软件限制策略的详细信息,请参阅 确定软件限制策略 Allow-Deny 列表和应用程序清单。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈