Freigeben über

Behandeln von Problemen mit Richtlinien für Softwareeinschränkung

  • Artikel

In diesem Artikel werden häufig auftretende Probleme und ihre Lösungen bei der Problembehandlung von Softwareeinschränkungsrichtlinien (Software Restriction Policys, SRPs) ab Windows Server 2008 und Windows Vista beschrieben.

Einführung

Die Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) sind ein auf der Gruppenrichtlinie basierendes Feature, das auf Computern in einer Domäne ausgeführte Softwareprogramme identifiziert und die Fähigkeit zur Ausführung dieser Programme steuert. Sie verwenden Softwareeinschränkungsrichtlinien, um eine stark eingeschränkte Konfiguration für Computer zu erstellen, in der Sie ausschließlich die Ausführung angegebener Anwendungen zulassen. Diese Anwendungen sind in Microsoft Active Directory Domain Services und Gruppenrichtlinie integriert, können jedoch auch auf eigenständigen Computern konfiguriert werden. Weitere Informationen zur SRP finden Sie unter Richtlinien für die Softwareeinschränkung.

Ab Windows Server 2008 R2 und Windows 7 kann Windows AppLocker anstelle von oder in Verbindung mit SRP für einen Teil der Steuerungsstrategie Ihrer Anwendungen verwendet werden.

Windows kann ein Programm nicht öffnen

Benutzer*innen wird diese Nachricht angezeigt: „Windows kann dieses Programm nicht öffnen, da dies durch eine Softwareeinschränkungsrichtlinie verhindert wurde. Öffnen Sie die Ereignisanzeige, oder wenden Sie sich an Ihre*n Systemadministrator*in, um weitere Informationen zu erhalten.“ Alternativ wird in der Befehlszeile die folgende Nachricht angezeigt: „Das System kann das angegebene Programm nicht ausführen.“

Ursache: Die Standardsicherheitsstufe (oder eine Regel) wurde so erstellt, dass das Softwareprogramm als Nicht zulässig eingestellt ist und daher nicht gestartet werden kann.

Lösung: Suchen Sie im Ereignisprotokoll nach einer ausführlichen Beschreibung der Meldung. Die Ereignisprotokollmeldung gibt an, welches Softwareprogramm als Nicht zulässig eingestellt ist und welche Regel auf das Programm angewendet wird.

Änderungen an Softwareeinschränkungsrichtlinien werden nicht wirksam.

Ursache 1: Softwareeinschränkungsrichtlinien, die in einer Domäne angegeben sind, überschreiben alle lokal konfigurierten Richtlinieneinstellungen. Wenn Richtlinien nicht wirksam werden, kann dies bedeuten, dass es eine Richtlinieneinstellung in der Domäne gibt, die Ihre Richtlinieneinstellung außer Kraft setzt.

Ursache 2: Die Gruppenrichtlinie hat ihre Richtlinieneinstellungen möglicherweise nicht aktualisiert. Gruppenrichtlinie wendet Änderungen an Richtlinieneinstellungen regelmäßig an. Daher ist es wahrscheinlich, dass die im Verzeichnis vorgenommenen Richtlinienänderungen noch nicht aktualisiert wurden.

Lösungen :

  • Der Computer, auf dem Sie Softwareeinschränkungsrichtlinien für das Netzwerk ändern, muss in der Lage sein, einen Domänencontroller zu kontaktieren. Stellen Sie sicher, dass der Computer einen Domänencontroller kontaktieren kann.
  • Aktualisieren Sie die Richtlinie, indem Sie sich vom Netzwerk abmelden und sich dann erneut bei dem Netzwerk anmelden. Wenn eine Richtlinie über Gruppenrichtlinie angewendet wird, werden diese Richtlinien durch das Anmelden aktualisiert.
  • Sie können Richtlinieneinstellungen mit dem Befehlszeilenhilfsprogramm gpupdate oder durch das Abmelden und erneute Anmelden bei Ihrem Computer aktualisieren. Führen Sie gpupdate aus, um optimale Ergebnisse zu erhalten. Melden Sie sich dann von Ihrem Computer ab, und melden Sie sich wieder bei ihm an. Im Allgemeinen werden die Sicherheitseinstellungen alle 90 Minuten auf einer Arbeitsstation oder einem Server und alle fünf Minuten auf einem Domänencontroller aktualisiert. Die Einstellungen werden außerdem alle 16 Stunden aktualisiert, unabhängig davon, ob Änderungen erfolgt sind. Diese Einstellungen sind konfigurierbar, weshalb die Aktualisierungsintervalle in jeder Domäne unterschiedlich sein können.
  • Überprüfen Sie, welche Richtlinien gelten. Überprüfen Sie die Richtlinien auf Domänenebene auf die Einstellung Keine Außerkraftsetzung.
  • Softwareeinschränkungsrichtlinien, die in einer Domäne über Gruppenrichtlinie angegeben werden, haben Vorrang vor allen lokal konfigurierten Richtlinien. Verwenden Sie das Befehlszeilentool Gpresult, um die Auswirkung der Richtlinie zu ermitteln. Wenn Richtlinien nicht wirksam werden, kann dies bedeuten, dass es eine Richtlinie in der Domäne gibt, die Ihre lokale Einstellung außer Kraft setzt.
  • Wenn SRP- und AppLocker-Richtlinieneinstellungen in demselben GPO enthalten sind, haben AppLocker-Einstellungen Vorrang unter Windows 7, Windows Server 2008 R2 und höheren Versionen. Es wird empfohlen, SRP- und AppLocker-Richtlinieneinstellungen in verschiedenen GPOs zu platzieren.

Sie können sich nicht mehr bei Ihrem Computer anmelden, nachdem Sie eine Regel über SRP hinzugefügt haben

Ursache: Ihr Computer greift auf viele Programme und Dateien zu, wenn er gestartet wird. Vielleicht haben Sie eines dieser Programme oder eine dieser Dateien versehentlich als Nicht zulässig festgelegt. Da der Computer nicht auf das Programm oder die Datei zugreifen kann, kann er nicht ordnungsgemäß gestartet werden.

Lösung: Starten Sie den Computer im sicheren Modus, melden Sie sich als lokale*r Administrator*in an, und ändern Sie dann die Softwareeinschränkungsrichtlinien, um das Programm oder die Datei auszuführen.

Eine neue Richtlinieneinstellung wird nicht auf eine bestimmte Dateinamenerweiterung angewendet.

Ursache: Die Dateinamenerweiterung befindet sich nicht in der Liste der unterstützten Dateitypen.

Lösung: Fügen Sie die Dateinamenerweiterung zur Liste der von SRP unterstützten Dateitypen hinzu.

Softwareeinschränkungsrichtlinien zielen auf das Problem der Regulierung von unbekanntem oder nicht vertrauenswürdigen Code ab. Softwareeinschränkungsrichtlinien sind Sicherheitseinstellungen zur Erkennung von Software und zur Steuerung ihrer Ausführbarkeit auf einem lokalen Computer, einer Website, in einer Domäne oder Organisationseinheit. Sie können diese Einstellungen über ein GPO implementieren.

Eine Standardregel wirkt nicht wie erwartet einschränkend.

Ursache: Regeln, die in einer bestimmten Reihenfolge angewendet werden, können dazu führen, dass bestimmte Regeln Standardregeln außer Kraft setzen. SRP wendet Regeln in der folgenden Reihenfolge an (von der spezifischsten zur allgemeinsten):

  1. Hashregeln
  2. Zertifikatregeln
  3. Pfadregeln
  4. Internetzonenregeln
  5. Standardregeln

Lösung: Bewerten Sie die Regeln, die die Anwendung einschränken, und entfernen Sie gegebenenfalls alle Regeln außer der Standardregel.

Es kann nicht ermittelt werden, welche Einschränkungen angewendet werden

Ursache: Es gibt keine offensichtliche Ursache für das unerwartete Verhalten. Die Aktualisierung des GPO hat das Problem nicht gelöst. Weitere Untersuchungen sind erforderlich.

Lösungen :

  • Untersuchen Sie das Systemereignisprotokoll, und filtern Sie die Quelle der „Softwareeinschränkungsrichtlinie“. Die Einträge geben explizit an, welche Regel für jede Anwendung implementiert wird.
  • Aktivieren Sie die erweiterte Protokollierung.
  • Weitere Informationen zu Richtlinien für Softwareeinschränkung finden Sie unter "Allow-Deny List" und "Application Inventory for Software Restriction Policies".