Solución de problemas de las directivas de restricción de software

Este artículo describe los problemas y soluciones habituales al solucionar problemas de directivas de restricción de software (SRP) a partir de Windows Server 2008 y Windows Vista.

Introducción

Las directivas de restricción de software (SRP) son una característica basada en directivas de grupo que identifica los programas de software que se ejecutan en los equipos de un dominio y controla la capacidad de ejecución de esos programas. Puede usar las directivas de restricción de software para crear una configuración muy restringida de los equipos, en la que solo puedan ejecutarse aquellas aplicaciones identificadas. Estas aplicaciones se integran con Microsoft Active Directory Domain Services y la directiva de grupo, pero también se pueden configurar en equipos independientes. Para más información sobre SRP, consulte las Directivas de restricción de software.

A partir de Windows Server 2008 R2 y Windows 7, Windows AppLocker se puede usar en lugar de o en concierto con SRP como parte de la estrategia de control de aplicaciones.

Windows no puede abrir un programa

Los usuarios reciben un mensaje que indica "Windows no puede abrir este programa porque una directiva de restricción de software lo ha impedido. Para obtener más información, abra el Visor de eventos o póngase en contacto con el administrador del sistema". O bien, en la línea de comandos, un mensaje indica "El sistema no puede ejecutar el programa especificado".

Causa: se creó el nivel de seguridad predeterminado (o una regla) para que el programa de software se establezca como No permitido y, como consecuencia, no se inicia.

Solución: busque en el registro de eventos una descripción detallada del mensaje. El mensaje de registro de eventos indica qué programa de software se establece como No permitido y qué regla se aplica al programa.

Las directivas de restricción de software modificadas no surten efecto

Causa 1: las directivas de restricción de software especificadas en un dominio a través de la directiva de grupo invalidan cualquier configuración de directiva configurada localmente. Si las directivas no surten efecto, podría implicar que hay una configuración de directiva procedente del dominio que invalida la configuración de directiva.

Causa 2: es posible que la directiva de grupo no haya actualizado su configuración de directiva. La directiva de grupo aplica los cambios a la configuración de directiva periódicamente. Por tanto, es probable que los cambios de directiva realizados en el directorio aún no se hayan actualizado.

Soluciones:

• El equipo en el que se modifican las directivas de restricción de software para la red debe poder ponerse en contacto con un controlador de dominio. Asegúrese de que el equipo puede ponerse en contacto con un controlador de dominio.
• Actualice la directiva iniciando sesión en la red y, a continuación, iniciando sesión en la red de nuevo. Si se aplica alguna directiva a través de directiva de grupo, al volver a iniciar sesión se actualizarán esas directivas.
• Puede actualizar la configuración de directiva con la utilidad de línea de comandos gpupdate o cerrando y volviendo a iniciar sesión en el equipo. Para obtener los mejores resultados, ejecute gpupdate y, a continuación, cierre sesión y vuelva a iniciarla en el equipo. Normalmente la configuración de seguridad se actualiza cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio. La configuración también se actualiza cada 16 horas, haya o no cambios. Se trata de una configuración configurable, por lo que los intervalos de actualización pueden ser diferentes en cada dominio.
• Compruebe qué directivas se aplican. Compruebe la configuración de No reemplazar en las directivas de nivel de dominio.
• Las directivas de restricción de software que se especifican en un dominio a través de la directiva de grupo invalidan cualquier directiva configurada localmente. Use la herramienta de línea de comandos Gpresult para determinar cuál es el efecto neto de la directiva. Si las directivas no surten efecto, podría implicar que hay una directiva procedente del dominio que invalida la configuración local.
• Si la configuración de directiva de SRP y AppLocker se encuentra en el mismo GPO, la configuración de AppLocker tiene prioridad en Windows 7, Windows Server 2008 R2 y versiones posteriores. Se recomienda colocar la configuración de directiva de SRP y AppLocker en diferentes GPO.

Después de agregar una regla a través de SRP, no puede iniciar sesión en el equipo

Causa: el equipo accede a muchos programas y archivos cuando se inicia. Es posible que haya establecido accidentalmente uno de estos programas o archivos en No permitido. Dado que el equipo no puede acceder al programa o archivo, este no puede iniciarse correctamente.

Solución: inicie el equipo en modo seguro, inicie sesión como administrador local y, a continuación, cambie las directivas de restricción de software para permitir que se ejecute el programa o el archivo.

No se aplica una nueva configuración de directiva a una extensión de nombre de archivo específica

Causa: la extensión de nombre de archivo no está en la lista de tipos de archivo admitidos.

Solución: agregue la extensión filename a la lista de tipos de archivo admitidos por SRP.

Las directivas de restricción de software abordan el problema de regular código desconocido o que no es de confianza. Las directivas de restricción de software son configuraciones de seguridad para identificar el software y controlar su capacidad de ejecutarse en un equipo local, en un sitio, dominio o unidad organizativa. Puede implementar esta configuración a través de un GPO.

Una regla predeterminada no restringe según lo previsto

Causa: Las reglas que se aplican en una secuencia determinada pueden hacer que reglas específicas invaliden reglas predeterminadas. SRP aplica reglas en la siguiente secuencia (de la más específica a la más general):

1. Reglas de hash
2. Reglas de certificado
3. Reglas de ruta de acceso
4. Reglas de zona de Internet
5. Reglas predeterminadas

Solución: evalúe las reglas que restringen la aplicación y, si procede, quítelas todas, excepto la regla Predeterminada.

No se pueden detectar qué restricciones se aplican

Causa: No hay ninguna causa aparente para este comportamiento inesperado. La actualización del GPO no ha resuelto el problema; se necesita una investigación más detenida.

Soluciones:

• Investigue el registro de eventos del sistema y filtre por el origen de "Directiva de restricción de software". Las entradas especifican explícitamente qué regla se implementa para cada aplicación.
• Habilite el registro avanzado.
• Para obtener más información sobre las directivas de restricción de software, vea Determinar la lista de denegación de permitidos e inventario de aplicaciones para las directivas de restricción de software.