Résoudre les problèmes liés aux stratégies de restriction logicielle

Cet article décrit les problèmes courants et leurs solutions pendant la résolution des problèmes liés aux stratégies de restriction logicielle (SRP) à partir de Windows Server 2008 et Windows Vista.

Introduction

La fonctionnalité Stratégies de restriction logicielle (SRP) est une fonctionnalité fondée sur les stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine, et contrôle la capacité de ces programmes à s’exécuter. Vous utilisez les stratégies de restriction logicielle pour créer une configuration fortement restreinte pour les ordinateurs, dans laquelle vous autorisez uniquement l’exécution des applications identifiées. Ces applications sont intégrées à Microsoft Active Directory Domain Services et à la stratégie de groupe, mais elles peuvent également être configurées sur des ordinateurs autonomes. Pour plus d’informations sur SRP, consultez Stratégies de restriction logicielle.

À partir de Windows Server 2008 R2 et Windows 7, Windows AppLocker peut être utilisé à la place de SRP ou avec SRP pour une partie de votre stratégie de contrôle d’application.

Windows ne peut pas ouvrir un programme

Les utilisateurs reçoivent le message suivant : « Windows ne peut pas ouvrir ce programme, car il est bloqué par une stratégie de restriction logicielle. Pour plus d’informations, ouvrez l’observateur d’événements ou contactez votre administrateur système ». Ou, sur la ligne de commande, le message suivant s’affiche : « Le système ne peut pas exécuter le programme spécifié ».

Cause : le niveau de sécurité par défaut (ou une règle) a été créé afin que le programme logiciel soit défini sur Non autorisé et, par conséquent, il ne démarre pas.

Solution : recherchez, dans le journal des événements, une description détaillée du message. Le message du journal des événements indique le programme logiciel qui est défini sur Non autorisé et la règle qui est appliquée au programme.

Les stratégies de restriction logicielle modifiées ne prennent pas effet

Cause 1 : Les stratégies de restriction logicielle spécifiées dans un domaine par le biais d’une stratégie de groupe remplacent tous les paramètres de stratégie configurés localement. Quand les stratégies ne prennent pas effet, cela peut impliquer qu’un paramètre de stratégie du domaine remplace votre paramètre de stratégie.

Cause 2 : La stratégie de groupe n’a peut-être pas actualisé ses paramètres de stratégie. La stratégie de groupe applique régulièrement des changements aux paramètres de stratégie. Par conséquent, il est probable que les changements de stratégie effectués dans l’annuaire n’ont pas encore été actualisés.

Solutions :

• L’ordinateur sur lequel vous modifiez des stratégies de restriction logicielle pour le réseau doit être en mesure de contacter un contrôleur de domaine. Assurez-vous que l’ordinateur peut contacter un contrôleur de domaine.
• Actualisez la stratégie en fermant la session du réseau, puis en la rouvrant. Si une stratégie est appliquée avec une stratégie de groupe, la reconnexion actualise ces stratégies.
• Vous pouvez actualiser les paramètres de stratégie avec l’utilitaire en ligne de commande gpupdate, ou en vous déconnectant de votre session sur l’ordinateur et en vous reconnectant. Pour obtenir de meilleurs résultats, exécutez gpupdate, puis déconnectez-vous de votre session sur l’ordinateur et reconnectez-vous. En règle générale, les paramètres de sécurité sont actualisés toutes les 90 minutes sur une station de travail ou un serveur et toutes les 5 minutes sur un contrôleur de domaine. Les paramètres sont également actualisés toutes les 16 heures, qu'ils aient été modifiés ou non. Comme ces paramètres sont configurables, les intervalles d’actualisation peuvent être différents dans chaque domaine.
• Vérifiez les stratégies qui s’appliquent. Vérifiez les stratégies au niveau du domaine des paramètres Aucun remplacement.
• Les stratégies de restriction logicielle spécifiées dans un domaine avec une stratégie de groupe remplacent toutes les stratégies configurées localement. Utilisez l’outil en ligne de commande Gpresult pour déterminer l’effet net de la stratégie. Quand les stratégies ne prennent pas effet, cela peut impliquer qu’une stratégie du domaine remplace votre paramètre local.
• Si les paramètres de stratégie SRP et AppLocker se trouvent dans le même GPO, les paramètres AppLocker sont prioritaires sur Windows 7, Windows Server 2008 R2 et versions ultérieures. Nous vous recommandons de placer les paramètres de stratégie SRP et AppLocker dans différents GPO.

Après avoir ajouté une règle avec SRP, vous ne pouvez pas vous connecter sur votre ordinateur

Cause : votre ordinateur accède à de nombreux programmes et fichiers lorsqu’il démarre. Vous avez peut-être défini par inadvertance l’un de ces programmes ou fichiers sur Non autorisé. Comme l’ordinateur ne peut pas accéder au programme ou au fichier, il ne peut pas démarrer correctement.

Solution : démarrez l’ordinateur en mode sans échec, connectez-vous comme administrateur local, puis changez les stratégies de restriction logicielle pour autoriser l’exécution du programme ou du fichier.

Un nouveau paramètre de stratégie ne s’applique pas à une extension de nom de fichier spécifique

Cause : l’extension de nom de fichier ne figure pas dans la liste des types de fichier pris en charge.

Solution : ajoutez l’extension de nom de fichier à la liste des types de fichiers pris en charge par la stratégie SRP.

Les stratégies de restriction logicielle permettent de résoudre le problème de la régulation du code inconnu ou non approuvé. Les stratégies de restriction logicielle sont des paramètres de sécurité permettant d’identifier les logiciels et de contrôler leur capacité à s’exécuter sur un ordinateur local, dans un site, dans un domaine ou dans une unité d’organisation. Vous pouvez implémenter ces paramètres avec un GPO.

Une règle par défaut n’applique pas la restriction prévue

Cause : les règles appliquées dans un ordre particulier peuvent entraîner le remplacement des règles par défaut par des règles spécifiques. SRP applique les règles dans l’ordre suivant (de la plus spécifique à la plus générale) :

1. Règles de hachage
2. Règles de certificat
3. Règles de chemins d’accès
4. Règles de zone Internet
5. Règles par défaut

Solution : évaluez les règles qui restreignent l’application et, le cas échéant, supprimez toutes les valeurs, à l’exception de la règle par défaut.

Impossible d’identifier les restrictions appliquées

Cause : il n’y a pas de cause apparente à ce comportement inattendu. L’actualisation du GPO n’a pas résolu le problème, une investigation plus approfondie est nécessaire.

Solutions :

• Examinez le journal des événements système, en appliquant le filtre de source « Stratégie de restriction logicielle ». Les entrées indiquent explicitement la règle implémentée pour chaque application.
• Activez la journalisation avancée.
• Pour plus d’informations sur les stratégies de restriction logicielle, consultez Déterminer la liste d’autorisation et l’inventaire des applications pour les stratégies de restriction logicielle.