次の方法で共有

ソフトウェア制限ポリシーのトラブルシューティング

  • [アーティクル]

この記事では、Windows Server 2008 および Windows Vista 以降のソフトウェア制限ポリシー (SRP) のトラブルシューティングを行う際の一般的な問題とその解決策について説明します。

はじめに

ソフトウェア制限ポリシー (SRP) はグループ ポリシーベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。 ソフトウェア制限ポリシーを使用して、コンピューターの高度に制限された構成を作成し、指定したアプリケーションのみの実行を許可します。 これらのアプリケーションは Microsoft Active Directory Domain Services とグループ ポリシーと統合されますが、スタンドアロン コンピューターで構成することもできます。 SRP の詳細については、「ソフトウェア制限ポリシー」を参照してください。

Windows Server 2008 R2 および Windows 7 以降、アプリケーション制御戦略の一部として Windows AppLocker を SRP の代わりに、または SRP と組み合わせて使用できます。

Windows プログラムを開くことができません

ユーザーは "このプログラムはソフトウェアの制限ポリシーにより制御されているので、開けません" というメッセージを受け取ります。 詳細については、イベント ビューアーを開くか、システム管理者にお問い合わせください。また、コマンド ラインに "指定されたプログラムは実行できません" というメッセージが表示されます。

原因: 既定のセキュリティ レベル (またはルール) が、ソフトウェア プログラムが [許可しない] に設定されるように作成されているため、結果として開始されません。

ソリューション: イベント ログで、メッセージの詳細な説明を確認します。 イベント ログ メッセージは、どのソフトウェア プログラムが [許可しない] に設定され、どのルールがプログラムに適用されるのかを示します。

変更されたソフトウェア制限ポリシーが有効にならない

原因 1: グループ ポリシーによってドメインで指定されたソフトウェア制限ポリシーは、ローカルで構成されているポリシー設定をオーバーライドします。 ポリシーが有効にならない場合は、ドメインのポリシー設定によって、ポリシー設定がオーバーライドされていることを示唆している可能性があります。

原因 2: グループ ポリシーのポリシー設定が更新されていない可能性があります。 グループ ポリシーによるポリシー設定の変更は定期的に適用されます。そのため、ディレクトリで行われたポリシーの変更がまだ更新されていない可能性があります。

ソリューション:

  • ネットワークのソフトウェア制限ポリシーを変更するコンピューターは、ドメイン コントローラーに接続できる必要があります。 コンピューターがドメイン コントローラーに接続できることを確認します。
  • ネットワークからログオフし、もう一度ネットワークにログオンして、ポリシーを更新します。 グループ ポリシーを介してポリシーが適用されている場合は、ログインし直すとそれらのポリシーが更新されます。
  • コマンドライン ユーティリティ gpupdate を使用するか、コンピューターからログオフしてログオンし直すと、ポリシー設定を更新できます。 最良の結果を得るには、gpupdate を実行した後、コンピューターからサインアウトしてログオンし直します。 セキュリティ設定は、ワークステーションまたはサーバーでは 90 分ごとに更新され、ドメイン コントローラーでは 5 分ごとに更新されます。 変更の有無にかかわらず、設定は 16 時間ごとにも更新されます。 これらの設定は構成可能なので、ドメインごとに更新間隔が異なる場合があります。
  • 適用するポリシーを確認します。 [オーバーライドなし] 設定については、ドメイン レベルのポリシーを確認してください。
  • ローカルに構成されているポリシーはすべて、グループ ポリシーを介してドメインで指定されているソフトウェア制限ポリシーによってオーバーライドされます。 Gpresult コマンドライン ツールを使用して、ポリシーの最終的な影響を特定します。 ポリシーが有効にならない場合、ドメインのポリシーによって、ローカルの設定がオーバーライドされていることを示唆している可能性があります。
  • SRP と AppLocker のポリシー設定が同じ GPO にある場合、Windows 7、Windows Server 2008 R2 以降のバージョンでは、AppLocker 設定が優先されます。 SRP と AppLocker のポリシー設定を異なる GPO に配置することを推奨します。

SRP を介してルールを追加した後、コンピューターにサインインできない

原因: コンピューターは、起動時に多くのプログラムとファイルにアクセスします。 これらのプログラムまたはファイルの 1 つを誤って [許可しない] に設定した可能性があります。 コンピューターでプログラムまたはファイルにアクセスできないため、正常に起動できません。

解決策: コンピューターをセーフ モードで起動し、ローカル管理者としてサインインし、プログラムまたはファイルの実行を許可するようにソフトウェア制限ポリシーを変更します。

新しいポリシー設定が特定のファイル名拡張子に適用されない

原因: このファイル名拡張子が、サポートされているファイルの種類の一覧にありません。

ソリューション: SRP でサポートされているファイルの種類の一覧にファイル名拡張子を追加します。

ソフトウェア制限ポリシーは、不明なコードまたは信頼されていないコードを規制する問題に対処します。 ソフトウェア制限ポリシーは、ソフトウェアを識別し、ローカル コンピューター、サイト、ドメイン、または OU で実行する機能を制御するためのセキュリティ設定です。 これらの設定は、GPO を介して実装できます。

既定のルールが想定どおり制限されない

原因: 特定の順序でルールが適用されると、既定のルールが個別のルールによってオーバーライドされる可能性があります。 SRP では、次の順序で (最も具体的なものから最も一般的なものへ) ルールが適用されます。

  1. ハッシュの規則
  2. 証明書の規則
  3. パスの規則
  4. インターネット ゾーンの規則
  5. 既定のルール

ソリューション: アプリケーションを制限する規則を評価し、必要に応じて、既定の規則を除くすべての規則を削除します。

適用されている制限を検出できない

原因: 予期しない動作に対して明らかな原因がありません。 GPO を更新しても問題が解決されないので、詳細な調査が必要です。

ソリューション: