Solucionar problemas de políticas de restrição de software

Este artigo descreve problemas comuns e soluções ao solucionar problemas de SRP (Políticas de Restrição de Software) começando com o Windows Server 2008 e o Windows Vista.

Introdução

A política SRP (Política de Restrição de Software) é um recurso baseado em políticas de grupo que identifica programas de software que são executados em um domínio e que controla a capacidade desses programas de serem executados. Use políticas de restrição de software para criar uma configuração altamente restrita para computadores nos quais você permite que apenas aplicativos identificados sejam executados. Esses aplicativos são integrados com os Microsoft Active Directory Domain Services e com a Política de Grupo, mas também podem ser configurados em computadores independentes. Para saber mais sobre SRP, confira as Políticas de restrição de software.

A partir do Windows Server 2008 R2 e Windows 7, é possível usar o Windows AppLocker no lugar ou em conjunto com a política SRP como uma parte da estratégia de controle de aplicativos.

O Windows não pode abrir um programa

Os usuários recebem uma mensagem indicando que "O Windows não pode abrir este programa porque ele foi impedido por uma política de restrição de software. Para obter mais informações, abra o Visualizador de Eventos ou entre em contato com o administrador do sistema." Ou, na linha de comando, uma mensagem aparece informando que "O sistema não pode executar o programa especificado".

Causa: o nível de segurança padrão (ou uma regra) foi criado para que o programa de software seja definido como Não permitido e, como resultado, ele não é iniciado.

Solução: procure no log de eventos uma descrição detalhada da mensagem. A mensagem do log de eventos indica qual programa de software está definido como Não permitido e qual regra é aplicada ao programa.

Políticas de restrição de software modificadas não estão entrando em vigor

Causa 1: As políticas de restrição de software especificadas em um domínio por meio da Política de Grupo substituem todas as configurações de política definidas localmente. Quando as políticas não estão em vigor, isso pode implicar que há uma configuração de política do domínio que está substituindo sua configuração de política.

Causa 2: A Diretiva de Grupo pode não ter atualizado suas configurações de diretiva. A Política de Grupo aplica alterações às configurações de política periodicamente, portanto, é provável que as alterações de política feitas no diretório ainda não tenham sido atualizadas.

Soluções:

• O computador no qual você modifica as políticas de restrição de software para a rede precisa ser capaz de entrar em contato com um controlador de domínio. Verifique se o computador pode entrar em contato com um controlador de domínio.
• Atualize a política fazendo logoff da rede e, em seguida, faça logon na rede novamente. Se alguma política é aplicada por meio da Política de Grupo, fazer logon novamente atualiza essas políticas.
• Você pode atualizar as configurações de política com o utilitário de linha de comando gpupdate ou fazendo logoff de e, em seguida, fazendo logon novamente no computador. Para obter os melhores resultados, execute gpupdate, e saia e faça logon novamente no computador. Geralmente, as configurações de segurança são atualizadas a cada 90 minutos em uma estação de trabalho ou servidor e a cada 5 minutos em um controlador de domínio. As configurações também são atualizadas a cada 16 horas, com ou sem qualquer alteração. Essas configurações podem ser alteradas para que os intervalos de atualização possam ser diferentes em cada domínio.
• Verifique quais políticas se aplicam. Verifique as políticas de nível de domínio para ver se não há configurações para Não substituir.
• As políticas de restrição de software especificadas em um domínio por meio da Política de Grupo substituem as políticas definidas localmente. Use a ferramenta de linha de comando Gpresult para determinar qual é o efeito final da política. Quando as políticas não estão em vigor, isso pode implicar que há uma política do domínio que está substituindo sua configuração local.
• Se as configurações de política de SRP e AppLocker estão no mesmo GPO, as configurações de AppLocker têm precedência no Windows 7, no Windows Server 2008 R2 e versões posteriores. É recomendável colocar as configurações de política de SRP e AppLocker em GPOs diferentes.

Depois de adicionar uma regra por meio do SRP, você não pode entrar no computador

Causa: o computador acessa muitos programas e arquivos quando é iniciado. Você pode ter definido inadvertidamente um desses programas ou arquivos como Não permitido. Como o computador não pode acessar o programa ou o arquivo, ele não pode ser iniciado corretamente.

Solução: inicie o computador no Modo de Segurança, entre como administrador local e altere as políticas de restrição de software para permitir que o programa ou arquivo seja executado.

Uma nova configuração de política não está se aplicando a uma extensão de nome de arquivo específica

Causa: a extensão filename não está na lista de tipos de arquivo com suporte.

Solução: adicione a extensão filename à lista de tipos de arquivo compatíveis com SRP.

As políticas de restrição de software resolvem o problema de regulamentar código desconhecido ou não confiável. Políticas de restrição de software são configurações de segurança para identificar o software e controlar sua capacidade de execução em um computador local, em um site, domínio ou UO. Você pode implementar essas configurações por meio de um GPO.

Uma regra padrão não está restringindo conforme o esperado

Causa: as regras aplicadas em uma sequência específica podem fazer com que regras específicas substituam as regras padrão. O SRP aplica regras na sequência a seguir (da mais específica para a mais geral):

1. Regras de hash
2. Regras de certificado
3. Regras de caminho
4. Regras de Zona da Internet
5. Regras padrão

Solução: avalie as regras que restringem o aplicativo e, se apropriado, remova todas, exceto a regra Padrão.

Não é possível descobrir quais restrições foram aplicadas

Causa: não há nenhuma causa aparente para o comportamento inesperado. A atualização de GPO não resolveu o problema. Uma investigação mais aprofundada é necessária.

Soluções:

• Investigue o Log de Eventos do Sistema, filtrando a origem da "Política de Restrição de Software". As entradas declaram explicitamente qual regra é implementada para cada aplicativo.
• Habilite o registro em log avançado.
• Para obter mais informações sobre políticas de restrição de software, consulte Determinar a lista de permissões e negações e o inventário de aplicativos para políticas de restrição de software.