Felsöka principer för begränsning av programvara

Den här artikeln beskriver vanliga problem och lösningar vid felsökning av principer för begränsning av programvara (SRP) från och med Windows Server 2008 och Windows Vista.

Introduktion

SRP (Software Restriction Policies) är grupprincip-baserad funktion som identifierar program som körs på datorer i en domän och styr möjligheten för dessa program att köras. Du använder principer för begränsning av programvara för att skapa en mycket begränsad konfiguration för datorer, där du endast tillåter att identifierade program körs. Dessa program är integrerade med Microsoft Active Directory-domän Services och grupprincip men kan också konfigureras på fristående datorer. Mer information om SRP finns i Principer för begränsning av programvara.

Från och med Windows Server 2008 R2 och Windows 7 kan Windows AppLocker användas i stället för eller tillsammans med SRP för en del av din programkontrollstrategi.

Windows kan inte öppna ett program

Användarna får ett meddelande om att Windows inte kan öppna det här programmet eftersom det har förhindrats av en princip för begränsning av programvara. Om du vill ha mer information öppnar du Loggboken eller kontaktar systemadministratören." Eller så visas ett meddelande på kommandoraden med texten "Systemet kan inte köra det angivna programmet".

Orsak: Standardsäkerhetsnivån (eller en regel) skapades så att programprogrammet har angetts som Otillåtet och därför inte startas.

Lösning: Titta i händelseloggen efter en detaljerad beskrivning av meddelandet. Händelseloggmeddelandet anger vilket program som är inställt som Otillåtet och vilken regel som tillämpas på programmet.

Ändrade principer för begränsning av programvara börjar inte gälla

Orsak 1: Principer för begränsning av programvara som anges i en domän via grupprincip åsidosätta alla principinställningar som konfigurerats lokalt. När principer inte börjar gälla kan det innebära att det finns en principinställning från domänen som åsidosätter din principinställning.

Orsak 2: grupprincip kanske inte har uppdaterat sina principinställningar. grupprincip tillämpar ändringar i principinställningarna regelbundet. Därför är det troligt att principändringarna som gjorts i katalogen ännu inte har uppdaterats.

Lösningar:

• Den dator där du ändrar principer för begränsning av programvara för nätverket måste kunna kontakta en domänkontrollant. Kontrollera att datorn kan kontakta en domänkontrollant.
• Uppdatera principen genom att logga ut från nätverket och sedan logga in på nätverket igen. Om någon princip tillämpas via grupprincip uppdateras dessa principer när du loggar in igen.
• Du kan uppdatera principinställningarna med kommandoradsverktyget gpupdate eller genom att logga ut från och sedan logga in på datorn igen. För bästa resultat kör gpupdatedu och loggar sedan ut från och loggar in på datorn igen. I allmänhet uppdateras säkerhetsinställningarna var 90:e minut på en arbetsstation eller server och var 5:e minut på en domänkontrollant. Inställningarna uppdateras också var 16:e timme, oavsett om det finns några ändringar. De här inställningarna kan konfigureras, så uppdateringsintervallen kan vara olika i varje domän.
• Kontrollera vilka principer som gäller. Kontrollera domännivåprinciper för Inga åsidosättningsinställningar .
• Principer för begränsning av programvara som anges i en domän via grupprincip åsidosätta alla principer som konfigurerats lokalt. Använd Gpresult kommandoradsverktyget för att avgöra vilken nettoeffekt principen har. När principer inte börjar gälla kan det innebära att det finns en princip från domänen som åsidosätter din lokala inställning.
• Om principinställningarna för SRP och AppLocker finns i samma grupprincipobjekt har AppLocker-inställningarna företräde för Windows 7, Windows Server 2008 R2 och senare versioner. Vi rekommenderar att du placerar SRP- och AppLocker-principinställningar i olika grupprincipobjekt.

När du har lagt till en regel via SRP kan du inte logga in på datorn

Orsak: Datorn kommer åt många program och filer när den startas. Du kan oavsiktligt ha ställt in något av dessa program eller filer på Otillåtet. Eftersom datorn inte kan komma åt programmet eller filen kan den inte startas korrekt.

Lösning: Starta datorn i felsäkert läge, logga in som lokal administratör och ändra sedan principer för begränsning av programvara så att programmet eller filen kan köras.

En ny principinställning gäller inte för ett specifikt filnamnstillägg

Orsak: Filnamnstillägget finns inte i listan över filtyper som stöds.

Lösning: Lägg till filnamnstillägget i listan över filtyper som stöds av SRP.

Principer för begränsning av programvara tar itu med problemet med att reglera okänd eller obetrodd kod. Principer för begränsning av programvara är säkerhetsinställningar för att identifiera programvara och kontrollera dess möjlighet att köras på en lokal dator, på en plats, domän eller organisationsenhet. Du kan implementera de här inställningarna via ett grupprincipobjekt.

En standardregel begränsar inte som förväntat

Orsak: Regler som tillämpas i en viss sekvens kan orsaka att specifika regler åsidosätter standardregler. SRP tillämpar regler i följande sekvens (från de mest specifika till mest allmänna):

1. Hash-regler
2. Certifikatregler
3. Sökvägsregler
4. Regler för Internetzon
5. Standardregler

Lösning: Utvärdera reglerna som begränsar programmet och, om det är lämpligt, ta bort alla utom standardregeln.

Det går inte att identifiera vilka begränsningar som tillämpas

Orsak: Det finns ingen uppenbar orsak till det oväntade beteendet. GPO-uppdateringen har inte löst problemet. ytterligare undersökning krävs.

Lösningar:

• Undersök systemhändelseloggen och filtrera på källan för "Policy för begränsning av programvara". Posterna anger uttryckligen vilken regel som implementeras för varje program.
• Aktivera avancerad loggning.
• Mer information om principer för begränsning av programvara finns i Fastställa listan över tillåtna neka och programinventering för principer för begränsning av programvara.