針對軟體限制原則進行疑難解答
本文說明從 Windows Server 2008 和 Windows Vista 開始,針對軟體限制原則 (SRP) 疑難排結時的常見問題和解決方案。
簡介
軟體限制原則 (SRP) 是以群組原則為依據的功能,可以識別在網域的電腦上執行的軟體程式,並控制執行這些程式的能力。 您可以使用軟體限制原則來建立高限制性的電腦設定,您可以只允許執行識別出的應用程式。 這些應用程式與 Microsoft Active Directory Domain Services 和群組原則整合,但也可以在獨立電腦上進行設定。 如需 SRP 的詳細資訊,請參閱軟體限制原則。
從 Windows Server 2008 R2 和 Windows 7 開始,Windows AppLocker 可用於代替 SRP 或與其搭配使用,以取得一部分的應用程式控制策略。
Windows 無法開啟程式
使用者會收到訊息,說明「Windows 無法開啟此程式,因為軟體限制原則已阻止此程式。 如需詳細資訊,請開啟事件檢視器或連絡您的系統管理員。」或者,在命令列上會顯示訊息,說明「系統無法執行指定的程式。」
原因:已建立預設安全性層級 (或規則),因此軟體程式已設為「不允許」,從而導致此程式不會啟動。
解決方案:查看事件記錄檔,取得訊息的深入說明。 事件記錄檔訊息指出設為「不允許」 的軟體程式和套用至程式的規則。
修改的軟體限制原則未生效
原因 1: 透過組策略在網域中指定的軟體限制原則會覆寫本機設定的任何原則設定。 若原則未生效,這可能表示網域中的原則設定覆寫您的原則設定。
原因 2: 組策略可能尚未重新整理其原則設定。 群組原則會定期將變更套用至設定,因此可能尚未重新整理在目錄中所做的原則變更。
解決方案:
- 您針對網路修改軟體限制原則的電腦必須能夠連絡網域控制站。 請確保電腦可以連絡網域控制站。
- 登出網路並再次登入網路以重新整理原則。 如果透過群組原則套用任何原則,請重新登入以重新整理這些規則。
- 您可以使用命令列公用程式
gpupdate或從您的電腦登出並重新登入,以重新整理原則設定。 為了取得最佳結果,請執行gpupdate,然後從您的電腦登出並重新登入。 一般而言,安全性設定會每隔 90 分鐘在工作站或伺服器上更新一次,或是每隔 5 分鐘在網域控制站上更新一次。 而且不管有無變更皆每隔 16 小時更新一次。 您可設定這些設定,因此每個網域中的重新整理間隔可能有所不同。 - 檢查要套用的原則。 針對 [無覆寫] 設定,檢查網域層級原則。
- 透過群組原則在網域中指定的軟體限制原則會覆寫本機設定的任何原則。 使用
Gpresult命令列工具以判斷原則的實質效果為何。 若原則未生效,這可能表示網域中的原則覆寫您的本機設定。 - 如果 SRP 和 AppLocker 原則設定位於相同的 GPO,則 AppLocker 設定優先於 Windows 7、Windows Server 2008 R2 和更新版本。 建議您在不同的 GPO 中放置 SRP 和 AppLocker 原則設定。
透過 SRP 新增規則之後,您無法登入您的電腦
原因:您的電腦在啟動時存取多個程式和檔案。 您可能無意將其中一個程式或檔案設定為「不允許」。 由於電腦無法存取程式或檔案,因此無法正確啟動。
解決方案:以安全模式啟動電腦,並以本機系統管理員身分登入,然後變更軟體限制原則以允許執行程式或檔案。
新原則未套用至特定檔案副檔名
原因:副檔案名不在支援的檔案類型清單中。
解決方案:將副檔名新增至 SRP 支援的檔案類型清單。
軟體限制原則可解決控管未知或未受信任程式碼的問題。 軟體限制原則是安全性設定,可識別軟體和控制軟體在本機電腦上、網站、網域或 OU 中執行的功能。 您可以透過 GPO 實作這些設定。
未如預期限制預設規則
原因:依特定順序套用的規則可能會導致特定規則覆寫預設規則。 SRP 會依下列順序套用規則 (從最特定到最適用):
- 雜湊規則
- 憑證規則
- 路徑規則
- 網際網路區域規則
- 預設規則
解決方案:評估限制應用程式的規則,並視需要移除所有規則,除預設規則之外。
無法探索套用的限制
原因:未預期的行為沒有明顯的原因。 GPO 重新整理尚未解決此問題;需要進一步調查。
解決方案:
- 調查系統事件記錄檔,篩選「系統限制原則」來源。項目會明確指出每個應用程式實作的規則。
- 啟用進階記錄。
- 如需軟體限制原則的詳細資訊,請參閱 判斷軟體限制原則的允許拒絕清單和應用程式清查。