排查软件限制策略问题（gpupdate刷新策略设置、Gpresult确定策略的净效果）

排查软件限制策略问题（gpupdate刷新策略设置、Gpresult确定策略的净效果）

https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/group-policy/troubleshoot-software-restriction-policies?source=recommendations

简介

软件限制策略 (SRP) 是基于组策略的功能，用于标识在域中的计算机上运行的软件程序，并控制这些程序运行的能力。 使用软件限制策略为计算机创建高度受限的配置，其中仅允许运行标识的应用程序。 这些应用程序与 Microsoft Active Directory 域服务和组策略集成，但也可在独立计算机上配置。 有关 SRP 的详细信息，请参阅 软件限制策略。

从 Windows Server 2008 R2 和 Windows 7 开始，可以将 Windows AppLocker 用于应用程序控制策略的一部分，而不是与 SRP 配合使用或配合使用。

用户会收到一条消息，指出“Windows 无法打开此程序，因为它已被软件限制策略阻止。 有关详细信息，请打开事件查看器或联系系统管理员。”或者，在命令行上显示一条消息，指出“系统无法执行指定的程序”。

原因： 已创建默认安全级别 (或规则) ，以便将软件程序设置为 “不允许 ”，因此它不会启动。

解决 方案： 在事件日志中查找消息的深入说明。 事件日志消息指示将哪些软件程序设置为 “不允许 ”，以及将哪些规则应用于该程序。

原因 1：通过组策略域中指定的软件限制策略替代本地配置的任何策略设置。 策略未生效时，可能意味着域中有一个策略设置替代策略设置。

原因 2：组策略可能尚未刷新其策略设置。 组策略定期对策略设置应用更改;因此，目录中的策略更改很可能尚未刷新。

解决 方案：

• 修改网络软件限制策略的计算机必须能够联系域控制器。 确保计算机可以联系域控制器。
• 通过注销网络，然后再次登录到网络来刷新策略。 如果通过组策略应用了任何策略，则重新登录将刷新这些策略。
• 可以使用命令行实用工具 gpupdate 刷新策略设置，或者从 中注销，然后重新登录到计算机。 为了获得最佳结果，请运行 gpupdate，然后从 注销并重新登录到计算机。 通常，安全设置在工作站或服务器上每 90 分钟刷新一次，在域控制器上每 5 分钟刷新一次。 不管是否进行更改，安全设置都是每 16 小时刷新一次。 这些设置是可配置的，因此每个域中的刷新间隔可能不同。
• 检查应用哪些策略。 检查“ 无替代” 设置的域级别策略。
• 通过组策略域中指定的软件限制策略将覆盖本地配置的任何策略。 使用 Gpresult 命令行工具确定策略的净效果。 策略未生效时，这可能意味着域中有一个策略替代本地设置。
• 如果 SRP 和 AppLocker 策略设置位于同一 GPO 中，则 AppLocker 设置优先于 Windows 7、Windows Server 2008 R2 及更高版本。 建议将 SRP 和 AppLocker 策略设置放在不同的 GPO 中。

原因： 计算机在启动时会访问许多程序和文件。 你可能无意中将其中一个程序或文件设置为 “不允许”。 由于计算机无法访问程序或文件，因此无法正常启动。

解决 方案： 在安全模式下启动计算机，以本地管理员身份登录，然后更改软件限制策略以允许程序或文件运行。

原因： 文件扩展名不在支持的文件类型列表中。

解决 方案： 将文件扩展名添加到 SRP 支持的文件类型列表中。

软件限制策略解决了管理未知或不受信任的代码的问题。 软件限制策略是用于标识软件并控制其在本地计算机、站点、域或 OU 中运行的能力的安全设置。 可以通过 GPO 实现这些设置。

原因： 在特定序列中应用的规则可能导致特定规则替代默认规则。 SRP 按以下顺序 (从最特定到最常规) 应用规则：

1. 哈希规则
2. 证书规则
3. 路径规则
4. Internet 区域规则
5. 默认规则

解决 方案： 评估限制应用程序的规则，并根据需要删除除默认规则的所有规则。

原因： 出现意外行为没有明显原因。 GPO 刷新尚未解决问题;需要进一步调查。

解决 方案：

• 调查系统事件日志，根据“软件限制策略”的源进行筛选。条目明确说明为每个应用程序实现的规则。
• 启用高级日志记录。
• 有关软件限制策略的详细信息，请参阅 确定软件限制策略 Allow-Deny 列表和应用程序清单。