ソフトウェア制限ポリシーのトラブルシューティング

この記事では、Windows Server 2008 および Windows Vista 以降のソフトウェア制限ポリシー (SRP) のトラブルシューティングに関する一般的な問題と解決策について説明します。

概要

ソフトウェア制限ポリシー (SRP) は、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、それらのプログラムを実行する機能を制御するグループ ポリシー ベースの機能です。 ソフトウェア制限ポリシーを使用して、特定されたアプリケーションの実行のみを許可する、コンピューターの高度に制限された構成を作成します。 これらのアプリケーションは、Microsoft Active Directory Domain Services およびグループ ポリシーと統合されていますが、スタンドアロン コンピューターで構成することもできます。 SRP の詳細については、「 ソフトウェア制限ポリシー」を参照してください。

Windows Server 2008 R2 および Windows 7 以降では、Windows AppLocker は、アプリケーション制御戦略の一部として SRP の代わりに、または SRP と連携して使用できます。

Windows でプログラムを開くことができません

ユーザーは、ソフトウェア制限ポリシーによって禁止されているため、このプログラムを開くことができません。"というメッセージを受け取ります。 詳細については、イベント ビューアーを開くか、システム管理者にお問い合わせください。または、コマンド ラインに、"システムは指定されたプログラムを実行できません" というメッセージが表示されます。

原因: 既定のセキュリティ レベル (またはルール) は、ソフトウェア プログラムが [許可なし] に設定され、その結果、起動しないように作成されました。

ソリューション: イベント ログでメッセージの詳細な説明を確認します。 イベント ログ メッセージは、どのソフトウェア プログラムが [許可されていません] に設定されているか、およびプログラムに適用される規則を示します。

変更されたソフトウェア制限ポリシーが有効になっていない

原因 1: グループ ポリシーを使用してドメインで指定されたソフトウェア制限ポリシーは、ローカルで構成されたすべてのポリシー設定をオーバーライドします。 ポリシーが有効になっていない場合は、ポリシー設定をオーバーライドしているドメインのポリシー設定があることを意味する可能性があります。

原因 2: グループ ポリシーがポリシー設定を更新していない可能性があります。 グループ ポリシーは、ポリシー設定に変更を定期的に適用します。そのため、ディレクトリで行われたポリシーの変更がまだ更新されていない可能性があります。

ソリューション:

  • ネットワークのソフトウェア制限ポリシーを変更するコンピューターは、ドメイン コントローラーに接続できる必要があります。 コンピューターがドメイン コントローラーに接続できることを確認します。
  • ネットワークからログオフし、ネットワークに再度ログオンして、ポリシーを更新します。 グループ ポリシーを通じてポリシーが適用されている場合は、ログインし直すとそれらのポリシーが更新されます。
  • ポリシー設定を更新するには、コマンド ライン ユーティリティ gpupdate を使用するか、 からログオフしてからコンピューターにログオンし直します。 最適な結果を得るには、 を実行 gpupdateし、 からサインアウトし、コンピューターに再度ログオンします。 一般に、セキュリティ設定はワークステーションまたはサーバーで 90 分ごとに更新され、ドメイン コントローラーでは 5 分ごとに更新されます。 変更の有無にかかわらず、設定は 16 時間ごとにも更新されます。 これらの設定は構成可能であるため、更新間隔はドメインごとに異なる場合があります。
  • 適用されるポリシーを確認します。 [オーバーライドなし] 設定のドメイン レベルのポリシーを確認します。
  • グループ ポリシーを使用してドメインで指定されたソフトウェア制限ポリシーは、ローカルで構成されたすべてのポリシーをオーバーライドします。 コマンド ライン ツールを使用して Gpresult 、ポリシーの正味の効果を判断します。 ポリシーが有効になっていない場合は、ローカル設定をオーバーライドしているドメインからのポリシーがあることを意味する可能性があります。
  • SRP と AppLocker ポリシー設定が同じ GPO 内にある場合、AppLocker 設定は Windows 7、Windows Server 2008 R2、およびそれ以降のバージョンで優先されます。 SRP と AppLocker のポリシー設定をさまざまな GPO に配置することをお勧めします。

SRP を使用してルールを追加した後、コンピューターにサインインすることはできません

原因: コンピューターは、起動時に多くのプログラムやファイルにアクセスします。 これらのプログラムまたはファイルの 1 つを不注意で [許可しない] に設定した可能性があります。 コンピューターがプログラムまたはファイルにアクセスできないため、正しく起動できません。

ソリューション: コンピューターをセーフ モードで起動し、ローカル管理者としてサインインし、プログラムまたはファイルの実行を許可するようにソフトウェア制限ポリシーを変更します。

特定のファイル名拡張子に新しいポリシー設定が適用されない

原因: ファイル名拡張子は、サポートされているファイルの種類の一覧に含まれません。

ソリューション: SRP でサポートされているファイルの種類の一覧にファイル名拡張子を追加します。

ソフトウェア制限ポリシーは、不明なコードまたは信頼されていないコードを規制する問題に対処します。 ソフトウェア制限ポリシーは、ソフトウェアを識別し、ローカル コンピューター、サイト、ドメイン、または OU で実行する機能を制御するためのセキュリティ設定です。 これらの設定は、GPO を使用して実装できます。

既定のルールが想定どおりに制限されていない

原因: 特定のシーケンスで適用されたルールにより、特定のルールが既定のルールをオーバーライドする可能性があります。 SRP は、次のシーケンス (最も具体的なものから最も一般的なものまで) の規則を適用します。

  1. ハッシュ ルール
  2. 証明書ルール
  3. パス ルール
  4. インターネット ゾーンルール
  5. 既定のルール

ソリューション: アプリケーションを制限するルールを評価し、必要に応じて、既定の規則を除くすべてを削除します。

適用される制限を検出できない

原因: 予期しない動作の明らかな原因はありません。 GPO の更新で問題は解決されていません。さらに調査する必要があります。

ソリューション:

  • "ソフトウェア制限ポリシー" のソースをフィルター処理して、システム イベント ログを調査します。エントリは、アプリケーションごとに実装されるルールを明示的に示します。
  • 詳細ログを有効にします。
  • ソフトウェア制限ポリシーの詳細については、「ソフトウェア制限ポリシー の Allow-Deny 一覧とアプリケーション インベントリを決定する」を参照してください。