Устранение неполадок, связанных с политиками ограниченного использования программ
Расширенное протоколирование
Во время создания правил или устранения неполадок на компьютере, сообщающем о проблеме, администратор может фиксировать в журнале событий каждый случай применения политики ограниченного использования программ. Это достигается путем включения расширенного протоколирования.
Для включения расширенного протоколирование:
- Создайте следующий раздел в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Строковый параметр: LogFileName, <путь к файлу журнала>
Включение и выключение протоколирования из командной строки
Для включения и выключения протоколирования из командной строки используются следующие команды:
- Включение протоколирования (в файл saferlog.txt):
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v LogFileName /d saferlog.txt
- Выключение протоколирования:
reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v LogFileName /f
- Запись в файле журнала имеет следующий формат:
<Родительский процесс (Код (ID))> идентифицированный как <Путь к запускаемой программе> с уровнем безопасности <Уровень правила> используя <Тип правила>, GUID = <код GUID правила> (parent process (Process ID) identified Path to launched program as Rule Level using Rule Type, GUID = GUID of rule)
- Пример записи:
winlogon.exe (PID = 396) identified C:\Windows\system32\userinit.exe as Unrestricted using path rule, Guid = {f8c2c158-e1af-4695-bc93-07cbefbdc594}Эта запись сообщает о следующем событии: процесс входа в систему (winlogon.exe), имеющий значение идентификатора 396, запустил программу C:\Windows\system32\userinit.exe. Правило, под действие которого попала эта программа, имеет код GUID {f8c2c158-e1af-4695-bc93-07cbefbdc594} и является правилом для пути с уровнем безопасности Неограниченный (Unrestricted).
Примечание
Если Вам не нужно выполнять расширенное протоколирование, не забудьте выключить его, удалив значение в реестре. Использование расширенного протоколирования в течение длительного периода времени может потреблять большое количества места на жестком диске и снизить быстродействие системы.