Paramètres avancés

Vous accédez aux paramètres avancés depuis le ruban Gérer. Ils vous permettent d'affecter des paramètres globaux au fichier de configuration Application Control (Contrôle des applications). Spécifiez les composants globaux requis à l'aide des onglets Paramètres de stratégie et Paramètres personnalisés.

Dans cette section :

Paramètres de stratégie

Les paramètres de stratégie Application Control (Contrôle des applications) sont disponibles dans la boîte de dialogue Paramètres avancés. Il s'agit de paramètres Application Control (Contrôle des applications) généraux qui s'appliquent à toutes les demandes d'exécution d'application et de processus.

Fonctions générales

Option Description
Marquer par défaut les lecteurs locaux comme Autorisés La valeur de configuration par défaut pour les lecteurs locaux est une liste noire, ce qui signifie que tout le contenu du lecteur local est autorisé, sauf si l'élément figure dans la liste Éléments refusés ou si la vérification Trusted Ownership échoue. Désélectionnez cette option pour passer en configuration Liste blanche, afin que tout le contenu du lecteur local soit bloqué, sauf si l'élément figure dans la liste Éléments autorisés.
Autoriser cmd.exe pour les fichiers batch Il est prévu que les administrateurs interdisent explicitement cmd.exe dans leur configuration Application Manager (Gestionnaire d'applications). Lorsque cmd.exe est bloqué et que l'option « Autoriser cmd.exe pour les fichiers batch » est désactivée, les fichiers batch sont évalués et bloqués s'ils ne respectent pas la stratégie Application Manager. Si l'option n'est pas sélectionnée et si cmd.exe est explicitement bloqué, tous les fichiers batch sont bloqués. Ils ne sont même pas évalués. Si cette option est sélectionnée et si cmd est explicitement bloqué, cmd.exe ne peut toujours pas s'exécuté par lui-même, mais les fichiers batch sont évalués par rapport aux règles Application Control (Contrôle des applications). Si cmd.exe n'est pas explicitement bloqué, tous les fichiers batch s'exécutent, que l'option soit activée ou non.
Ignorer les restrictions pendant la connexion Au cours de la connexion, l'ordinateur peut exécuter plusieurs applications essentielles. Leur blocage peut provoquer un fonctionnement incorrect de l'ordinateur, voire l'inhiber entièrement. Par conséquent, cette option est sélectionnée par défaut.
Extraire les fichiers ZIP autoextractibles Un fichier autoextractible est un exécutable qui contient un fichier ZIP et un petit programme servant à l'extraire. Ces fichiers sont parfois utilisés à la place d'un fichier MSI pour l'installation d'une application. Certains administrateurs préfèrent que les applications soient uniquement installées à l'aide de fichiers MSI.

Seuls les fichiers EXE autoextractibles formatés avec les spécifications ZIP sont pris en charge. Pour en savoir plus, reportez-vous à « Spécifications ZIP ».

L'option Extraire les fichiers ZIP autoextractibles permet qu'un fichier exécutable bloqué, s'il s'agit d'un ZIP autoextractible, soit extrait par l'extracteur ZIP. Si cette option n'est pas sélectionnée (paramètre par défaut), le fichier est soumis au traitement normal des règles, comme n'importe quel fichier exécutable. Une fois le fichier extrait, tout le contenu exécutable qu'il contient reste soumis aux vérifications Trusted Ownership (Propriétaire de confiance) normales. Son exécution est interdite si l'utilisateur n'est pas un propriétaire de confiance. Cela s'avère utile dans le cas où le fichier ZIP autoextractible stocke du contenu non exécutable, comme un document dont l'utilisateur a besoin. Par défaut, cette option n'est pas sélectionnée et le fichier autoextractible est traité comme un exécutable standard, et son exécution peut être interdite (tout comme l'extraction de son contenu) par le traitement normal des règles.
Ignorer les restrictions pendant Configuration active Par défaut, toutes les applications qui s'exécutent pendant l'opération Configuration active, sont soumises aux règles Application Control (Contrôle des applications). Sélectionnez cette option pour que ces applications ne soient pas soumises aux contrôles de règles pendant la phase Configuration active.
Refuser les fichiers sur support amovible Désélectionnez cette option pour supprimer les restrictions concernant les supports amovibles. Les supports amovibles sont tous ceux que l'appel à GetDriveType détermine comme tels. En raison de la nature des supports amovibles, la lettre de lecteur peut changer en fonction de la façon dont le poste client est configuré. Par exemple, le lecteur de support amovible peut être identifié comme lecteur E: sur un ordinateur et comme F: sur un autre.

Refuser les fichiers sur partage réseau

La valeur de configuration par défaut pour les partages réseau est une liste noire, ce qui signifie que tout le contenu du partage réseau est refusé, sauf si l'élément figure dans la liste Éléments autorisés. Désélectionnez cette option pour passer en configuration Liste noire, afin que tout le contenu du partage réseau soit autorisé, sauf si l'élément concerné échoue lors de la vérification Trusted Ownership ou figure dans la liste Éléments refusés.

Validation

Option Description
Valider les processus système Sélectionnez cette option pour valider tous les fichiers exécutés par l'utilisateur système. Notez qu'il est déconseillé d'activer cette option car elle augmente la quantité d'opérations de validation qui se produisent sur l'ordinateur de poste client, et cela peut bloquer l'exécution d'applications essentielles. Sélectionnez cette option pour que tous les exécutables lancés par le système soient soumis à la validation des règles.
Valider les scripts WSH (Windows Script Host) Sélectionnez cette option pour spécifier que le contenu de ligne de commande des scripts exécutés avec wscript ou cscript doit être soumis à la validation des règles.

Les scripts peuvent introduire des virus et du code malveillant. Il est recommandé de valider les scripts WSH.
Valider les paquets MSI (Windows Installer) Les fichiers MSI constituent la méthode standard d'installation des applications Windows. Il est recommandé d'interdire à l'utilisateur d'installer librement des applications MSI. Sélectionnez cette option pour que tous les MSI soient soumis à la validation des règles.Si vous désélectionnez cette option, seul le programme d'installation Windows Installer proprement dit, msiexec.exe, est validé par le traitement des règles Application Control (Contrôle des applications), pas le fichier MSI qui tente de s'exécuter.
Valider les fichiers de registre Sélectionnez cette option pour activer la validation des règles pour regedit.exe et regini.exe. Si vous désélectionnez cette option, regedit.exe et regini.exe ne sont plus bloqués par défaut. De plus, le script .reg que regedit.exe et regini.exe tentent d'exécuter n'est plus validé par le traitement des règles Application Control (Contrôle des applications).

Il est déconseillé d'autoriser les utilisateurs à accéder au registre ou aux fichiers de registre.
Valider les scripts PowerShell Si vous l'activez, ce paramètre bloque powershell.exe et powershell_ise.exe. Cependant, si un script PowerShell (fichier PS1) est trouvé sur la ligne de commande, il est soumis à une vérification complète des règles pour savoir s'il est configuré pour l'élévation, s'il est autorisé ou s'il est refusé.
Valider les archives Java Si vous l'activez, ce paramètre bloque java.exe et javaw.exe. Cependant, si une archive Java (fichier JAR) est trouvée sur la ligne de commande, elle est soumise à une vérification complète des règles pour savoir si elle est autorisée ou refusée.

Fonction

Option Description
Activer le contrôle de l'accès aux applications Sélectionnez cette option pour activer le contrôle de l'accès aux applications.Désélectionnez-la pour ne pas valider ni bloquer les exécutables.
Activer Application Network Access Control Sélectionnez cette option pour activer la fonction Application Network Access Control (Contrôle de l'accès réseau aux applications).Désélectionnez-la pour ne pas valider ni bloquer les connexions réseau sortantes.
Activer la gestion des privilèges utilisateur Sélectionnez cette option pour activer la fonction Gestion des privilèges utilisateur.Désélectionnez-la pour ne pas appliquer de stratégie de privilèges utilisateur. En désactivant cette option, vous autorisez toutes les applications à s'exécuter avec les permissions et privilèges fournis par défaut par le système d'exploitation. Application Control (Contrôle des applications) ignore tout le contenu de la section Privilèges utilisateur des règles, et il ne change ni n'altère aucun des privilèges de l'utilisateur.
Activer la redirection d'URL Sélectionnez cette option pour activer la fonction Redirection d'URL. Si vous désélectionnez cette option, les redirections configurées sont ignorées, et les utilisateurs ne sont pas redirigés lorsqu'ils indiquent une URL suspecte ou indésirable. De plus, aucune des autorisations d'URL que vous avez configurées ne peut s'exécuter. Si vous désélectionnez cette option, le système se comporte comme s'il n'existait aucune entrée dans l'ensemble de stratégies de contrôle du navigateur (Browser Control) et si cette fonction était sélectionnée. Si vous désactivez cette fonction, les extensions de navigateur sont désactivées. Voir aussi « Contrôle du navigateur (Browser Control) ».

Signatures

Options Description
Algorithme Sélectionnez un type d'algorithme. Vous disposez de trois options :
  • SHA1
  • SHA256
  • Adler32

Pour en savoir plus, reportez-vous à « Hachage de signature ».

Paramètres personnalisés

Les paramètres personnalisés vous permettent de configurer des paramètres supplémentaires, qui seront appliqués aux postes client gérés lors du déploiement d'une configuration Application Control (Contrôle des applications). Si vous déployez une nouvelle configuration contenant de nouveaux paramètres personnalisés, tous les paramètres personnalisés préexistants mis en place sur le poste client sont supprimés.

Gérer les paramètres personnalisés

  1. Ouvrez une configuration dans la console Application Control (Contrôle des applications) et naviguez jusqu'au ruban Gérer.

  2. Cliquez sur Paramètres avancés et sélectionnez l'onglet Paramètres personnalisés.

    La boîte de dialogue Configurer les paramètres avancés s'affiche.

  3. Sélectionnez l'onglet Paramètres personnalisés et cliquez sur Ajouter pour afficher la liste des paramètres avancés.

  4. Sélectionnez les paramètres à configurer et cliquez sur OK.

  5. Les paramètres sélectionnés sont ajoutés à la boîte de dialogue Configurer les paramètres avancés.

    Les paramètres ajoutés sont configurés sur le poste client. Cependant, tous les paramètres qui existent déjà sur un poste client sont utilisés.

  6. Définissez les valeurs selon vos besoins.
  7. Cliquez sur OK.

Les paramètres sont appliqués lorsque la configuration est déployée sur vos postes client gérés.

Paramètres personnalisés disponibles

Paramètre Type de données Description
ADComputerGroupMembershipTimeoutSecs Numérique Délai en secondes alloué à la recherche des groupes d'ordinateurs imbriqués. Le paramètre par défaut est de 120 secondes et la configuration de cette valeur sur 0 désactive la temporisation.
ADQueriesEnabled Numérique Ce paramètre contrôle le type des requêtes AD utilisées pour déterminer le nom distinctif (DN) du système et les groupes auxquels l'ordinateur appartient.

La valeur 0 désactive les requêtes adressées à AD, ainsi que l'utilisation de groupes d'ordinateurs et d'unités opérationnelles (OU) dans la configuration.

La valeur par défaut, 1, commande à l'agent d'émettre à la fois des requêtes AD de nom distinctif (DN) et des requêtes de groupe d'ordinateur direct (non imbriqué). Les groupes d'ordinateurs imbriqués dans la configuration sont ignorés.

La valeur 2 demande à l'agent d'émettre des requêtes AD de nom distinctif (DN), et des requêtes de groupe d'ordinateur direct et imbriqué. Ce paramètre peut créer des problèmes de performances du DC en raison de la forte consommation d'UC.

AgentAssistWaitTime

Numérique

Délai (en secondes) d'attente du démarrage d'un processus Agent Assist. En définissant cette valeur sur 0, vous désactivez la temporisation.
AlternateTOCheck Numérique Les vérifications Trusted Ownership (Propriétaire de confiance) peuvent parfois provoquer une consommation d'UC excessive dans le processus SYSTEM lorsque des pilotes de filtre tiers sont installés sur le système. Si vous activez ce paramètre avec la valeur 1, Application Control (Contrôle des applications) utilise une méthode alternative de recherche Trusted Ownership, ce qui atténue le problème dans certains cas.
AMFileSystemFilterFailSafe Numérique Ce paramètre détermine si le pilote de filtre système fonctionne en mode Tolérance de pannes ou Sécurité intégrée. Si l'agent connaît un problème et qu'il cesse de répondre, le pilote se déconnecte en mode Tolérance de pannes et n'intercepte plus aucune demande. La valeur 1 correspond à Tolérance de pannes et la valeur 0, à Sécurité intégrée. La valeur par défaut est Tolérance de pannes. Pour que le changement de ce paramètre prenne effet, l'agent doit redémarrer.
AppHookDelayLoad Texte Ce paramètre demande à la DLL AmAppHook de se charger après un délai en millisecondes (ms) spécifique, que vous pouvez configurer. Ce paramètre est configuré pour chaque nom de fichier. Son format est <nom-fichier+extension>,<délai>. Le nom de fichier et l'extension peuvent contenir des caractères génériques. Chaque paire est séparée par un point-virgule. Par exemple, « calc.exe,2000;note*.exe,6000 ».
AppHookEx Texte Application Control (Contrôle des applications) utilise un hook Windows dans le cadre de la fonction Application Network Access Control (ANAC). Dans de rares cas, les applications peuvent montrer un comportement inattendu avec un hook. Ce paramètre affiche la liste des applications où les fonctions propres à ANAC n'ont pas de hook, c'est-à-dire les applications non soumises aux règles ANAC.

Si une application apparaît à la fois dans AppHookEx et dans UrmHookEx, le fichier AmAppHook.dll n'est pas chargé. Les différentes entrées sont séparées par un point-virgule (;).
AppInitDllPosition Numérique Utilisez ce paramètre pour spécifier si le système utilise le pilote AsModLdr ou la clé de registre Appinit pour injecter le hook Application Control (Contrôle des applications). Ce paramètre sert également à déterminer la position du fichier AMLdrAppinit.dll dans la valeur de registre AppInit_DLL.

Définissez l'une des valeurs suivantes :

  • 0 - Place AMLdrAppInit.dll au début de la liste AppInit_DLLs.
  • 1 - Place AMLdrAppInit.dll à la fin de la liste AppInit_DLLs.
  • -1 - Exclut AMLdrAppInit.dll des listes AppInit_DLLs et ASModLdr. Si AMLdrAppInit.dll est exclu des deux listes, aucune injection automatique ne se produit.

  • 2 - Ajoute AMLdrAppInit.dll à la liste des DLL à injecter, à savoir ASModLdr. Il s'agit du paramètre par défaut.

Ce paramètre ne doit être utilisé que sous la supervision de l'équipe de support Ivanti.

AssumeActiveSetupDespiteCitrix

Numérique

Ce paramètre contrôle les vérifications effectuées pour détecter l'implication de Citrix à la connexion du client. Valeurs disponibles : 1 ou 2.

1 - Applique des contrôles extrêmement stricts pour s'assurer que les applications refusées sont bien bloquées.

2 - Compte sur l'exclusion d'Active Setup lors de la détection de Citrix.

Notez que, si Application Control (Contrôle des applications) détecte que le client utilise Citrix à la connexion, il considère que Windows Active Setup ne sera pas lancé (puisque l'utilisateur se connecte à Citrix, pas à Windows). Cependant, dans certains cas, des applis bloquées ont été autorisées à s'exécuter, alors que l'option Ignorer les restrictions pour Active Setup était active, que le client utilisait les applis publiées et que l'utilisateur exécutait l'Explorateur. Pour éviter ce problème, définissez cette valeur de clé sur 1.
BaseConfigMergeBehavior Texte Utilisez ce paramètre pour déterminer si le fichier .aamp de la nouvelle configuration remplace le fichier merged_configuration.aamp existant ou se fusionne avec. Les valeur acceptées pour ce paramètre sont replace (Remplacer) et remerge (Refusionner).

Si vous effectuez la fusion avec un objet Stratégie de groupe (GPO), la valeur Remplacer est ignorée et le système utilise automatiquement par défaut la valeur Refusionner.
BrowserAppStorePort Numérique Indiquez le port utilisé pour autoriser l'installation de l'extension Chrome Contrôle du navigateur (Browser Control).
BrowserCommsPort Numérique Indiquez le port utilisé pour les communications entre les extensions de navigateur et l'agent.
BrowserExtensionInstallHive Numérique Ce paramètre d'ingénierie permet à l'administrateur de choisir la ruche de registre dans laquelle l'extension de navigateur Chrome Application Control (Contrôle des applications) va être installée. Options disponibles :
  • 0 - Extension non installées
  • 1 - Installer dans HKLM
  • 2 - Installer dans HKCU.

Avec la valeur 0, l'administrateur doit configurer manuellement son propre appstore d'entreprise pour déployer l'extension Chrome Application Control (Contrôle des applications). Le comportement par défaut (valeur 2) est l'installation de l'extension Chrome dans HKCU.
BrowserHookEx Texte Cette valeur peut être définie sur « Chrome.exe » pour empêcher l'injection du hook de navigateur Application Control (BrowserHook.dll). Le hook de navigateur interdit toutes les communications réseau, jusqu'à ce que l'extension Chrome ait établi une connexion avec l'agent Application Control.

Aucune fonction essentielle n'est affectée par ce paramètre personnalisé.
BrowserNavigateEx Texte Liste délimitée par des barres verticales (|), contenant les URL de navigation qui contournent le traitement des événements de navigation. Les URL de cette liste ne sont pas soumises à la redirection d'URL.
ComputerOUThrottle Numérique Ce paramètre limite les recherches Active Directory de chaque client connecté pour la vérification de l'appartenance aux unités organisationnelles (OU), en restreignant le nombre de requêtes simultanées. Cet étranglement réduit la quantité de trafic de requête dans un domaine si le système gère un fort volume de clients connectés. Définissez cette valeur entre 0 et 65535.
ConfigFileProtection Numérique Verrouille les fichiers AAMP de configuration et le dossier config fusionné, pour interdire la mise à jour des configurations par les utilisateurs non autorisés. Cette fonction est désactivée par défaut. Définissez la valeur sur 1 pour l'activer.

Soyez prudent lorsque vous appliquez ce paramètre dans un environnement de test : vous risquez de ne pas pouvoir le désactiver car votre configuration ne peut pas être mise à jour. Si cela se produit, contactez le support Ivanti.
DFSLinkMatching Numérique Vous pouvez ajouter des chemins de lien DFS aux règles. Les liens DFS et les cibles DFS sont traités comme des éléments indépendants distincts à mettre en correspondance. Aucune conversion de lien en cible n'est effectuée avant l'application des règles. Configurez cette valeur sur 1 pour activer la mise en correspondance des liens DFS.
DirectHookNames Texte Le hook Windows Application Control (Contrôle des applications) est chargé dans tous les processus qui chargent user32.dll par défaut. Les applications qui ne chargent pas cette DLL ne reçoivent pas de hook. Les applications qui ne chargent pas user32.dll doivent être incluses dans ce paramètre, au sein d'une liste délimitée par des points-virgules contenant des chemins complets ou des noms de fichier.
DisableAppV5AppCheck Numérique Par défaut, les applications lancées avec AppV5 sont exemptées de la vérification Trusted Ownership (Propriétaire de confiance).Utilisez ce paramètre avec la valeur 1 pour désactiver ce comportement.
DisableCustomRulesPreCheck Numérique Ce paramètre améliore les performances de la vérification des règles personnalisées, car le système traite uniquement les éléments configurés dans les stratégies de chaque collection de règles personnalisées. Par défaut, ce paramètre est désactivé et configuré sur « 0 ». Définissez la valeur sur « 1 » pour autoriser toutes les demandes potentielles via les règles personnalisées.
DisableDNSLookup Numérique Le composant Application Network Access Control (Contrôle de l'accès réseau aux applications) n'est pas compatible avec certaines formes de serveur DNS proxy. Si vous définissez la valeur sur 1, Application Control (Contrôle des applications) n'effectue pas de recherche DNS, ce qui limite les erreurs et ralentissements inattendus lors de l'utilisation d'un serveur DNS proxy.
DisableSESecondDesktop Numérique Par défaut, la boîte de dialogue d'audit propre à Auto-élévation s'affiche sur un autre bureau. Définissez la valeur sur 1 pour afficher la boîte de dialogue sur le bureau principal.
DoNotWalkTree Numérique Par défaut, les règles de processus vérifient l'ensemble de la clé parent pour trouver une correspondance. Ce paramètre demande aux règles de processus de ne vérifier que le parent direct du processus au lieu de vérifier l'arborescence entière. La valeur 1 active ce paramètre.
DriverHookEx Texte Liste délimitée par des points-virgules contenant la liste des applications où le hook Application Control (Contrôle des applications) (AMAppHook.Dll) ne sera pas injecté. Application Control (Contrôle des applications) exige le chargement du hook pour que certaines options fonctionnent. Ce paramètre personnalisé ne doit être utilisé que sous la supervision de l'équipe de support Ivanti.
EnableCustomRulesDllChecking Numérique Ce paramètre est désactivé par défaut (configuré sur 0), et seuls les exécutables et les URL sont traités. Ce paramètre améliore les performances de la vérification des règles personnalisées, car le système contrôle si les DLL sont autorisées via les collections de règles. Définissez la valeur sur « 1 » pour autoriser le traitement de toutes les DLL en plus de celle par défaut.
EnableScriptPreCheck Numérique Bien que les scripts des règles scriptées soient traités, ils sont considérés comme ayant renvoyé la valeur false (faux). La durée de traitement des scripts varie en fonction de leur contenu. Ce paramètre assure les meilleures performances pendant le démarrage de l'ordinateur et la connexion de l'utilisateur, car aucun élément dépendant du résultat d'un script n'est retardé. Définissez la valeur sur 1 pour demander aux processus d'attendre la fin du script concerné. Cela peut considérablement ralentir le démarrage de l'ordinateur et la connexion de l'utilisateur.

Application Control (Contrôle des applications) n'attend pas indéfiniment les résultats des scripts : il applique une temporisation de 30 secondes.
EnableSignatureOptimization Numérique Ce paramètre améliore les performances de la vérification des règles lorsque vous utilisez des signatures. Les fichiers dont le chemin complet ne correspond pas ne reçoivent pas de hachage car le système considère qu'il ne s'agit pas du même fichier. Définissez cette option sur 1 pour l'activer.

Si vous activez ce paramètre et ExtendedAuditInfo, aucun nom de fichier avec hachage n'apparaît dans les métadonnées d'audit.
ExplicitShellProgram Texte Ce paramètre est utilisé par AAC (Application Access Control, Contrôle de l'accès aux applications). Pour Application Control (Contrôle des applications), le lancement du programme de shell (par défaut, explorer.exe) est le déclencheur qui permet de reconnaître la session comme étant connectée. Selon l'environnement et les technologies, l'application de shell change et l'agent est parfois incapable de détecter quel est le programme de shell. Application Control (Contrôle des applications) utilise les applications de cette liste (en plus des applications de shell par défaut) pour déterminer le moment où une session est considérée comme connectée. Liste délimitée par des points-virgules, contenant des chemins complets ou des noms de fichier.
ExProcessNames Texte Liste de noms de fichier séparés par un espace, indiquant les fichiers à exécuter depuis le pilote de filtre.

Pour que le changement de ce paramètre prenne effet, l'agent doit redémarrer.
ExtendedAuditInfo Numérique Ce paramètre étend les informations de fichier pour les événements ayant subi un audit. Il renvoie le hachage Secure Hash Algorithm 1 (SHA-1), la taille de fichier, la version du fichier et du produit, la description du fichier, le fournisseur, le nom de l'entreprise et le nom du produit pour chaque fichier des événements audités. Ces informations sont ajoutées immédiatement après le nom de fichier dans le journal des événements. Ce paramètre est activé par défaut. Pour le désactiver, entrez la valeur 0.

La génération du hachage ou de la comme de contrôle est désactivée si le paramètre EnableSignatureOptimization est actif.
ForestRootDNQuery Numérique Définissez la valeur sur 1 pour autoriser l'agent Application Control (Contrôle des applications) à émettre une requête à la racine de la forêt. La requête inclut une recherche de références pour déterminer le nom distinctif (DN) des périphériques qui se connectent, afin de voir l'appartenance aux OU et aux groupes d'ordinateurs dans les règles de périphérique.
ImageHijackDetectionInclude Texte Liste de noms des processus par rapport auxquels tous les processus enfant sont vérifiés pour garantir que l'image enfant s'exécute sans corruption ni modification, et qu'elle correspond à l'image initialement demandée. Si le processus enfant n'est pas vérifié, le système y met fin. Liste délimitée par des points-virgules, contenant des chemins complets ou des noms de fichier.
MultipleHostsSameIP Numérique Autorise Application Network Access Control (ANAC) à fonctionner avec plusieurs hôtes portant la même adresse IP. Ce paramètre exploite la mise en cache des noms de domaine en adresses IP et permet à plusieurs domaines de fonctionner lorsqu'ils s'exécutent depuis le même serveur. Définissez cette option sur 1 pour l'activer.
NetEnableRevDNS Numérique Utilisé par Application Network Access Control (ANAC), ce paramètre active globalement une recherche DNS inversée sur chaque demande d'accès à une ressource réseau. L'activation de ce paramètre permet de passer outre aux paramètres NetEnabledRevDNSList et RevDNSList. Définissez cette option sur 1 pour l'activer.

Cette fonction nécessite que l'administrateur active et configure des zones de recherche inversée sur les serveurs DNS de l'entreprise.
NetEnableRevDNSList Numérique Utilisé par Application Network Access Control (ANAC), ce paramètre active une recherche DNS inversée uniquement pour les adresses IP de la liste RevDNSList. Ce paramètre doit être combiné au paramètre RevDNSList. Définissez sa valeur sur 1 pour l'activer.

Cette fonction nécessite que l'administrateur active et configure des zones de recherche inversée sur les serveurs DNS de l'entreprise.
OwnershipChange Numérique Application Control (Contrôle des applications) détecte si un fichier de confiance est modifié par un propriétaire qui n'est pas de confiance. Dans ce cas, le propriétaire du fichier est remplacé par l'utilisateur qui n'est pas de confiance et toutes les demandes d'exécution sont bloquées. Certaines applications écrasent les fichiers d'une façon que Application Control (Contrôle des applications) ne détecte pas par défaut, si bien que le propriétaire du fichier ne change pas. Lorsque vous activez ce paramètre, Application Control (Contrôle des applications) effectue des vérifications supplémentaires pour trouver tous les changements apportés aux fichiers, et il devrait détecter les écrasements. Définissez ce paramètre sur 1 pour l'activer.
PCRRetainOnNewConfig Numérique

Contrôle la façon dont les demandes de changement de stratégie (PCR) sont traitées lors de l'émission d'une nouvelle configuration. Par défaut, cette fonction est désactivée : les PCR autorisées sont supprimées à la réception d'une nouvelle configuration.

Définissez la valeur sur 1 pour conserver les demandes de changement de stratégie (PCR) autorisées lorsqu'une nouvelle configuration est émise.
RdmHookEx Texte Liste d'applications, utilisée en mode Découverte des privilèges (PDM), indiquant les applications où les fonctions propres à PDM n'ont pas de hook Windows Application Control (Contrôle des applications). La valeur doit être une liste délimitée par des points-virgules, contenant des noms de fichier.
RemoveDFSCheckOne Numérique Lorsque les fichiers sont stockés sur un lecteur DFS, l'agent Application Control (Contrôle des applications) utilise un certain nombre de stratégies pour évaluer le chemin UNC correct. L'une de ces stratégies peut provoquer des retards lors de la connexion si un grand nombre de scripts et d'exécutables sont stockés et répliqués dans Active Directory. Définissez la valeur sur 1 pour activer ce paramètre. Application Control (Contrôle des applications) ignore alors cette stratégie et améliore les performances dans cette situation.
RevDNSList Variable Ce paramètre s'applique uniquement si vous le combinez à NetEnableRevDNSList et l'utilisez dans Application Network Access Control (ANAC). Il contient les adresses IP qui seront soumises à la vérification de recherche DNS inversée. L'adresse IP doit être au format à points IPv4 (n.n.n.n), dans une liste délimitée par des points-virgules.

Ce paramètre nécessite que l'administrateur active et configure des zones de recherche inversée sur les serveurs DNS de l'entreprise.
SECancelButtonText Texte Texte affiché par le bouton Annuler dans la boîte de dialogue Auto-élévation.
SelfElevatePropertiesEnabled Numérique Définissez cette valeur sur 1 pour activer l'auto-élévation des propriétés.Cette fonction est désactivée par défaut.
SelfElevatePropertiesMenuText Texte Texte de l'option de menu contextuel d'auto-élévation des propriétés.
SEOkButtonText Texte Texte affiché par le bouton OK dans la boîte de dialogue Auto-élévation.
TVChecking Numérique En activant ce paramètre, vous demandez à Application Control (Contrôle des applications) d'ignorer la vérification de fournisseur de confiance pour tous les fichiers, même si la configuration contient des entrées Fournisseurs de confiance. Définissez la valeur sur 0 pour activer ce paramètre.

Ce paramètre est destiné à la résolution des problèmes.
UrlRedirectionSecPolicy Numérique Par défaut, la fonction Redirection d'URL ignore la stratégie de sécurité. Ce paramètre d'ingénierie permet à l'administrateur de forcer la redirection d'URL à respecter la stratégie de sécurité configurée. Définissez cette option sur 1 pour l'activer.

L'auto-autorisation n'est pas prise en charge.
UrmForceMediumIntegrityLevel Texte Paramètre User Privilege Management (UPM, Gestion des privilèges utilisateur) personnalisé qui permet de remplacer le niveau d'intégrité lorsque les privilèges utilisateur correspondent à des applications élevées, où le niveau d'intégrité défini par défaut est Élevé. Si vous utilisez ce paramètre, le niveau est abaissé à Moyen. La valeur doit être une liste délimitée par des points-virgules, contenant des noms de fichier.
UrmHookEx Texte Application Control (Contrôle des applications) utilise un hook Windows dans le cadre de la fonction Gestion des privilèges utilisateur (UPM). Dans de rares cas, les applications montrent un comportement inattendu avec un hook. Ce paramètre affiche la liste des applications où les fonctions propres à Gestion des privilèges utilisateur (UPM) n'ont pas de hook.

Si une application apparaît à la fois dans AppHookEx et dans UrmHookEx, le fichier AmAppHook.dll n'est pas chargé. Les différentes entrées sont séparées par un point-virgule.

UrmPauseConsoleExit Texte Utilisé par la fonction User Privilege Management (Gestion des privilèges utilisateur). Si une application de console est élevée, une nouvelle application peut apparaître dans une nouvelle fenêtre de console. L'application s'exécute jusqu'à la fin, puis se ferme. Cela pose un problème si l'utilisateur veut connaître la sortie du programme. Ce paramètre maintient l'application à l'écran jusqu'à ce que l'utilisateur appuie sur une touche. Liste délimitée par des points-virgules, contenant des chemins complets ou des noms de fichier.
UrmSecPolicy Numérique Par défaut, la fonction Gestion des privilèges utilisateur ignore le plus souvent la stratégie de sécurité. Les règles Gestion des privilèges utilisateur (UPM) sont appliquées dans tous les cas, sauf si le mode Audit uniquement est activé. Ce paramètre personnalisé permet à l'administrateur de forcer Gestion des privilèges utilisateur à respecter la stratégie de sécurité configurée. Pour les niveaux de sécurité Non restreint et Auto-autorisation, les règles Gestion des privilèges utilisateur (UPM) ne sont pas appliquées. Pour le niveau Restreint, les règles Gestion des privilèges utilisateur s'appliquent.

Définissez la valeur sur 1 pour activer ce paramètre.

Clé d'ingénierie supplémentaire - GroupSidRefresh

Application Control (Contrôle des applications) a besoin que le SID (Security Identifier, ID de sécurité) de toutes les règles de groupe soit correctement mis en correspondance avec une règle. Si cette clé d'ingénierie est définie, l'agent résout le SID de la règle de groupe lors de l'exécution pendant que le poste client est en ligne, et l'écrit de nouveau dans la configuration (fichier AAMP). Cela s'avère utile si le poste client est ultérieurement utilisé hors ligne, car le SID stocké dans la configuration est utilisé.

La console Application Control (Contrôle des applications) résout le SID, si possible, lors de l'enregistrement de la configuration. Ce paramètre est nécessaire uniquement si la console ne peut pas effectuer la recherche de SID de groupe.

Paramètres

HKLM\Software\Ivanti Technologies\Application Control (Contrôle des applications)\Engineering

Nom

GroupSidRefresh

Type

String (REG_SZ)

Paramètres

0 - Off

1 - Résoudre uniquement les groupes qui n'ont aucune valeur de SID

2 - Résoudre tous les SID de groupe. Utile si le domaine est spécifié à l'aide d'une variable d'environnement et, donc, susceptible d'être modifié.

Associations de fichiers pour l'auto-élévation

Pour en savoir plus, reportez-vous à « Associations de fichiers pour l'auto-élévation ».

Rubriques connexes

Configuration

Hachage de signature

Auto-élévation