应用程序控件

主页

高级设置

可从“管理”功能区访问高级设置,并使您能够将全局设置分配给 应用程序控件 配置文件。使用“策略设置和自定义设置”选项卡指定所需的全局组件。

在此部分:

策略设置

应用程序控件 策略设置在“高级设置”对话框中可用,并提供适用于所有应用程序和进程执行请求的常规 应用程序控件 设置。

一般功能

选项 说明
默认允许本地驱动器 本地驱动器的默认配置是一个黑名单,即允许本地驱动器上的所有内容,除非相关内容未通过受信任的所有权检查或列于拒绝的项目列表中。取消选择此选项可将配置制成白名单,即阻止本地驱动器上的所有内容,除非相关内容列于允许的项目列表中。
允许 cmd.exe 用于批处理文件 预计管理员会明确禁止其应用程序管理器配置中的 cmd.exe。当拒绝 cmd.exe 和启用“允许 cmd.exe 用于批处理文件”时,如果批处理文件不符合应用程序管理器策略,则将对其进行评估并阻止。如果未选中该选项且显式拒绝 cmd.exe,所有批处理文件被阻止,它们甚至不会被评估。如果选择了此选项且 cmd 被显式地拒绝,则 cmd.exe 仍然无法单独运行,但批处理文件是根据 应用程序控件 规则评估的。如果 cmd.exe 未被显式地拒绝,则无论此选项是否被选中,所有批处理文件都将运行。
在登录期间忽略限制条件 在登录期间,计算机可能会执行大量基本应用程序。阻止这些可能导致计算机无法正常工作,或者完全不能工作。因此,默认选中此项。
解压自解压 ZIP 文件 自解压文件是可执行文件,其中包含一个 ZIP 文件和一个用于解压它的小程序。这些文件有时作为替代方法,以通过 MSI 文件安装应用程序。许多管理员希望仅使用 MSI 文件安装应用程序。

仅支持使用 ZIP 规范格式化的自解压 EXE。有关其他信息,请参阅 ZIP 规范

解压自解压 ZIP 文件选项允许被拒绝的可执行文件(即自解压 ZIP 文件)由 ZIP 解压器进行解压。如果取消选择此选项(默认设置),则该文件将和可执行文件一样受一般规则处理的约束。当将内容解压出来后,其所包含的任何可执行内容仍然要受常规受信任的所有权检查的约束,并且当用户为非可信所有者时无法执行。当自解压 ZIP 文件可能包含不可执行文件(比如用户需要的文档)时,这非常有用。默认情况下,将取消选择此选项,自解压 ZIP 文件将被视为标准可执行文件,并将基于一般规则处理情况阻止其执行(因此解压其内容)。
在智能安装期间忽略限制条件 默认情况下,在智能安装期间运行的所有应用程序都受 应用程序控件 规则的约束。选择此选项可使这些应用程序在智能安装期间无需接受规则检查。
拒绝可移除介质上的文件 取消选择此选项可移除对可移动介质的限制。可移动介质是什么,完全由对 GetDriveType 的调用决定。由于可移动介质的性质,驱动器号可能会根据端点的设置方式而改变。例如:在一台计算机上,可移动介质驱动器可能被识别为 E 盘,而在另一台计算机上,则可能被识别为 F 盘:

拒绝网络共享中的文件

网络共享的默认配置是一个白名单,即拒绝网络共享中的所有内容,除非相关内容列于允许的项目列表中。取消选择此选项可将配置制成黑名单,即允许网络共享中的所有内容,除非相关内容列于拒绝的项目列表中。

验证

选项 说明
验证系统进程 选择此选项可验证系统用户执行的任何文件。请注意,不建议选择此选项,因为它会增加端点计算机上发生的验证量,并阻止关键应用程序运行。选择此选项意味着系统启动的所有可执行文件都受规则验证的约束。
验证 WSH(Windows 脚本宿主)脚本 选择此选项将指定:使用 wscript 或 cscript 运行的脚本的命令行内容受规则验证的约束。

脚本可以引入病毒和恶意代码。建议验证 WSH 脚本。
验证 MSI(Windows 安装程序)包 MSI 文件是安装 Windows 应用程序的标准方法。建议用户不要随意安装 MSI 应用程序。选择此选项意味着所有 MSI 均受规则验证的约束。取消选择此选项意味着只有 Windows 安装程序本身即 msiexec.exe 是通过 应用程序控件 规则处理验证的,而非它尝试运行的 MSI 文件。
验证注册表文件 选择此选项可启用 regedit.exe 和 regini.exe 的规则验证。取消选择此选项意味着 regedit.exe 和 regini.exe 不再被默认阻止。此外,.reg 脚本、regedit.exe 和 regini.exe 尝试运行时不再通过 应用程序控件 规则处理进行验证。

不建议允许用户访问注册表或注册表文件。
验证 PowerShell 脚本 当启用时,该设置将拒绝 powershell.exe 和 powershell_ise.exe。但是,如果在命令行中发现 PowerShell 脚本(PS1 文件),则需要对其进行全面的规则检查,以确定其是否针对提升、运行或拒绝进行配置。
验证 Java 归档 当启用时,该设置将拒绝 java.exe 和 javaw.exe。但是,如果在命令行中发现 Java 存档(JAR 文件),则需要对其进行全面的规则检查,以确定其被允许还是被拒绝。

功能

选项 说明
启用应用程序访问控制 选择此选项以启用应用程序访问控制。取消选择此选项则不验证或阻止可执行文件。
启用应用程序网络访问控制 选择此选项则启用应用程序访问控制功能。取消选择此选项则不验证或阻止出站网络连接。
启用用户权限管理 选择此选项则启用用户权限管理功能。取消选择此选项则不应用任何用户权限策略。禁用此选项可允许所有应用程序使用操作系统默认提供的权限运行。应用程序控件 忽略规则的用户权限部分中的任何内容,且不会更改或修改任何用户权限。
启用 URL 重定向 选择此选项以启用 URL 重定向功能。如果取消选择此选项,则会忽略已配置的重定向,并且用户不会在输入可疑或有害 URL 时被重定向。不会执行您配置的任何 URL。取消选择此选项的效果与浏览器控件策略集中没有项目并选择此功能相同。当禁用此功能时,Internet Explorer 和 Chrome 浏览器的浏览器扩展将被禁用。

签名

选项 说明
算法 选择算法类型。有三个可用的选项:
  • SHA1
  • SHA256
  • Adler32

有关详细信息,请参阅签名哈希

自定义设置

自定义设置允许您配置其他设置,这些设置将在部署 应用程序控件 配置时应用于托管端点。如果部署了包含新自定义设置的新配置,则将删除端点上已有的自定义设置。

管理自定义设置

  1. 应用程序控件 控制台中打开配置并导航到“管理”功能区。

  2. 单击高级设置并选择自定义设置选项卡。

    将显示“配置高级设置”对话框。

  3. 选择“自定义设置”选项卡并单击添加以显示高级设置列表。

  4. 选择要配置的设置并单击确定

  5. 选中的设置将添加至“配置高级设置”对话框。

    将在端点上配置添加的设置。但是,将使用端点上已经存在的任何设置。

  6. 根据需要设置值。
  7. 单击确定

当配置部署到托管端点时,将应用这些设置。

可用的自定义设置

已关闭应用程序控件 包含以下可配置的自定义设置。
设置 数据类型 说明
ADComputerGroupMembershipTimeoutSecs 数字 超时,以秒为单位,用于嵌套计算机组查找。默认设置为 120 秒,并且将此值设置为 0 会禁用超时。
ADQueriesEnabled 数字 此设置对用于确定系统可分辨名称和计算机组成员资格的 AD 查询类型进行控制。

当值为 0 时,将禁用对 AD 的查询以及配置中对计算机组和 OU 的使用。

默认值 1 导致代理同时执行可分辨名称和直接(非嵌套)计算机组 AD 查询。配置中的嵌套计算机组会被忽略。

默认值 2 导致代理执行可分辨名称、直接和嵌套计算机组 AD 查询。由于 CPU 使用率较高,此设置会导致有关 DC 的性能问题。
AlternateTOCheck 数字 当系统中安装了第三方筛选器驱动程序时,受信任的所有权检查偶尔会导致系统进程中产生过高的 CPU 使用率。使用值 1 启用此设置可导致 应用程序控件 使用替换方法来查找受信任的所有权,在某些情况下这可消除此问题。
AMFileSystemFilterFailSafe 数字 此设置配置文件系统筛选器驱动程序是否在故障安全或故障保险模式下运行。如果代理存在问题并且停止响应,则驱动程序在故障保险模式下会断开,并且不再拦截任意请求。值 1 表示故障安全,0 表示故障保险。默认为故障安全。更改此设置需要重新启动“代理”才能生效。
AppHookDelayLoad 文本 此设置导致 AmAppHook Dll 在延迟可配置的毫秒 (ms) 数后加载。此设置基于每文件名称进行配置。格式为 <filename+extension>,<delay>。文件名和扩展名可以包含通配符。每个对用分号分隔。例如 'calc.exe,2000;note*.exe,6000’
AppHookEx 文本 应用程序控件 利用 Windows 挂钩作为应用程序网络访问控制 (ANAC) 功能的一部分。在极少数情况下,应用程序在挂接时会显示意外行为。此设置为未在其中挂接 ANAC 特定功能的应用程序的列表,因此不受 ANAC 规则的约束。

如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载。多个条目以分号 (;) 分隔。
AppInitDllPosition 数字 用于指定 AsModLdr 驱动程序或 Appinit 注册表项是否应该用于注入 应用程序控件 挂钩。此设置还用于确定 AMLdrAppinit.dll 在 AppInit_DLL 注册表值中的位置。

设置以下值之一:

  • 0 - 将 AMLdrAppInit.dll 定位于 AppInit_DLL 列表的起始位置。
  • 1 - 将 AMLdrAppInit.dll 定位于 AppInit_DLL 列表的末尾位置。
  • -1 - 将 AMLdrAppInit.dll 从 AppInit_DLL 和 ASModLdr 列表中排除。当 AMLdrAppInit.dll 被排除在两个列表之外,不会发生自动插入。

  • 2 - 将 AMLdrAppInit.dll 添加至 dll 的 ASModLdr 列表以将其插入。此为默认设置。

此设置仅应该在 Ivanti 技术支持团队的指导下使用。
baseconfigmergebehavior 文本 用于控制新的 configuration.aamp 是否替换或重新合并现有的 merged_configuration.aamp。此设置接受的值是 replaceremerge

当使用 GPO 合并时,将忽略 Replace 值并自动默认为 Remerge
BrowserAppStorePort 数字 输入用于允许安装 Chrome 浏览器扩展的端口。
BrowserCommsPort 数字 输入用于自浏览器扩展至代理进行通信的端口。
BrowserExtensionInstallHive 数字 此工程设置允许管理员选择安装 应用程序控件 Chrome 浏览器扩展的注册表配置单元。选项如下:
  • 0 - 不安装扩展
  • 1 - 安装到 HKLM 中
  • 2 - 安装到 HKCU 中。

0 为管理员必须手动配置自己的企业应用程序存储以部署 应用程序控件 Chrome 浏览器扩展的位置。默认操作为 2 - 适用于安装于 HKCU 中的 chrome 扩展。
BrowserHookEx 文本 该值可以设置为 'Chrome.exe’,以阻止应用程序控制浏览器挂钩 (BrowserHook.dll) 注入到其中。浏览器挂钩会阻止所有网络通信,直至 Chrome 扩展已建立与应用程序控制代理之间的连接。

此自定义设置不影响核心功能。
BrowserNavigateEx 文本 将忽略导航事件处理的导航 URL 的竖线 (|) 分隔列表。此列表中的 URL 不受 URL 重定向的约束。
ComputerOUThrottle 数字 此设置用于检查组织单位成员资格时,通过限制并发查找数目限制每个连接客户端的 Active Directory 查找操作。这种调节有助于处理大量连接客户端时,减少域中的查询流量。将此值设置为 0 到 65535 之间。
ConfigFileProtection 数字 锁定配置 AAMP 文件和合并后的配置文件夹,以防止未经授权的用户更新配置。此功能默认情况下被禁用,可通过将值设置为 1 启用。

在测试环境中应用此设置时要小心,因为无法更新配置可能导致您无法关闭它。如果发生这种情况,请联系 Ivanti 支持。
DFSLinkMatching 数字 可将 DFS 链接路径添加至规则中。DFS 链接和 DFS 目标被视为待匹配的独立项目。应用规则前不存在从链接到目标的转换。将此值设置为 1 可启用 DFS 链接匹配。
DirectHookNames 文本 应用程序控件 的 Windows hook 被加载到所有进程,这些进程默认加载 user32.dll。不加载此 DLL 的应用程序未被挂接。不加载 user32.dll 的任意应用程序应该包含在此设置中,作为以分号分隔的完整路径或文件名列表的一部分。
DisableAppV5AppCheck 数字 默认情况下,使用 AppV5 启动的任意应用程序无需进行受信任的所有权检查。使用此设置并通过值 1 可禁用此操作。
DisableCustomRulesPreCheck 数字 此设置仅在处理在每个自定义规则集合的策略范围内配置的项目时才可改善自定义规则检查的性能。默认情况下,此设置关闭并且设置为 '0’。将值设置为 '1' 可允许所有潜在请求通过自定义规则。
DisableDNSLookup 数字 应用程序网络访问控制 (ANAC) 组件与所有形式的代理 DNS 服务器均不兼容。如果设置为 1,应用程序控件 将不执行 DNS 查找,可减少用代理 DNS 服务器的情况下所出现的意外停机和错误。
DisableSESecondDesktop 数字 默认情况下,自行提升的审计对话框显示于备用桌面上。设置为 1 可将该对话框显示于主桌面上。
DoNotWalkTree 数字 默认情况下,进程规则会检查整个父项是否匹配。此设置指示进程规则仅查看进程的直接父项,而不检查整个树。值 1 可启用此设置。
DriverHookEx 文本 不注入 应用程序控件 挂钩 (AMAppHook.Dll) 的应用程序的分号分隔列表。应用程序控件 要求加载挂钩才能使某些功能起作用。此自定义设置仅应该在 Ivanti 技术支持团队的指导下使用。
EnableCustomRulesDllChecking 数字 默认情况下,如果此设置为关闭(设置为 0),则意味仅处理可执行文件和 URL。此设置通过控制是否通过规则集合允许 DLL 来改善自定义规则检查的性能。除默认值外,将值设置为 1 可允许处理所有 DLL。
EnableScriptPreCheck 数字 当脚本规则中的脚本正在处理时,它们会被视为返回了一个假值。脚本所用的时间因其内容而异。此设置在计算机启动和用户登录期间可提供最佳性能,因为取决于脚本结果的任意进程均不会延迟。将值设置为 1 可使进程在相关脚本完成之前等待。这将极大降低计算机启动和用户登录的速度。

应用程序控件 不会无限期等待脚本结果,将应用 30 秒超时。
EnableSignatureOptimization 数字 使用签名时,此设置可改善规则检查的性能。与完整路径不匹配的文件不会进行哈希处理,因为我们假定它们不是相同的文件。设置为 1 可启用。

启用此设置和 ExtendedAuditInfo 将不在审计元数据中显示经过哈希处理的任何文件名称。
ExplicitShellProgram 文本 此设置由应用程序访问控制 (AAC) 使用。应用程序控件 将 Shell 程序的启动(默认情况下为 explorer.exe)视为要登录的会话的触发器。不同的环境和技术能够改变 Shell 应用程序,并且代理有时无法检测出什么是 Shell 程序。应用程序控件 使用这个列表中的应用程序(除了默认的 Shell 应用程序之外)来确定何时认为会话已登录。这是一个以分号分隔的完整路径或文件名列表。
ExProcessNames 文本 应该从筛选器驱动程序排除的空格分隔文件名称的列表。

更改此设置需要重新启动“代理”才能生效。
ExtendedAuditInfo 数字 此设置扩展了审计事件的文件信息。它在每个文件的审计事件中为其报告安全哈希算法 1 (SHA-1) 哈希、文件大小、文件和产品版本、文件说明、供应商、公司名称和产品名称。该信息将立即添加在事件日志中的文件名称后面。此设置默认情况下已开启。如需关闭,请输入值 0。

启用 EnableSignatureOptimization 设置将禁用哈希或校验和的生成。
ForestRootDNQuery 数字 将值设置为 1 可使应用程序控制代理能够执行森林根查询。针对设备规则中的 OU 和计算机组成员资格,查询包括追踪引荐以确定连接设备的可分辨名称。
ImageHijackDetectionInclude 文本 确认所有子进程所依据的进程名称的列表,旨在确保子映像在不中断或修改的情况下运行并且匹配初始请求的映像。如果子进程未得到确认,则它会终止。这是一个以分号分隔的完整路径或文件名列表。
MultipleHostsSameIP 数字 允许应用程序网络访问控制 (ANAC) 使用相同的 IP 地址处理多个主机。它将 IP 地址的域名缓存取出,并且当从相同服务器运行时,允许不同的域均能够正常工作。设置为值 1 可启用。
NetEnableRevDNS 数字 此设置由应用程序网络访问控制 (ANAC) 使用,每次请求时全局启用反向 DNS 查找检查以访问网络资源。启用此设置会覆盖 NetEnabledRevDNSList 和 RevDNSList 设置。设置为值 1 可启用。

此功能要求管理员在公司的 DNS 服务器上启用和配置“反向查找区域”。
NetEnableRevDNSList 数字 此设置由应用程序网络访问控制 (ANAC) 使用,每次请求时仅对 RevDNSList 中列出的 IP 地址启用反向 DNS 查找检查。此设置必须与 RevDNSList 设置一起使用,设置为值 1 可启用。

此功能要求管理员在公司的 DNS 服务器上启用和配置“反向查找区域”。
OwnershipChange 数字 应用程序控件 检测受信任文件是否被不可信所有者更改。在这种情况出现时,文件所有者会被更改为不可信用户,并且任意执行请求将被阻止。一些应用程序会覆盖这些文件,使 应用程序控件 默认不检测它,因此文件所有者将不会被更改。当启用时,应用程序控件 将执行额外的检查以捕获所有符合捕捉条件的文件更改和覆盖。设置为值 1 可启用。
PCRRetainOnNewConfig 数字

控制在发布新配置时如何处理策略更改请求 (PCR)。此功能默认情况下被禁用,也即在接收到新配置时会删除获得授权的 PCR。

将值设置为 1 可在发布新配置时保留获得授权的策略更改请求。
RdmHookEx 文本 一个应用程序列表,在权限发现模式下 (PDM) 使用,其中 PDM 特定功能未由 应用程序控件 的 Windows 挂钩挂接。该值应该为由分号分隔的文件名称列表。
RemoveDFSCheckOne 数字 当文件存储于 DFS 驱动器上时,应用程序控件 将使用一系列策略来评估正确的 UNC 路径。如果大量脚本和可执行文件存储于 Active Directory 中并且由其进行复制,则这些策略之一可能会导致登录期间出现延迟。设置为值 1 可启用,导致 应用程序控件 忽略此策略并在这种情况下提高性能。
RevDNSList 变化 此设置仅当由应用程序网络访问控制 (ANAC) 使用并且与 NetEnableRevDNSList 一起使用时才适用。它包含将进行反向 DNS 查找检查的 IP 地址。IP 地址应采用 IPv4 点分十进制格式 (n.n.n.n) 以及由分号分隔的列表。

此设置要求管理员在公司的 DNS 服务器上启用和配置“反向查找区域”。
SECancelButtonText 文本 点击“自行提升”对话框中的取消按钮显示的文本。
SelfElevatePropertiesEnabled 数字 将此值设置为 '1’ 可启用属性自行提升。默认情况下禁用此功能。
SelfElevatePropertiesMenuText 文本 用于属性自行提升的“上下文菜单”选项中的文本。
SEOkButtonText 文本 点击“自行提升”对话框中的“确定”按钮显示的文本。
TVChecking 数字 启用此设置会导致 应用程序控件 对所有文件忽略可信供应商检查,即使配置包含可信供应商的条目时也是如此。设置为值 0 可启用此设置。

此设置专用于对问题进行故障排除。
UrlRedirectionSecPolicy 数字 默认情况下,URL 重定向功能会忽略安全策略。此工程设置允许管理员强制 URL 重定向,以遵守配置的安全策略。设置为值 1 可启用。

不支持自授权。
UrmForceMediumIntegrityLevel 文本 权限管理 (UPM) 自定义设置,用于在用户权限是提升的应用程序时覆盖完整性级别,默认情况下完整性级别设置为高。使用此设置时,级别会降低至中。此值应该为由分号分隔的文件名称列表。
UrmHookEx 文本 应用程序控件 利用 Windows 挂钩作为用户权限管理功能的一部分。在极少数情况下,应用程序在挂接时会显示意外行为。此设置列出了用户权限管理特定功能未挂接的应用程序。

如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载,多个条目以分号 (;) 分隔。
UrmPauseConsoleExit 文本 由用户权限管理功能使用。当提升控制台应用程序时,新应用程序会出现在新控制台窗口中。应用程序运行至完成,然后关闭。如果用户要查看程序的输出,这将成为一个问题。此设置可使应用程序保留,直至按下按键。这是一个以分号分隔的完整路径或文件名列表。
UrmSecPolicy 数字 默认情况下,用户权限管理功能通常会忽略安全策略。用户权限管理规则适用于所有情况(选择仅审计模式除外)。此自定义设置允许管理员强制用户权限管理,以遵守配置的安全策略。对于未受限的和自授权的安全级别,不应用用户权限管理规则。对于限制级别,应用用户权限管理规则。

设置为值 1 可启用此设置。

附加工程密钥 - GroupSidRefresh

应用程序控件 需要所有组规则的安全标识符 (SID) 方可成功执行规则匹配。借助这个工程密钥集,代理将在运行时解析组规则的 SID,同时端点在线并将其重新写入配置(AAMP 文件)。当端点随后离线使用,这将非常有用,因为将使用存储在配置中的 SID。

如果可能,应用程序控件 控制台将在保存配置时解析 SID。仅在控制台无法执行组 SID 查找时才需要此设置。

设置

HKLM\Software\Ivanti Technologies\应用程序控件\Engineering

名称

GroupSidRefresh

类型

String (REG_SZ)

参数

0 - Off

1 - 仅解析当前不具备 SID 值的组

2 - 解析所有组 SID,当域由环境变量指定且可能发生更改时非常有用。

自行提升文件协会

有关详细信息,请参阅自行提升文件协会

相关主题

配置

签名哈希

自行提升

这篇文章有用吗?   

主题:

不准确

不完整

不是所需内容

其他

版权所有 © 2019Ivanti。保留所有权利。

隐私和法律