应用程序控件

主页

浏览器控件

在此部分:

关于浏览器控制

在浏览器控制节点中,您可以:

  • 配置 URL 重定向
  • 添加 Web 安装
  • 导入代码段
  • 添加提升的网站

将包含 URL 重定向等浏览器控制项目的新配置部署到端点时,用户需要关闭并重新打开浏览器才能使配置生效。关闭并重新打开浏览器会启用浏览器扩展。如果用更多浏览器控制项目更新具有浏览器控制的现有配置,则更新的配置会在部署时生效。浏览器扩展已启用,因此无需关闭并重新打开浏览器。

应用程序控制使用 Internet Explorer 的浏览器帮助程序对象 (BHO) 和 Chrome 扩展来实施浏览器控制功能,浏览器启动时会加载这些功能。

URL 重定向

使用此功能在用户尝试访问指定的 URL 时自动重定向用户。通过定义禁止的 URL 列表,您可将任何尝试访问列出的 URL 的用户重定向至默认警告页面或自定义网页。您还可以选择允许某些 URL,与重定向结合使用时给您更多灵活性和控制,并让您能够创建网站白名单。

在从“浏览器控制”功能区访问的“将 URL 添加至重定向”对话框中配置 URL 重定向,在可通过“管理”功能区访问的“高级设置”中为应用程序启用或禁用 URL 重定向功能。

为 Internet Explorer 配置此功能之前,您必须使用 Internet 选项为每个端点启用第三方浏览器扩展。或者,可以通过组策略来应用此功能。

URL 重定向与 Internet Explorer 8、9、10 和 11 兼容。使用 Chrome,所有托管端点必须为域的一部分。

应用程序控件 10.0 之前的版本中,URL 重定向是通过“管理”功能区访问的全局设置。在产品的 8.8 和 8.9 版本中创建的包含 URL 重定向的配置可在控制台中打开,并可在 10.0 版本中自动升级。URL 重定向转换为包含以下内容的自定义规则:

  • 连接类型的匹配条件、IP 地址和端口号。
  • 敏感 URL 的浏览器控制项目(在“URL 重定向”选项卡上列出)。

如果您不升级配置,10.0 版本代理仍会读取配置,但会忽略 URL 重定向和自定义规则。其余配置仍然适用。

将 URL 重定向添加至规则

  1. 应用程序控件 导航窗格中,为要添加 URL 重定向的规则选择浏览器控制节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 URL

    将显示“将 URL 添加至重定向”对话框。

  3. 输入 URL - 您可以使用 IP 地址和文本 URL。

    提示:如果您使用文本 URL 并且服务器也对 IP 地址起作用,则为该服务器同时添加文本 URL 和 IP 地址。

  4. 为 URL 选择操作 - 重定向允许
  5. 如果已选择重定向,请选择当用户尝试访问禁止的 URL 时所需的响应:
    • 重定向 URL 时显示默认警告页面 - 用户被定向至默认的“访问被拒绝”页面。
    • 重定向 URL 时显示自定义页面 - 指定替代位置,而不显示默认警告页面。例如,这可以是您的组织网络中的位置、磁盘上的文件、您的内联网或其他网站。
  6. 输入可选的说明以供将来引用。
  7. 单击添加

重定向被添加至浏览器控制工作区的“URL 重定向”选项卡。部署配置后,当用户尝试访问指定网页时,重定向的页面会显示在同一浏览器实例中。如果配置了 URL 允许,则网站会按预期打开。

控制域中的 URL 访问

URL 重定向也可用于控制单个域中的访问 - 可在禁止访问域的同时允许访问其某些子域。例如,您可以拒绝访问 www.company.com,同时允许访问 www.company.com/resources。

观看相关视频

通过 URL 重定向来配置白名单

您可以使用 URL 重定向为您的组织配置控制 Internet 访问的白名单方法。通过创建禁止访问所有 Internet 站点的重定向,可以添加项目,以允许访问要为员工提供的网站。

观看相关视频

  1. http** 创建 URL 重定向项目。这样可防止用户访问 Internet 上的一切内容。

  2. 创建重定向以允许访问所需的 URL。

将配置部署到用户时,除了 URL 重定向项目中通过允许操作配置的网站,他们将无法访问任何其他网站。

白名单和嵌入式框架

如果您使用白名单方法并且允许访问使用嵌入式框架 (iFrame) 的站点,则您必须设置 URL 重定向以允许每个嵌入式框架的 URL。如果重定向嵌入式框架的 URL,则即使将主网站 URL 配置为允许,也会将其重定向。

例如,您已重定向所有使用 http* 的网站,并且已创建 URL 允许,以便用户能够访问 http://www.website.com。该网站使用嵌入式框架来显示未被允许的 http://www.frame.com。用户将无法打开 http://www.website.com,因为对 http://www.frame.com 的访问因 http* 重定向而被拒绝。

通过规则分析器找到嵌入式框架 URL

您可以使用应用程序控制规则分析器来找到嵌入式框架的 URL。然后可在 URL 重定向中允许这些 URL,以便父网站可供用户访问。

您必须使用允许对要为使用规则分析器生成日志的任何托管端点的注册表进行读写访问的帐户进行登录,且具有对控制台所在计算机的本地注册表的读写访问权限。

  1. 在“应用程序控制”控制台中,创建具有 URL 重定向的配置:
    • 将所有 URL 重定向至您要为其找到嵌入式框架的网站

    • 允许访问该网站

  2. 将配置部署到您要在其上创建配置的端点。
  3. 选择规则分析器导航按钮。
  4. 单击添加端点并选择浏览部署组浏览域/工作组
  5. 选择您要用于发现嵌入式框架 URL 的端点。

  6. 单击开始记录

  7. 访问您要为其找到嵌入式框架的网站。

    允许访问该站点,但嵌入式框架的 URL 被禁止,因此浏览器会卡在循环中,重定向至其本身。在此过程期间,规则分析器会记录任何重定向的嵌入式框架的详细信息。

  8. 关闭浏览器并返回至规则分析器。

  9. 单击停止记录并输入报告名称。

    将显示分析的结果。

  10. 单机“浏览器控制”列中的链接以显示记录的 URL 请求。

  11. 选择 URL 以显示更多详细信息。从详细信息中,您可以确认重定向发生自您允许的站点。

  12. 复制域并用其创建新的 URL 重定向允许。

部署配置后,由于允许嵌入式框架,用户可以访问该站点。

添加 Web 安装

许多 Web 安装需要最终用户具有管理员权限。例如,Adobe Flash Player 等 ActiveX 控件或 Microsoft Silverlight 等 Web 下载。

浏览器控制的 Web 安装功能允许为来自特定域的 ActiveX 安装程序提升至管理员权限。您可以创建基本配置,通过它仅输入域的名称,或者您可以创建高级配置并指定项目的 CAB 文件、其类 ID 以及最高和最低版本。您还可以指定仅可安装来自该域的签名控件。

  1. 导航到所选规则下的浏览器控制节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 Web 安装

    将显示“添加新 Web 安装”对话框。

  3. 输入 Web 安装的描述性名称。
  4. 要确保用户仅连接合法的 Web 安装,请选择仅允许签名控件
  5. 输入安装的网站 URL。例如,输入 adobe.com 以允许来自 adobe.com 整个网站的安装。
  6. 单击添加

“浏览器控制”工作区中的“网站”选项卡显示新 Web 安装的名称。

添加 Web 安装(高级设置)

  1. 导航到所选规则下的浏览器控制节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 Web 安装

    将显示“添加新 Web 安装”对话框。

  3. 输入 Web 安装的描述性名称。
  4. 如果要仅允许签名控件,请选择相关的复选框。

  5. 选择使用高级设置

    “高级设置”部分将激活。

  6. 输入安装程序 URL,例如 http://www.example.com/control.cab
  7. 根据需要添加额外验证:类 ID、最低版本和最高版本。
  8. 单击添加

“浏览器控制”工作区中的“网站”选项卡显示新 Web 安装的名称。

已关闭示例:创建允许安装 Adobe Flash Player 的配置

常见的场景是标准用户尝试下载并安装 Adobe Flash Player。这需要管理员权限。进行尝试时,将显示用户帐户控制 (UAC) 对话框,要求用户输入管理员密码。许多组织不想为用户提供管理员权限。

  1. 选择所需规则的浏览器控制节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 Web 安装

    将显示“添加新 Web 安装”对话框。

  3. 在“名称”字段中输入 Web 安装的名称,例如 Adobe Flash
  4. 在“网站 URL”字段中输入 URL。例如 adobe.com,以允许来自 adobe.com 整个网站的安装。
  5. 确保选择仅允许已签名控件选项。

  6. 单击添加

    “浏览器控制”工作区中的“网站”选项卡显示新 Web 安装的名称。

  7. 确保在“网站”选项卡的“策略”列中选择默认的内建提升策略。
  8. 保存配置。允许所有已签名并且来自指定网站的下载。

除了以上程序,还需要考虑其他可配置项目。例如,对于 ActiveX 安装,您需要允许 ActiveX 文件运行,并且需要允许该控件调用的任何可执行文件。您需要考虑“进程”规则、可信供应商、任何数字证书、允许的项目、提升的项目等等。

代码段

代码段让 应用程序控件 能够导入部分配置并将其合并到控制台中当前打开的配置中。

这对 Web 安装特别有用,因为除了创建配置的 Web 安装部分,还需要考虑许多其他可配置项目。这些项目包括进程规则、允许的项目、可信供应商、任何数字证书、提升的项目等。

从 Ivanti 社区下载最近的代码段

  1. 选择规则。

  2. 在“浏览器控制”功能区中,选择导入代码段

    将显示“导入代码段”对话框。

  3. 单击对话框中的 Ivanti 社区链接。

    显示最近代码段。

  4. 选择代码段并将其保存至 C:\Program Files\AppSense\Application Manager\Console\Snippets。此位置为默认位置。

    现在可在“导入代码段”对话框中选择代码段。

  5. 选择代码段并单击添加

  6. 要查看代码段中包含的内容,请单击查看将添加到配置的项目链接。

    将显示配置报告。

  7. 单击继续

代码段被导入,您可以在控制台的各种节点中查看项目。

提升的网站

仅 32 位版本的 Internet Explorer(8、9、10 和 11)和 Chrome 支持此功能。

“提升的网站”功能让您能够定义在单独安全的但提升的 Internet Explorer 实例中打开的特定 URL。提升后,用户将被授予管理员权限,使其能够安装并执行特定于站点的其他软件或 ActiveX 控件等组件。

配置此功能之前,您必须使用 Internet 选项为您的每个端点启用第三方浏览器扩展,或者可通过组策略来应用此功能。

建议仅将此功能用于需要提升来运行诊断工具等内容的内部网站,或者用于包含管理员批准的软件的受限制门户。

您不应提升可能允许用户获得可能对您的网络造成安全风险的软件的网站;例如弹出窗口、搜索栏或外部链接。

  1. 在选定的组下选择浏览器控制
  2. 选择“浏览器控制”功能区。

  3. 单击添加项目并选择添加提升的网站

    将显示“添加新的提升的网站”对话框。

  4. 输入有意义的说明以供引用。

  5. 在“网站 URL”字段中输入 Web 地址。

    您可以使用正则表达式来定义网站。要使用此功能,请选择使用正则表达式并输入网站 URL 条件。例如,https://.+\.com$ 会提升并重定向具有 .com 扩展名的任何安全网站 - 例如 https://www.cisco.com,但不会提升和重定向 http://www.cisco.com

    有关详细信息,请参阅通配符和正则表达式

  6. 单击添加
  7. 保存 AAMP 文件。

相关主题

规则类型

规则项目

允许的项目

拒绝的项目

可信供应商

用户权限规则

高级设置

这篇文章有用吗?   

主题:

不准确

不完整

不是所需内容

其他

版权所有 © 2019Ivanti。保留所有权利。

隐私和法律