应用程序控件 新增内容

静默阻止可执行文件

创建规则时的新选项拒绝后不显示拒绝访问消息。这可以让管理员有意阻止某些可执行文件并执行“静默拒绝”，以便让最终用户不会收到拒绝访问消息。

有关详细信息，请参阅拒绝的项目。

禁用组中的规则项目

可右键单击使用的新选项，用于禁用规则和对问题进行故障排除，还可以避免管理员不得不删除规则的情况。该选项可在“禁用”和“启用”之间切换，所以可以轻松地重新启用规则。

有关详细信息，请参阅允许的项目拒绝的项目和规则项目

自授权项目的可信 DLL

当您自行授权某应用程序 exe 时，所有后续子 DLL 都会被自动授权。在 应用程序控件 的先前版本中，每个子 DLL 都需要进行自授权，这经常会导致应用程序崩溃，现在只需单击即可完成自授权。

有关详细信息，请参阅规则

消息框网络端口变量

网络端口号现已显示在“禁用端口”的消息框中（如果适用）。这将有助于对问题进行故障排除。

有关详细信息，请参阅消息设置

忽略每个规则项目的事件筛选

新选项已添加到忽略事件筛选。当在特定的规则中选择此选项后，这表示如果在“审核”对话框中选择了事件 ID，则无论事件筛选如何设置，都将为该规则引发此事件。因此，即使未选择任何文件类型，仍然会为此规则引发事件。

有关详细信息，请参阅允许的项目和拒绝的项目

BitLocker 组件支持暂停/恢复

用户权限 > 组件中添加了一个新选项，能让您“禁用”或“暂停”BitLocker，还在“启用”选项中添加了“恢复”选项。这样可以更精细地控制 BitLocker 组件。

有关详细信息，请参阅用户权限受控组件

URL 重定向白名单

URL 重定向功能用于在用户尝试访问指定的 URL 时自动重定向用户。通过定义禁止的 URL 列表，您可将任何尝试访问列表中 URL 的用户重定向至默认警告页面或自定义网页。

此功能在 10.1 FR3 中得到了增强，可以将特定的 URL 列入白名单中，解决以下用例中的问题：

• 控制单个域中的访问 - 可在禁止访问域的同时允许访问其某些子域。例如，您可以拒绝访问 www.company.com，同时允许访问 www.company.com/resources。
  

URL 允许视频

• 实施白名单方法来控制组织对 Internet 的访问。通过创建禁止访问所有 Internet 站点的重定向，可以添加项目，以允许访问要为员工提供的网站。

URL 白名单视频

有关此功能的详细信息，请参阅 URL 重定向。

255 个字符的消息限制已删除

已将显示给最终用户的 255 个字符的消息限制删除。

在“应用程序控制”控制台中的“消息设置和应用程序终止”对话框中，管理员可以配置向最终用户显示的不同消息类型的文本。对于 10.1 FR2 及更早版本，该文本限制为 255 个字符。对于此版本，由于已删除限制，因此可以包含更多信息。

有关详细信息，请参阅消息设置。

在“禁用的应用程序”消息框中支持其他环境变量

在“禁用的应用程序”消息框中可显示其他环境变量。从 10.1 FR3 开始，可以使用“禁用的应用程序”日志中包含的所有信息。

有关详细信息，请参阅拒绝访问。

“自定义条件”中的 PowerShell 脚本

除了 VBScript 和 JScript 之外，也可以在“自定义条件”中创建和使用 PowerShell 脚本。

有关详细信息，请参阅脚本化条件。

审核“用户权限管理”中提升的子进程

审核日志现在能捕获提升的子进程的详细信息。如果在配置中选择了应用于子进程选项，则提升主进程后，此提升也适用于其他子进程。但是在 10.1 FR2 及其早期版本中，没有对这些子进程进行审核，因此缺乏对相关活动的可见性。10.1 FR3 审核日志现在能捕获主进程及其他子进程的详细信息，提供更高的审核可见性。

有关应用到子进程选项使用位置的详细信息，请参阅规则项目和自行提升。

此版本中没有新功能。

控制台更换品牌名和重命名

“应用程序管理器控制台”已更新，以反映新公司名称 Ivanti - 有关详细信息，请参阅此处。除了从 AppSense 到 Ivanti 的品牌更改之外，“应用程序管理器”现在在此版本中也称为“应用程序控制”。

“应用程序控制”控制台和端点上的组件均已更新以反映这些更改。

您可能仍会看到某些区域中在引用“AppSense 应用程序管理器”这个名称，例如注册表或服务。这是为了尽可能减少以往用户向“应用程序控制”过渡的不适应情况。

图标刷新

在对版本 10 中 User Workspace Manager 控制台的设计进行了重大更改后，我们听取了反馈，更新了“应用程序控制”控制台中使用的一些图标，将更多颜色重新添加至控制台。

扩展审核日志

应用程序控件 事件日志已扩展为包括以下内容：

• 用户停止和启动的服务的新事件
• 父进程名称现已包含在 9000 个事件中
• 文件所有者现已包含在 9000 个事件中
• 判定规则现已包含在事件中

有关 应用程序控件 审核的详细信息，请参阅审核。

Windows 操作系统条件

Microsoft 更新模型现在使用内部版本号来标识功能版本和 Service Pack。在创建计算机操作系统规则时，可以指定和配置目标内部版本号用以匹配输入的特定内部版本号，或将其用作最大或最小的内部版本。

有关详细信息，请参阅计算机条件。

通过数字证书检查扩展元数据功能

使用元数据验证文件时，管理员可以比较整个证书，以确定文件的真实性和元数据是否可信。该功能还包括实时证书验证，可帮助您通过选择不同的组合或验证设置来诊断问题。配置设置时，证书状态将更新。

有关详细信息，请参阅元数据和验证选项。

“自行提升”功能增强

“自行提升”功能已扩展为支持所有文件类型。管理员还可以指定仅在使用某些应用程序来打开文件时，才能提升某些文件扩展名。例如，您可以指定只能使用 wscript.exe 提升 VBS 文件。

有关详细信息，请参阅自行提升。

命令行匹配

应用程序控件 现在可以基于正在启动的应用程序和任何命令行参数来应用规则。如果不需要应用程序的完全访问权限但特定用户需要在某些条件下启动某些文件或运行应用程序，这项功能将非常有用。可以为“文件”和“签名”规则项目添加命令行参数。

此功能还包括两个新的高级设置 - 验证 PowerShell 脚本和验证 Java 归档。打开这些设置后，将阻止 powershell.exe、powershell_ise.exe 和 java（w）.exe，并且 PS1 和 JAR 文件将受到受信任的所有权的检查。然后可以将特定文件添加到不要求可信所有者的规则中。将 powershell.exe 或 java（w）.exe 添加到规则，以便在允许特定用户可以使用的同时阻止其他用户使用。例如，您可能想允许开发人员使用 powershell.exe，以便其能启动所有 PowerShell 脚本。

有关详细信息，请参阅规则项目和高级设置。

进程保护

“系统控件”的 应用程序控件 功能已扩展为包括进程保护。使用此增强功能可以防止所有用户（包括管理员）终止指定的进程（如防病毒软件）。

有关详细信息，请参阅系统控件。

增强的 Windows 应用商店应用支持

“Windows 应用商店应用”的控件中添加了进一步的支持。可以根据应用程序的发布者阻止或允许应用程序。将发布者用于旁加载应用意味着可以控制多个应用。这样就可以为所有“商店应用程序”配置限制，同时允许组织或 IT 部门旁加载这些限制。

有关详细信息，请参阅规则项目。

依据规则的策略更改请求

管理员可以基于每个规则启用“策略更改请求”功能。这可以针对不同的用户或用户组配置不同的变更请求类型和可用的请求方法。该功能的某些方面（例如指定电子邮件地址和共享密钥）将保持全局状态。

有关详细信息，请参阅策略更改请求。