高级设置
可从“管理”功能区访问高级设置,并使您能够将全局设置分配给 Application Control 配置文件。使用“策略设置和自定义设置”选项卡指定所需的全局组件。
在此部分:
策略设置
Application Control 策略设置在“高级设置”对话框中可用,并提供适用于所有应用程序和进程执行请求的常规 Application Control 设置。
一般功能
| 选项 | 说明 |
|---|---|
| 默认允许本地驱动器 | 本地驱动器的默认配置是一个黑名单,即允许本地驱动器上的所有内容,除非相关内容未通过受信任的所有权检查或列于拒绝的项目列表中。取消选择此选项可将配置制成白名单,即阻止本地驱动器上的所有内容,除非相关内容列于允许的项目列表中。 |
| 允许 cmd.exe 用于批处理文件 | 预计管理员会明确禁止其应用程序管理器配置中的 cmd.exe。当拒绝 cmd.exe 和启用“允许 cmd.exe 用于批处理文件”时,如果批处理文件不符合应用程序管理器策略,则将对其进行评估并阻止。如果未选中该选项且显式拒绝 cmd.exe,所有批处理文件被阻止,它们甚至不会被评估。如果选择了此选项且 cmd 被显式地拒绝,则 cmd.exe 仍然无法单独运行,但批处理文件是根据 Application Control 规则评估的。如果 cmd.exe 未被显式地拒绝,则无论此选项是否被选中,所有批处理文件都将运行。 |
| 在登录期间忽略限制条件 | 在登录期间,计算机可能会执行大量基本应用程序。阻止这些可能导致计算机无法正常工作,或者完全不能工作。因此,默认选中此项。 |
| 解压自解压 ZIP 文件 | 自解压文件是可执行文件,其中包含一个 ZIP 文件和一个用于解压它的小程序。这些文件有时作为替代方法,以通过 MSI 文件安装应用程序。许多管理员希望仅使用 MSI 文件安装应用程序。 仅支持使用 ZIP 规范格式化的自解压 EXE。有关其他信息,请参阅 ZIP 规范 解压自解压 ZIP 文件选项允许被拒绝的可执行文件(即自解压 ZIP 文件)由 ZIP 解压器进行解压。如果取消选择此选项(默认设置),则该文件将和可执行文件一样受一般规则处理的约束。当将内容解压出来后,其所包含的任何可执行内容仍然要受常规受信任的所有权检查的约束,并且当用户为非可信所有者时无法执行。当自解压 ZIP 文件可能包含不可执行文件(比如用户需要的文档)时,这非常有用。默认情况下,将取消选择此选项,自解压 ZIP 文件将被视为标准可执行文件,并将基于一般规则处理情况阻止其执行(因此解压其内容)。 |
| 在智能安装期间忽略限制条件 | 默认情况下,在智能安装期间运行的所有应用程序都受 Application Control 规则的约束。选择此选项可使这些应用程序在智能安装期间无需接受规则检查。 |
| 拒绝可移除介质上的文件 |
取消选择此选项可移除对可移动介质的限制。可移动介质是什么,完全由对 GetDriveType 的调用决定。由于可移动介质的性质,驱动器号可能会根据端点的设置方式而改变。例如:在一台计算机上,可移动介质驱动器可能被识别为 E 盘,而在另一台计算机上,则可能被识别为 F 盘: 启用此设置后,仅允许通过签名规则来访问可移动介质上的文件。 |
| 拒绝网络共享中的文件 | 网络共享的默认配置是一个白名单,即拒绝网络共享中的所有内容,除非相关内容列于允许的项目列表中。取消选择此选项可将配置制成黑名单,即允许网络共享中的所有内容,除非相关内容列于拒绝的项目列表中。 |
验证
功能
| 选项 | 说明 |
|---|---|
| 启用应用程序访问控制 | 选择此选项以启用应用程序访问控制。取消选择此选项则不验证或阻止可执行文件。 |
| 启用应用程序网络访问控制 | 选择此选项则启用应用程序访问控制功能。取消选择此选项则不验证或阻止出站网络连接。 |
| 启用用户权限管理 | 选择此选项则启用用户权限管理功能。取消选择此选项则不应用任何用户权限策略。禁用此选项可允许所有应用程序使用操作系统默认提供的权限运行。Application Control 忽略规则的用户权限部分中的任何内容,且不会更改或修改任何用户权限。 |
| 启用 URL 重定向 | 选择此选项以启用 URL 重定向功能。如果取消选择此选项,则会忽略已配置的重定向,并且用户不会在输入可疑或有害 URL 时被重定向。不会执行您配置的任何 URL。取消选择此选项的效果与浏览器控件策略集中没有项目并选择此功能相同。禁用此功能将禁用浏览器扩展。另请参阅浏览器控件。 |
签名
| 选项 | 说明 |
|---|---|
| 算法 |
选择算法类型。有三个可用的选项: •SHA1 •SHA256 •Adler32 有关详细信息,请参阅签名哈希。 |
自定义设置
自定义设置允许您配置其他设置,这些设置将在部署 Application Control 配置时应用于托管端点。如果部署了包含新自定义设置的新配置,则将删除端点上已有的自定义设置。
管理自定义设置
- 在 Application Control 控制台中打开配置并导航到“管理”功能区。
-
单击高级设置并选择自定义设置选项卡。
将显示“配置高级设置”对话框。
- 选择“自定义设置”选项卡并单击添加以显示高级设置列表。
-
选择要配置的设置并单击确定。
-
选中的设置将添加至“配置高级设置”对话框。
将在端点上配置添加的设置。但是,将使用端点上已经存在的任何设置。
- 根据需要设置值。
- 单击确定。
当配置部署到托管端点时,将应用这些设置。
可用的自定义设置
Application Control 包含以下可配置的自定义设置。
| 设置 | 数据类型 | 说明 |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | 数字 | 超时,以秒为单位,用于嵌套计算机组查找。默认设置为 120 秒,并且将此值设置为 0 会禁用超时。 |
| ADQueriesEnabled | 数字 | 此设置对用于确定系统可分辨名称和计算机组成员资格的 AD 查询类型进行控制。 当值为 0 时,将禁用对 AD 的查询以及配置中对计算机组和 OU 的使用。 默认值 1 导致代理同时执行可分辨名称和直接(非嵌套)计算机组 AD 查询。配置中的嵌套计算机组会被忽略。 默认值 2 导致代理执行可分辨名称、直接和嵌套计算机组 AD 查询。由于 CPU 使用率较高,此设置会导致有关 DC 的性能问题。 |
|
AgentAssistWaitTime |
数字 |
等待代理助手程序启动时超时(单位为秒)。将此值设置为 0 即可禁用超时。 |
| AlternateTOCheck | 数字 | 当系统中安装了第三方筛选器驱动程序时,受信任的所有权检查偶尔会导致系统进程中产生过高的 CPU 使用率。使用值 1 启用此设置可导致 Application Control 使用替换方法来查找受信任的所有权,在某些情况下这可消除此问题。 |
| AMFileSystemFilterFailSafe | 数字 | 此设置配置文件系统筛选器驱动程序是否在故障安全或故障保险模式下运行。如果代理存在问题并且停止响应,则驱动程序在故障保险模式下会断开,并且不再拦截任意请求。值 1 表示故障安全,0 表示故障保险。默认为故障安全。更改此设置需要重新启动“代理”才能生效。 |
| AppHookDelayLoad | 文本 | 此设置导致 AmAppHook Dll 在延迟可配置的毫秒 (ms) 数后加载。此设置基于每文件名称进行配置。格式为 <filename+extension>,<delay>。文件名和扩展名可以包含通配符。每个对用分号分隔。例如 'calc.exe,2000;note*.exe,6000’ |
| AppHookEx | 文本 | Application Control 利用 Windows 挂钩作为应用程序网络访问控制 (ANAC) 功能的一部分。在极少数情况下,应用程序在挂接时会显示意外行为。此设置为未在其中挂接 ANAC 特定功能的应用程序的列表,因此不受 ANAC 规则的约束。 如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载。多个条目以分号 (;) 分隔。 |
| AppInitDllPosition | 数字 | 用于指定 AsModLdr 驱动程序或 Appinit 注册表项是否应该用于注入 Application Control 挂钩。此设置还用于确定 AMLdrAppinit.dll 在 AppInit_DLL 注册表值中的位置。 设置以下值之一:
此设置仅应该在 Ivanti 技术支持团队的指导下使用。 |
|
AssumeActiveSetupDespiteCitrix |
数字 |
此设置可控制在客户端登录时为检测 Citrix 参与情况而执行的检查。可能的值为:1 或 2。 •1 - 应用严格的检查,以便确保对拒绝的应用程序予以阻止。 •2 - 检测到 Citrix 时,依赖于被排除的智能安装。 请注意,如果 Application Control 检测到客户端在登录时使用 Citrix,便会假设 Windows 智能安装不会启动(基于用户登录到 Citrix;而不是 Windows)。然而,在某些情况下,仍会允许被阻止的应用程序运行,也就是说,在应用在智能安装期间忽略限制条件后,客户端将使用已发布的应用程序,并且会运行资源管理器。将此键值设置为 1 可以应对这种情况。 |
| BaseConfigMergeBehavior | 文本 | 用于控制新的 configuration.aamp 是否替换或重新合并现有的 merged_configuration.aamp。此设置接受的值是 replace 和 remerge。 当使用 GPO 合并时,将忽略 Replace 值并自动默认为 Remerge。 |
| BrowserAppStorePort | 数字 | 输入用于允许安装 Chrome 浏览器扩展的端口。 |
| BrowserCommsPort | 数字 | 输入用于自浏览器扩展至代理进行通信的端口。 |
| BrowserExtensionInstallHive | 数字 | 此工程设置允许管理员选择安装 Application Control Chrome 浏览器扩展的注册表配置单元。选项如下:
0 为管理员必须手动配置自己的企业应用程序存储以部署 Application Control Chrome 浏览器扩展的位置。默认操作为 2 - 适用于安装于 HKCU 中的 chrome 扩展。 |
| BrowserHookEx | 文本 | 该值可以设置为 'Chrome.exe’,以阻止Application Control浏览器挂钩 (BrowserHook.dll) 注入到其中。浏览器挂钩会阻止所有网络通信,直至 Chrome 扩展已建立与Application Control代理之间的连接。 此自定义设置不影响核心功能。 |
|
BrowserInPrivatePolicyManage |
数字 |
默认情况下,受支持的基于 Chromium 的浏览器的隐私浏览*策略由 Application Control 按以下方式进行管理: •如果配置了“浏览器控件”功能,则将禁用隐私浏览。 •如果未配置“浏览器控件”功能,则将启用隐私浏览。 如果要在外部控制隐私浏览策略,请将值设置为 0(禁用)。 * Edge 为 InPrivateModeAvailability,Chrome 为 IncognitoModeAvailability。 |
| BrowserNavigateEx | 文本 | 将忽略导航事件处理的导航 URL 的竖线 (|) 分隔列表。此列表中的 URL 不受 URL 重定向的约束。 |
| ComputerOUThrottle | 数字 | 此设置用于检查组织单位成员资格时,通过限制并发查找数目限制每个连接客户端的 Active Directory 查找操作。这种调节有助于处理大量连接客户端时,减少域中的查询流量。将此值设置为 0 到 65535 之间。 |
| ConfigFileProtection | 数字 | 锁定配置 AAMP 文件和合并后的配置文件夹,以防止未经授权的用户更新配置。此功能默认情况下被禁用,可通过将值设置为 1 启用。 在测试环境中应用此设置时要小心,因为无法更新配置可能导致您无法关闭它。如果发生这种情况,请联系 Ivanti 支持。 |
| DFSLinkMatching | 数字 | 可将 DFS 链接路径添加至规则中。DFS 链接和 DFS 目标被视为待匹配的独立项目。应用规则前不存在从链接到目标的转换。将此值设置为 1 可启用 DFS 链接匹配。 |
| DirectHookNames | 文本 | Application Control 的 Windows hook 被加载到所有进程,这些进程默认加载 user32.dll。不加载此 DLL 的应用程序未被挂接。不加载 user32.dll 的任意应用程序应该包含在此设置中,作为以分号分隔的完整路径或文件名列表的一部分。 |
| DisableAppV5AppCheck | 数字 | 默认情况下,使用 AppV5 启动的任意应用程序无需进行受信任的所有权检查。使用此设置并通过值 1 可禁用此操作。 |
| DisableCustomRulesPreCheck | 数字 | 此设置仅在处理在每个自定义规则集合的策略范围内配置的项目时才可改善自定义规则检查的性能。默认情况下,此设置关闭并且设置为 '0’。将值设置为 '1' 可允许所有潜在请求通过自定义规则。 |
| DisableDNSLookup | 数字 | 应用程序网络访问控制 (ANAC) 组件与所有形式的代理 DNS 服务器均不兼容。如果设置为 1,Application Control 将不执行 DNS 查找,可减少用代理 DNS 服务器的情况下所出现的意外停机和错误。 |
| DisableSESecondDesktop | 数字 | 默认情况下,“自行提升”的审计对话框显示于主桌面上。要将该对话框显示于备用桌面上(以便模拟 Windows UAC 的行为),请将值设置为 0。 请注意,此自定义设置已被弃用,将在未来的版本中移除。 |
| DoNotWalkTree | 数字 | 默认情况下,进程规则会检查整个父项是否匹配。此设置指示进程规则仅查看进程的直接父项,而不检查整个树。值 1 可启用此设置。 |
| DriverHookEx | 文本 |
不注入 Application Control 挂钩 (AMAppHook.Dll) 的应用程序的分号分隔列表。Application Control 要求加载挂钩才能使某些功能起作用。此自定义设置仅应该在 Ivanti 技术支持人员的指导下使用。 请注意:权限管理、应用程序网络访问控制、应用程序访问控制 - 脚本主机处理和策略更改请求不会对列表中的任何应用程序或其父进程在列表中的任何应用程序起作用。 |
| EnableCustomRulesDllChecking | 数字 |
默认情况下,如果此设置为关闭(设置为 0),则意味仅处理可执行文件和 URL。此设置通过控制是否通过规则集合允许 DLL 来改善自定义规则检查的性能。除默认值外,将值设置为 1 可允许处理所有 DLL。 请注意,启用此设置可能会对性能产生影响。请考虑使用进程规则作为替代解决方案。 |
| EnableScriptPreCheck | 数字 | 当脚本规则中的脚本正在处理时,它们会被视为返回了一个假值。脚本所用的时间因其内容而异。此设置在计算机启动和用户登录期间可提供最佳性能,因为取决于脚本结果的任意进程均不会延迟。将值设置为 1 可使进程在相关脚本完成之前等待。这将极大降低计算机启动和用户登录的速度。 Application Control 不会无限期等待脚本结果,将应用 30 秒超时。 |
| EnableSignatureOptimization | 数字 | 使用签名时,此设置可改善规则检查的性能。与完整路径不匹配的文件不会进行哈希处理,因为我们假定它们不是相同的文件。设置为 1 可启用。 启用此设置和 ExtendedAuditInfo 将不在审计元数据中显示经过哈希处理的任何文件名称。 |
| ExplicitShellProgram | 文本 | 此设置由应用程序访问控制 (AAC) 使用。Application Control 将 Shell 程序的启动(默认情况下为 explorer.exe)视为要登录的会话的触发器。不同的环境和技术能够改变 Shell 应用程序,并且代理有时无法检测出什么是 Shell 程序。Application Control 使用这个列表中的应用程序(除了默认的 Shell 应用程序之外)来确定何时认为会话已登录。这是一个以分号分隔的完整路径或文件名列表。 |
| ExProcessNames | 文本 | 应该从筛选器驱动程序排除的空格分隔文件名称的列表。 更改此设置需要重新启动“代理”才能生效。 |
| ExtendedAuditInfo | 数字 | 此设置扩展了审计事件的文件信息。它在每个文件的审计事件中为其报告安全哈希算法 1 (SHA-1) 哈希、文件大小、文件和产品版本、文件说明、供应商、公司名称和产品名称。该信息将立即添加在事件日志中的文件名称后面。此设置默认情况下已开启。如需关闭,请输入值 0。 启用 EnableSignatureOptimization 设置将禁用哈希或校验和的生成。 |
| ForestRootDNQuery | 数字 | 将值设置为 1 可使Application Control代理能够执行森林根查询。针对设备规则中的 OU 和计算机组成员资格,查询包括追踪引荐以确定连接设备的可分辨名称。 |
| ImageHijackDetectionInclude | 文本 | 确认所有子进程所依据的进程名称的列表,旨在确保子映像在不中断或修改的情况下运行并且匹配初始请求的映像。这是一个以分号分隔的完整路径或文件名列表。 请注意,如果子进程未得到验证,则会被终止,并且在本地应用程序事件日志中审计事件 (ID 8005)。 |
| MultipleHostsSameIP | 数字 | 允许应用程序网络访问控制 (ANAC) 使用相同的 IP 地址处理多个主机。它将 IP 地址的域名缓存取出,并且当从相同服务器运行时,允许不同的域均能够正常工作。设置为值 1 可启用。 |
| NetEnableRevDNS | 数字 | 此设置由应用程序网络访问控制 (ANAC) 使用,每次请求时全局启用反向 DNS 查找检查以访问网络资源。启用此设置会覆盖 NetEnabledRevDNSList 和 RevDNSList 设置。设置为值 1 可启用。 此功能要求管理员在公司的 DNS 服务器上启用和配置“反向查找区域”。 |
| NetEnableRevDNSList | 数字 | 此设置由应用程序网络访问控制 (ANAC) 使用,每次请求时仅对 RevDNSList 中列出的 IP 地址启用反向 DNS 查找检查。此设置必须与 RevDNSList 设置一起使用,设置为值 1 可启用。 此功能要求管理员在公司的 DNS 服务器上启用和配置“反向查找区域”。 |
| OwnershipChange | 数字 | Application Control 检测受信任文件是否被不可信所有者更改。在这种情况出现时,文件所有者会被更改为不可信用户,并且任意执行请求将被阻止。一些应用程序会覆盖这些文件,使 Application Control 默认不检测它,因此文件所有者将不会被更改。当启用时,Application Control 将执行额外的检查以捕获所有符合捕捉条件的文件更改和覆盖。设置为值 1 可启用。 |
| PCRRetainOnNewConfig | 数字 |
控制在发布新配置时如何处理策略更改请求 (PCR)。此功能默认情况下被禁用,也即在接收到新配置时会删除获得授权的 PCR。 将值设置为 1 可在发布新配置时保留获得授权的策略更改请求。 |
| RdmHookEx | 文本 | 一个应用程序列表,在权限发现模式下 (PDM) 使用,其中 PDM 特定功能未由 Application Control 的 Windows 挂钩挂接。该值应该为由分号分隔的文件名称列表。 |
| RemoveDFSCheckOne | 数字 | 当文件存储于 DFS 驱动器上时,Application Control 将使用一系列策略来评估正确的 UNC 路径。如果大量脚本和可执行文件存储于 Active Directory 中并且由其进行复制,则这些策略之一可能会导致登录期间出现延迟。设置为值 1 可启用,导致 Application Control 忽略此策略并在这种情况下提高性能。 |
| RevDNSList | 变化 | 此设置仅当由应用程序网络访问控制 (ANAC) 使用并且与 NetEnableRevDNSList 一起使用时才适用。它包含将进行反向 DNS 查找检查的 IP 地址。IP 地址应采用 IPv4 点分十进制格式 (n.n.n.n) 以及由分号分隔的列表。 此设置要求管理员在公司的 DNS 服务器上启用和配置“反向查找区域”。 |
| SECancelButtonText | 文本 | 点击“自行提升”对话框中的取消按钮显示的文本。 |
| SelfElevatePropertiesEnabled | 数字 | 将此值设置为 '1’ 可启用属性自行提升。默认情况下禁用此功能。 |
| SelfElevatePropertiesMenuText | 文本 | 用于属性自行提升的“上下文菜单”选项中的文本。 |
| SEOkButtonText | 文本 | 点击“自行提升”对话框中的“确定”按钮显示的文本。 |
| TVChecking | 数字 | 启用此设置会导致 Application Control 对所有文件忽略可信供应商检查,即使配置包含可信供应商的条目时也是如此。设置为值 0 可启用此设置。 此设置专用于对问题进行故障排除。 |
| UrlRedirectionSecPolicy | 数字 | 默认情况下,URL 重定向功能会忽略安全策略。此工程设置允许管理员强制 URL 重定向,以遵守配置的安全策略。设置为值 1 可启用。 不支持自授权。 |
| UrmForceMediumIntegrityLevel | 文本 |
权限管理 (UPM) 自定义设置,用于在用户权限是提升的应用程序时覆盖完整性级别,默认情况下完整性级别设置为高。使用此设置时,级别会降低至中。此值应该为由分号分隔的文件名称列表。 此自定义设置适用于整个配置。要以令牌为单位进行分配,请参阅用户权限。 |
| UrmHookEx | 文本 |
Application Control 利用 Windows 挂钩作为用户权限管理功能的一部分。在极少数情况下,应用程序在挂接时会显示意外行为。此设置会列出“用户权限管理”特定功能未挂接的应用程序。 如果同时在 AppHookEx 和 UrmHookEx 中命名应用程序,则不会加载 AmAppHook.dll。多个条目会使用分号分隔。 请注意:权限管理、应用程序访问控制 - 脚本主机处理和策略更改请求不会对列表中的任何应用程序或其父进程在列表中的任何应用程序起作用。 |
| UrmPauseConsoleExit | 文本 |
由用户权限管理功能使用。当提升控制台应用程序时,新应用程序会出现在新控制台窗口中。应用程序运行至完成,然后关闭。如果用户要查看程序的输出,这将成为一个问题。此设置可使应用程序保留,直至按下按键。这是一个以分号分隔的完整路径或文件名列表。 |
| UrmSecPolicy | 数字 | 默认情况下,用户权限管理功能通常会忽略安全策略。用户权限管理规则适用于所有情况(选择仅审计模式除外)。此自定义设置允许管理员强制用户权限管理,以遵守配置的安全策略。对于未受限的和自授权的安全级别,不应用用户权限管理规则。对于限制级别,应用用户权限管理规则。 设置为值 1 可启用此设置。 |
附加工程密钥 - GroupSidRefresh
Application Control 需要所有组规则的安全标识符 (SID) 方可成功执行规则匹配。借助这个工程密钥集,代理将在运行时解析组规则的 SID,同时端点在线并将其重新写入配置(AAMP 文件)。当端点随后离线使用,这将非常有用,因为将使用存储在配置中的 SID。
如果可能,Application Control 控制台将在保存配置时解析 SID。仅在控制台无法执行组 SID 查找时才需要此设置。
设置
HKLM\Software\Appsense Technologies\Application Control\Engineering
名称
GroupSidRefresh
类型
String (REG_SZ)
参数
0 - Off
1 - 仅解析当前不具备 SID 值的组
2 - 解析所有组 SID,当域由环境变量指定且可能发生更改时非常有用。
自行提升文件协会
有关详细信息,请参阅自行提升文件协会。