浏览器控件

在此部分:

关于浏览器控制

在浏览器控制节点中,您可以:

  • 配置 URL 重定向
  • 添加 Web 安装
  • 导入代码段
  • 添加提升的网站

支持以下浏览器:Internet Explorer(8、9、10 和 11)、Edge (Chromium) 和 Google Chrome。

将包含 URL 重定向等浏览器控制项目的新配置部署到端点时,用户需要关闭并重新打开浏览器才能使配置生效。关闭并重新打开浏览器会启用浏览器扩展。如果用更多浏览器控制项目更新具有浏览器控制的现有配置,则更新的配置会在部署时生效。浏览器扩展已启用,因此无需关闭并重新打开浏览器。

Application Control 使用浏览器帮助程序对象 (BHO) 在 Internet Explorer 中实施浏览器控件功能,浏览器启动时会加载该对象。如果使用的是 Google Chrome 和 Edge (Chromium) 浏览器,Application Control 会加载 Ivanti Cascade 扩展。

URL 重定向

使用此功能在用户尝试访问指定的 URL 时自动重定向用户。通过定义禁止的 URL 列表,您可将任何尝试访问列出的 URL 的用户重定向至默认警告页面或自定义网页。您还可以选择允许某些 URL,与重定向结合使用时给您更多灵活性和控制,并让您能够创建网站白名单。

在从“浏览器控制”功能区访问的“将 URL 添加至重定向”对话框中配置 URL 重定向,在可通过“管理”功能区访问的“高级设置”中为应用程序启用或禁用 URL 重定向功能。

为 Internet Explorer 配置此功能之前,您必须使用 Internet 选项为每个端点启用第三方浏览器扩展。或者,可以通过组策略来应用此功能。

对于 Chrome 和 Edge 浏览器中的 URL 重定向,所有托管端点必须是域的一部分。

将 URL 重定向添加至规则

  1. Application Control 导航窗格中,为要添加 URL 重定向的规则选择“浏览器控件”节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 URL

    将显示“将 URL 添加至重定向”对话框。

  3. 输入 URL - 您可以使用 IP 地址和文本 URL。

    提示:如果您使用文本 URL 并且服务器也对 IP 地址起作用,则为该服务器同时添加文本 URL 和 IP 地址。

  4. 为 URL 选择操作 - 重定向允许
  5. 如果已选择重定向,请选择当用户尝试访问禁止的 URL 时所需的响应:
    • 重定向 URL 时显示默认警告页面 - 用户被定向至默认的“访问被拒绝”页面。
    • 重定向 URL 时显示自定义页面 - 指定替代位置,而不显示默认警告页面。例如,这可以是您的组织网络中的位置、磁盘上的文件、您的内联网或其他网站。
  6. 输入可选的说明以供将来引用。
  7. 单击添加

重定向被添加至浏览器控制工作区的“URL 重定向”选项卡。部署配置后,当用户尝试访问指定网页时,重定向的页面会显示在同一浏览器实例中。如果配置了 URL 允许,则网站会按预期打开。

控制域中的 URL 访问

URL 重定向也可用于控制单个域中的访问 - 可在禁止访问域的同时允许访问其某些子域。例如,您可以拒绝访问 www.company.com,同时允许访问 www.company.com/resources。

观看相关视频

通过 URL 重定向来配置白名单

您可以使用 URL 重定向为您的组织配置控制 Internet 访问的白名单方法。通过创建禁止访问所有 Internet 站点的重定向,可以添加项目,以允许访问要为员工提供的网站。

观看相关视频

  1. http** 创建 URL 重定向项目。这样可防止用户访问 Internet 上的一切内容。

  2. 创建重定向以允许访问所需的 URL。

将配置部署到用户时,除了 URL 重定向项目中通过允许操作配置的网站,他们将无法访问任何其他网站。

白名单和嵌入式框架

如果您使用白名单方法并且允许访问使用嵌入式框架 (iFrame) 的站点,则您必须设置 URL 重定向以允许每个嵌入式框架的 URL。如果重定向嵌入式框架的 URL,则即使将主网站 URL 配置为允许,也会将其重定向。

例如,您已重定向所有使用 http* 的网站,并且已创建 URL 允许,以便用户能够访问 http://www.website.com。该网站使用嵌入式框架来显示未被允许的 http://www.frame.com。用户将无法打开 http://www.website.com,因为对 http://www.frame.com 的访问因 http* 重定向而被拒绝。

通过规则分析器找到嵌入式框架 URL

您可以使用Application Control Rules Analyzer来找到嵌入式框架的 URL。然后可在 URL 重定向中允许这些 URL,以便父网站可供用户访问。

您必须使用允许对要为使用规则分析器生成日志的任何托管端点的注册表进行读写访问的帐户进行登录,且具有对控制台所在计算机的本地注册表的读写访问权限。

  1. 在“ Application Control”控制台中,创建具有 URL 重定向的配置:
    • 将所有 URL 重定向至您要为其找到嵌入式框架的网站

    • 允许访问该网站

  2. 将配置部署到您要在其上创建配置的端点。
  3. 选择规则分析器导航按钮。
  4. 单击添加端点并选择浏览部署组浏览域/工作组
  5. 选择您要用于发现嵌入式框架 URL 的端点。

  6. 单击开始记录

  7. 访问您要为其找到嵌入式框架的网站。

    允许访问该站点,但嵌入式框架的 URL 被禁止,因此浏览器会卡在循环中,重定向至其本身。在此过程期间,规则分析器会记录任何重定向的嵌入式框架的详细信息。

  8. 关闭浏览器并返回至规则分析器。

  9. 单击停止记录并输入报告名称。

    将显示分析的结果。

  10. 单机“浏览器控制”列中的链接以显示记录的 URL 请求。

  11. 选择 URL 以显示更多详细信息。从详细信息中,您可以确认重定向发生自您允许的站点。

  12. 复制域并用其创建新的 URL 重定向允许。

部署配置后,由于允许嵌入式框架,用户可以访问该站点。

添加 Web 安装

许多 Web 安装需要最终用户具有管理员权限。例如,ActiveX 控件或 Microsoft 更新目录等 Web 下载。

浏览器控制的 Web 安装功能允许为来自特定域的 ActiveX 安装程序提升至管理员权限。您可以创建基本配置,通过它仅输入域的名称,或者您可以创建高级配置并指定项目的 CAB 文件、其类 ID 以及最高和最低版本。您还可以指定仅可安装来自该域的签名控件。

.exe 或 MSI 文件的下载并非通过浏览器控件直接处理,而是可以使用受信任的所有权进行控制(请参阅系统控件)。
但是,可以通过配置浏览器控件来防止安装 .cab 文件(通常作为 .exe 或 MSI 的一部分下载,并在 Windows 软件安装中使用)。

  1. 导航到所选规则下的浏览器控制节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 Web 安装

    将显示“添加新 Web 安装”对话框。

  3. 输入 Web 安装的描述性名称。
  4. 要确保用户仅连接合法的 Web 安装,请选择仅允许签名控件
  5. 输入安装的网站 URL。例如,输入 adobe.com 以允许来自 adobe.com 整个网站的安装。
  6. 单击添加

“浏览器控制”工作区中的“网站”选项卡显示新 Web 安装的名称。

添加 Web 安装(高级设置)

  1. 导航到所选规则下的浏览器控制节点。

  2. 在“浏览器控制”功能区中,选择添加项目 > 添加 Web 安装

    将显示“添加新 Web 安装”对话框。

  3. 输入 Web 安装的描述性名称。
  4. 如果要仅允许签名控件,请选择相关的复选框。

  5. 选择使用高级设置

    “高级设置”部分将激活。

  6. 输入安装程序 URL,例如 http://www.example.com/control.cab
  7. 根据需要添加额外验证:类 ID、最低版本和最高版本。
  8. 单击添加

“浏览器控制”工作区中的“网站”选项卡显示新 Web 安装的名称。

代码段

代码段让 Application Control 能够导入部分配置并将其合并到控制台中当前打开的配置中。

这对 Web 安装特别有用,因为除了创建配置的 Web 安装部分,还需要考虑许多其他可配置项目。这些项目包括进程规则、允许的项目、可信供应商、任何数字证书、提升的项目等。

“导入代码段”对话框允许您选择向默认目录提供的任何代码段。该对话框还允许您从 Ivanti Marketplace 获取可用的最新代码段。

从 Ivanti 社区下载最近的代码段

  1. 选择规则。

  2. 在“浏览器控制”功能区中,选择导入代码段

    将显示“导入代码段”对话框。

  3. 单击对话框中的 Ivanti 社区链接。

    显示最近代码段。

  4. 选择代码段并将其保存至 C:\Program Files\AppSense\Application Manager\Console\Snippets。此位置为默认位置。

    现在可在“导入代码段”对话框中选择代码段。

  5. 选择代码段并单击添加

  6. 要查看代码段中包含的内容,请单击查看将添加到配置的项目链接。

    将显示配置报告。

  7. 单击继续

代码段被导入,您可以在控制台的各种节点中查看项目。

提升的网站

Edge (Chromium) 和 Chrome 的 32 和 64 位版本以及 Internet Explorer 的 32 位版本(8、9、10 和 11)支持此功能。

“提升的网站”功能让您能够定义在单独安全的但提升的 Internet Explorer 实例中打开的特定 URL。提升后,用户将被授予管理员权限,使其能够安装并执行特定于站点的其他软件或 ActiveX 控件等组件。

配置此功能之前,您必须使用 Internet 选项为您的每个端点启用第三方浏览器扩展,或者可通过组策略来应用此功能。

建议仅将此功能用于需要提升来运行诊断工具等内容的内部网站,或者用于包含管理员批准的软件的受限制门户。

您不应提升可能允许用户获得可能对您的网络造成安全风险的软件的网站;例如弹出窗口、搜索栏或外部链接。

  1. 在选定的组下选择浏览器控制
  2. 选择“浏览器控制”功能区。

  3. 单击添加项目并选择添加提升的网站

    将显示“添加新的提升的网站”对话框。

  4. 输入有意义的说明以供引用。

  5. 在“网站 URL”字段中输入 Web 地址。

    您可以使用正则表达式来定义网站。要使用此功能,请选择使用正则表达式并输入网站 URL 条件。例如,https://.+\.com$ 会提升并重定向具有 .com 扩展名的任何安全网站 - 例如 https://www.cisco.com,但不会提升和重定向 http://www.cisco.com

    有关详细信息,请参阅通配符和正则表达式

  6. 单击添加
  7. 保存 AAMP 文件。

相关主题

规则类型

规则项目

允许的项目

拒绝的项目

可信供应商

用户权限规则

高级设置

规则分析器