Application Control 新增内容
2021.3
除了代码增强和漏洞修补,还包括以下功能:
策略更改请求与 Ivanti Neurons for ITSM 集成
现有的“策略更改请求”功能让最终用户能够从其系统 Service Desk 请求特定的策略更改,或者让管理员能够使用电子邮件或电话通信来请求更改。Application Control 2021.3 扩展了该功能,以与 Ivanti Neurons for ITSM 集成。该集成能够通过 Service Desk 直接记录请求,并且通过优化的 Service Desk 工作流程自动管理请求。该集成能够确保按照组织的最佳实践来处理策略更改请求并对所有请求进行审计,从而实现未来的策略修改审查。在确认请求后,就可以通过自动化对策略采取行动、批准和部署到适当的设备。
有关详细信息,请参阅策略更改请求。
事件查看器增强功能
Application Control 2021.1 中引入了事件查看器功能,为经过审计的事件数据提供强大的查询功能。2021.3 版本提供了一系列增强功能,包括预配置视图的微小更改、在查询中指定“部署组”的功能,以及保存查询结果以供离线处理的功能。
有关详细信息,请参阅事件查看器。
UAC 替换增强功能
现在可以对 UAC 用户消息框进行配置,以提示用户为其提升的权限要求提供原因。此外,提供的原因值会保存为审计事件,从而实现对用户操作的进一步分析。请参阅 UAC 替换。
高级设置更新
为了对反馈做出响应并提高实用性,此版本包括了以下高级设置更改:
DisableSESecondDesktop 自定义设置现在默认关闭。请参阅高级设置。
添加了 BrowserInPrivatePolicyManage 自定义设置,以便在 Application Control 中禁用隐私浏览策略设置的管理。使用此设置将让隐私浏览策略能够由外部源进行管理。请参阅高级设置。
先前版本
除了代码增强和漏洞修补,还包括以下功能:
事件查看器功能
事件查看器是一款功能强大的查询工具,允许您根据事件类型查看、筛选、搜索和分组事件。查询结果可用于使用简单的拖动或复制手势,立即修改或创建配置规则。
查询结果在摘要视图中提供,其中包含用户数量和频率总计,或以简单网格形式单独列出每个事件。汇总视图可立即显示影响用户的任何特定问题。
所有查询可以通过轻松自定义专注于特定时间段、用户或计算机,然后通过筛选或搜索来识别特定事件属性。
有关详细信息,请参阅事件查看器。
以下视频介绍了事件查看器功能:
快速访问工具栏
快速访问工具栏现已包含更多按钮。这些按钮可用于:
• 从 Management Center 打开配置
• 将当前配置保存到其他目标。
除了代码增强和漏洞修补,还包括以下功能:
允许自行提升的自定义令牌
Application Control 现在能够更好地控制自行提升时使用的访问令牌。管理员可以定义自定义令牌,而且这些令牌可以从“自行提升选项”对话框中进行选择。有关详细信息,请参阅自行提升。
提升应用程序时的可配置提示
文件、文件夹、签名和组的规则项目现在能够配置为在提升应用程序权限之前提示用户。这就让用户可以选择以提升权限的方式还是正常方式运行应用程序(或项目)。有关详细信息,请参阅规则项目。
出于审计目的,建议提示用户提供提升的理由。监控审计事件使管理员能够轻松区分自动提升和由用户发起的提升。
中完整性级别自定义令牌
管理员现在能够将自定义令牌配置为以中完整性运行。有关详细信息,请参阅用户权限。
规则分析器增强功能
Application Control 规则分析器现在包含一个复选框,可用于筛选出文件覆盖和重命名请求。规则分析器请求摘要视图包括规则类型字段值。此值可以一目了然地显示发出的请求的类型(或类别),让分析人员不必打开和审查单个请求便可查看结果。有关详细信息,请参阅规则分析器。
除了代码增强和漏洞修补,还包括以下功能:
UAC 替换
UAC 替换是对 Application Control 中现有自行提升功能的补充。UAC 替换开启后,标准的 Windows UAC 提升提示便会替换为可配置的 Application Control 同意对话框。如果应用程序是使用开始菜单、资源管理器、桌面或命令提示符启动,则此功能适用。
有关详细信息,请参阅 UAC 替换。
2020.2 全局样式更新
2020.2 版本针对默认全局样式引入了设计更新。新样式使用更大的消息框格式来容纳更详细的信息;默认消息不再使用徽标,取而代之的是采用颜色编码的横幅。
更新具备向后兼容性,支持您继续使用以前的经典样式,或者根据需要将样式更新应用到现有配置。
有关详细信息,请参阅消息设置。
新的可信所有者阻止事件
系统已添加两个其他事件 ID:9060 和 9061。默认情况下会禁用这两个事件。如有需要,这两个事件可以使组织区分由受信任的所有权阻止的执行请求与由规则策略明确阻止的执行请求。
有关详细信息,请参阅审核。
新管理员进程已启动事件
已添加进一步的事件,以识别使用完全管理员权限启动的进程。ID 9062 在识别(然后评估)所需的已提升权限方面很有用。
有关详细信息,请参阅审核。
Edge 支持 URL 重定向
现可支持新版 Microsoft Edge (Chromium) 浏览器。
有关详细信息,请参阅浏览器控件。
启动 Windows 10 应用程序和功能
分配的权限适用于“Windows 10 设置应用程序和功能”视图。
有关详细信息,请参阅系统控件。
轻松获取详细信息
除了此联机帮助系统外,Ivanti 还以在线文档、帮助视频和精选社区文章的形式提供丰富的支持信息。在 2020.2 版本中,我们已将这些资源整理到了一个汇总表中,并通过发行说明和联机帮助登录页面提供。
除了代码增强和漏洞修补,还包括以下功能:
本地化
Application Control 2020.1 版本已本地化,现在支持以下 5 种语言:
•英文
•德语
•日语
•中文(简体)
•中文(繁体)
User Workspace Manager 中的语言设置帮助主题介绍了所需语言设置的选择。
搜索配置
随着组和规则集的添加,配置会变得非常大。为帮助您进行导航,您可以执行文本搜索以查找配置中配置项目的位置。
有关详细信息,请参阅维护配置
Microsoft Windows Server 2019 支持
管理服务器、控制台、授权控制台和代理组件均与 Microsoft Windows Server 2019 兼容。
有关受支持软件的详细信息,请参阅维护的平台矩阵。
将组添加到进程规则
现在可以选择将文件夹和组添加到进程规则。此功能可让操作更为便捷,即支持更新整个组中的所有规则,而不必逐一更新每个规则。
有关详细信息,请参阅进程规则
用于库的每个项目审计支持
用于忽略组的事件筛选的新选项。此选项现可支持为每个组项目实例记录事件,因此,如果一个组在多个位置使用,则每个实例都有自己的设置。此设置将覆盖已设置的任何事件筛选。
使网络共享可访问
用于拒绝网络共享中的文件的新默认设置。要允许文件,可以取消选择此选项,或将特定项目添加到允许列表中。
有关详细信息,请参阅高级设置
规则分析器命令行信息
规则分析器结果中包含的允许、拒绝和提升的可执行文件的命令行参数。这对故障排除和创建目标规则非常有用。
策略更改请求
现在,对策略更改请求兼容性的更改意味着 Application Control 代理和 Application Control Web 服务必须为同一版本。
静默阻止可执行文件
创建规则时的新选项拒绝后不显示拒绝访问消息。这可以让管理员有意阻止某些可执行文件并执行“静默拒绝”,以便让最终用户不会收到拒绝访问消息。
有关详细信息,请参阅拒绝的项目。
禁用组中的规则项目
可右键单击使用的新选项,用于禁用规则和对问题进行故障排除,还可以避免管理员不得不删除规则的情况。该选项可在“禁用”和“启用”之间切换,所以可以轻松地重新启用规则。
自授权项目的可信 DLL
当您自行授权某应用程序 exe 时,所有后续子 DLL 都会被自动授权。在 Application Control 的先前版本中,每个子 DLL 都需要进行自授权,这经常会导致应用程序崩溃,现在只需单击即可完成自授权。
有关详细信息,请参阅规则
消息框网络端口变量
网络端口号现已显示在“禁用端口”的消息框中(如果适用)。这将有助于对问题进行故障排除。
有关详细信息,请参阅消息设置
忽略每个规则项目的事件筛选
新选项已添加到忽略事件筛选。当在特定的规则中选择此选项后,这表示如果在“审核”对话框中选择了事件 ID,则无论事件筛选如何设置,都将为该规则引发此事件。因此,即使未选择任何文件类型,仍然会为此规则引发事件。
BitLocker 组件支持暂停/恢复
用户权限 > 组件中添加了一个新选项,能让您“禁用”或“暂停”BitLocker,还在“启用”选项中添加了“恢复”选项。这样可以更精细地控制 BitLocker 组件。
有关详细信息,请参阅用户权限受控组件
URL 重定向白名单
URL 重定向功能用于在用户尝试访问指定的 URL 时自动重定向用户。通过定义禁止的 URL 列表,您可将任何尝试访问列表中 URL 的用户重定向至默认警告页面或自定义网页。
此功能在 10.1 FR3 中得到了增强,可以将特定的 URL 列入白名单中,解决以下用例中的问题:
- 控制单个域中的访问 - 可在禁止访问域的同时允许访问其某些子域。例如,您可以拒绝访问 www.company.com,同时允许访问 www.company.com/resources。
- 实施白名单方法来控制组织对 Internet 的访问。通过创建禁止访问所有 Internet 站点的重定向,可以添加项目,以允许访问要为员工提供的网站。
有关此功能的详细信息,请参阅 URL 重定向。
255 个字符的消息限制已删除
已将显示给最终用户的 255 个字符的消息限制删除。
在“ Application Control”控制台中的“消息设置和应用程序终止”对话框中,管理员可以配置向最终用户显示的不同消息类型的文本。对于 10.1 FR2 及更早版本,该文本限制为 255 个字符。对于此版本,由于已删除限制,因此可以包含更多信息。
有关详细信息,请参阅消息设置。
在“禁用的应用程序”消息框中支持其他环境变量
在“禁用的应用程序”消息框中可显示其他环境变量。从 10.1 FR3 开始,可以使用“禁用的应用程序”日志中包含的所有信息。
有关详细信息,请参阅拒绝访问。
“自定义条件”中的 PowerShell 脚本
除了 VBScript 和 JScript 之外,也可以在“自定义条件”中创建和使用 PowerShell 脚本。
有关详细信息,请参阅脚本化条件。
审核“用户权限管理”中提升的子进程
审核日志现在能捕获提升的子进程的详细信息。如果在配置中选择了应用于子进程选项,则提升主进程后,此提升也适用于其他子进程。但是在 10.1 FR2 及其早期版本中,没有对这些子进程进行审核,因此缺乏对相关活动的可见性。10.1 FR3 审核日志现在能捕获主进程及其他子进程的详细信息,提供更高的审核可见性。
此版本中没有新功能。
控制台更换品牌名和重命名
“应用程序管理器控制台”已更新,以反映新公司名称 Ivanti - 有关详细信息,请参阅此处。除了从 AppSense 到 Ivanti 的品牌更改之外,“Application Manager”现在在此版本中也称为“Application Control”。
“Application Control”控制台和端点上的组件均已更新以反映这些更改。
您可能仍会看到某些区域中在引用“AppSense 应用程序管理器”这个名称,例如注册表或服务。这是为了尽可能减少以往用户向“Application Control”过渡的不适应情况。
图标刷新
在对版本 10 中 User Workspace Manager 控制台的设计进行了重大更改后,我们听取了反馈,更新了“ Application Control”控制台中使用的一些图标,将更多颜色重新添加至控制台。
扩展审核日志
Application Control 事件日志已扩展为包括以下内容:
- 用户停止和启动的服务的新事件
- 父进程名称现已包含在 9000 个事件中
- 文件所有者现已包含在 9000 个事件中
- 判定规则现已包含在事件中
有关 Application Control 审核的详细信息,请参阅审核。
Windows 操作系统条件
Microsoft 更新模型现在使用内部版本号来标识功能版本和 Service Pack。在创建计算机操作系统规则时,可以指定和配置目标内部版本号用以匹配输入的特定内部版本号,或将其用作最大或最小的内部版本。
有关详细信息,请参阅计算机条件。
通过数字证书检查扩展元数据功能
使用元数据验证文件时,管理员可以比较整个证书,以确定文件的真实性和元数据是否可信。该功能还包括实时证书验证,可帮助您通过选择不同的组合或验证设置来诊断问题。配置设置时,证书状态将更新。
“自行提升”功能增强
“自行提升”功能已扩展为支持所有文件类型。管理员还可以指定仅在使用某些应用程序来打开文件时,才能提升某些文件扩展名。例如,您可以指定只能使用 wscript.exe 提升 VBS 文件。
有关详细信息,请参阅自行提升。
命令行匹配
Application Control 现在可以基于正在启动的应用程序和任何命令行参数来应用规则。如果不需要应用程序的完全访问权限但特定用户需要在某些条件下启动某些文件或运行应用程序,这项功能将非常有用。可以为“文件”和“签名”规则项目添加命令行参数。
此功能还包括两个新的高级设置 - 验证 PowerShell 脚本和验证 Java 归档。打开这些设置后,将阻止 powershell.exe、powershell_ise.exe 和 java(w).exe,并且 PS1 和 JAR 文件将受到受信任的所有权的检查。然后可以将特定文件添加到不要求可信所有者的规则中。将 powershell.exe 或 java(w).exe 添加到规则,以便在允许特定用户可以使用的同时阻止其他用户使用。例如,您可能想允许开发人员使用 powershell.exe,以便其能启动所有 PowerShell 脚本。
进程保护
“系统控件”的 Application Control 功能已扩展为包括进程保护。使用此增强功能可以防止所有用户(包括管理员)终止指定的进程(如防病毒软件)。
有关详细信息,请参阅系统控件。
增强的 Windows 应用商店应用支持
“Windows 应用商店应用”的控件中添加了进一步的支持。可以根据应用程序的发布者阻止或允许应用程序。将发布者用于旁加载应用意味着可以控制多个应用。这样就可以为所有“商店应用程序”配置限制,同时允许组织或 IT 部门旁加载这些限制。
有关详细信息,请参阅规则项目。
依据规则的策略更改请求
管理员可以基于每个规则启用“策略更改请求”功能。这可以针对不同的用户或用户组配置不同的变更请求类型和可用的请求方法。该功能的某些方面(例如指定电子邮件地址和共享密钥)将保持全局状态。
有关详细信息,请参阅策略更改请求。