進階設定
可從「管理」功能區存取「進階設定」,並且允許您指定通用設定至 應用程式控制 組態檔案。使用「原則設定」及「自訂設定」索引標籤來指定所需的通用元件。
在這個部分中:
原則設定
在「進階設定」對話方塊內設有「應用程式控制 原則設定」可供使用,並且提供了可套用至所有應用程式及處理序執行要求的一般 應用程式控制 設定。
一般功能
選項 | 說明 |
---|---|
依預設設定為允許本機磁碟機 | 本機磁碟機的預設組態為黑名單,表示允許本機磁碟機內的所有資料,除非相關資料未通過受信任擁有權檢查,或是列於拒絕的項目清單中。取消選取此選項可將組態製作成白名單,此舉將封鎖本機磁碟機上的所有資料,除非相關資料列於允許的項目清單中。 |
允許 cmd.exe 執行批次檔案 | 管理員應在其「應用程式管理員」組態中明確禁止 cmd.exe。在已拒絕 cmd.exe 且已停用「允許 cmd.exe 執行批次檔案」的情況下,於批次檔案違反「應用程式管理員」原則時,將會對批次檔案進行評估及封鎖。若並未選取該選項且已明確拒絕 cmd.exe,則所有批次檔案即使未經評估也會全數遭到封鎖。若已選取此選項且已明確拒絕 cmd.exe,則仍然無法單獨執行 cmd.exe,不過會依據 應用程式控制 規則評估批次檔案。若並未明確拒絕 cmd.exe,則無論是否勾選此選項,所有批次檔案皆可執行。 |
在登入期間忽略限制 | 登入電腦期間可能會執行一些必要應用程式。封鎖這些項目會導致您的電腦運作不正常或完全無法運作。因此依預設會選取此選項。 |
解開自動解壓縮 ZIP 檔案 | 自我解壓縮檔案是一種可執行檔案,其由 ZIP 檔案以及可解壓縮檔案本身的小型程式組成。這些檔案有時會做為透過 MSI 檔案安裝應用程式的替代方案。有為數眾多的管理員偏好僅透過 MSI 檔案來安裝應用程式。 僅支援使用 ZIP 規格格式化的自動解壓縮 EXE。如需額外資訊,請參閱 ZIP 規格 解開自動解壓縮 ZIP 檔案選項,可允許由 ZIP 解壓縮程式解開拒絕的可執行檔案,可執行檔案是自動解壓縮 ZIP 檔案。若取消選取 (預設設定) 此選項,便會將此類檔案視為可執行檔案並會遵循一般規則處理。一經解壓內容,任何其中包含的可執行檔案內容仍需經由一般「受信任擁有權」檢查,並且防止在使用者並非「受信任所有者」的情況下執行這些內容。這對於自動解壓縮 ZIP 檔案可能包含非可執行檔案內容 (像是使用者所需的文件) 的情況十分有用。依預設會取消選取此選項,而且會將自動解壓縮 ZIP 檔案視為標準可執行檔案,同時會遵循一般規則處理來防止執行 (因此也防止解壓縮其內容)。 |
在 Active Setup 期間忽略限制 | 依預設,所有於 Active Setup 期間執行的應用程式均需遵守 應用程式控制 規則。選取此選項,可使這些應用程式在 Active Setup 階段免除規則檢查。 |
拒絕卸除式媒體上的檔案 | 取消選取此選項,即可除去卸除式媒體上的限制。卸除式媒體是什麼,完全由對 GetDriveType 的呼叫來決定。由於卸除式媒體的性質使然,磁碟機代號可能會依端點的設定而變更。例如: 在某電腦上的卸除式媒體磁碟機可能會識別為 E: 磁碟機,而在另一部電腦則可能為 F: 磁碟機 |
網路共用中拒絕的檔案 |
網路共用的預設組態為白名單,表示拒絕網路共用上的所有資料,除非相關資料列於允許的項目清單中。取消選取此選項可將組態製作成黑名單,表示允許網路共用內的所有資料,除非相關資料未通過受信任擁有權檢查,或是列於拒絕的項目清單中。 |
驗證
功能
選項 | 說明 |
---|---|
啟用應用程式存取控制項 | 選取以啟用「應用程式存取控制項」。取消選取,即不會驗證或封鎖可執行檔案。 |
啟用應用程式網路存取控制項 | 選取以啟用「應用程式網路存取控制項」功能。取消選取,即不會驗證或封鎖輸出網路連線。 |
啟用「使用者權限管理」 | 選取以啟用「使用者權限管理」功能。取消選取,即不會套用任何「使用者權限」原則。停用此選項,會允許所有應用程式使用作業系統預設提供的許可與權限來執行。應用程式控制 會忽略規則的「使用者權限」區段內的任何項目,而且將不會變更或改動使用者任何的權限。 |
啟用 URL 重新導向 | 選取以啟用 URL 重新導向功能。若您取消選取此選項,會忽略已設定的重新導向,而且使用者在輸入可疑或有害 URL 時不會重新導向。您所設定的任何 URL 允許項目都不會執行。取消選取此選項,與在「瀏覽器控制項」原則集內沒有項目且選取此功能的效果相同。當您停用此功能時,瀏覽器延伸會停用。另請參閱瀏覽器控制項。 |
簽章
選項 | 說明 |
---|---|
演算法 | 選取演算法類型。有三個選項可用:
如需詳細資訊,請參閱簽章雜湊。 |
自訂設定
「自訂設定」允許您設定當部署 應用程式控制 組態時,將在託管端點上套用的額外設定。若部署的新組態包含新的自訂設定,端點上任何目前既有的自訂設定將遭刪除。
管理自訂設定
- 開啟 應用程式控制 控制台內的組態,並且導覽至「管理」功能區。
-
按一下進階設定並選取自訂設定索引標籤。
「設定進階設定」對話方塊隨即顯示。
- 選取「自訂設定」索引標籤,並按一下新增以顯示進階設定清單。
-
選取您想設定的設定,然後按一下確定。
-
選取的設定會新增至「進階設定」對話方塊。
新增的設定將會在端點上設定。但是,仍將使用任何現存於端點上的設定。
- 請視需要設定值。
- 按一下確定。
當組態部署至您的託管端點時,會套用這些設定。
可用的自訂設定
設定 | 資料類型 | 說明 |
---|---|---|
ADComputerGroupMembershipTimeoutSecs | 數字 | 巢狀電腦群組查詢的逾時秒數。預設設定為 120 秒,而且將此值設定為 0 即停用逾時。 |
ADQueriesEnabled | 數字 | 此設定控制用於判斷系統之專有名稱與電腦群組成員資格的 AD 查詢類型。 值 0 會停用對 AD 進行的查詢,以及組態內電腦群組與 OU 的使用。 預設值 1 會使代理程式執行專有名稱與直接 (非巢狀) 電腦群組 AD 查詢。而組態內的巢狀電腦群組會被忽略。 值 2 則會使代理程式執行專有名稱、直接與巢狀電腦群組 AD 查詢。由於此設定的 CPU 使用量較高,有可能會造成 DC 上的效能問題。 |
AgentAssistWaitTime |
數字 |
等待代理程式協助處理序啟動時逾時 (秒)。將此值設定為 0 即可停用逾時。 |
AlternateTOCheck | 數字 | 當第三方篩選器驅動程式安裝在系統內時,受信任擁有權檢查偶爾會在系統處理序內造成 CPU 使用量過高的情況。使用值 1 來啟用此設定會讓 應用程式控制 使用替代方式查詢受信任擁有權,在某些情況下可減輕此問題。 |
AMFileSystemFilterFailSafe | 數字 | 此設定可設定檔案系統篩選器驅動程式是以「失敗安全」還是「失敗安全性」模式運行。若代理程式發生問題並停止回應,「失敗安全」模式中的驅動程式便會中斷連線並不再攔截任何要求。值 1 代表「失敗安全」,0 代表「失敗安全性」。而「失敗安全」為預設值。變更此設定需要代理程式重新啟動才能生效。 |
AppHookDelayLoad | 文字 | 此設定會導致 AmAppHook Dll 在可設定毫秒數 (ms) 延遲過後才會載入。此設定是根據每個檔案名稱來進行設定。格式為 <filename+extension>,<delay>。檔案名稱及副檔名可包含萬用字元。各組配對使用分號分隔。例如 'calc.exe,2000;note*.exe,6000' |
AppHookEx | 文字 | 應用程式控制 利用 Windows 掛勾做為「應用程式網路存取控制項」(ANAC) 功能的一部分。在罕見情況下,掛勾時應用程式會出現非預期的行為。此設定是 ANAC 特定功能未掛勾的應用程式清單,因此不受 ANAC 規則所規範。 若有應用程式同時以 AppHookEx 和 UrmHookEx 命名,則 AmAppHook.dll 不會載入。多個輸入項是以分號 (;) 分隔。 |
AppInitDllPosition | 數字 | 使用此設定以指定是否使用 AsModLdr 驅動程式或 Appinit 登錄機碼來插入 應用程式控制 掛勾。此設定也會用於判斷 AMLdrAppinit.dll 在 AppInit_DLL 登錄值內的位置。 設定下列其中一個值:
此設定僅應在 Ivanti 支援團隊的指引之下使用。 |
AssumeActiveSetupDespiteCitrix |
數字 |
此設定可控制在用戶端登入時為偵測 Citrix 參與而執行的檢查。可能的值為: 1 或 2。 •1 - 套用嚴格的檢查以確保會阻止拒絕的應用程式。 •2 - 當偵測到 Citrix 時,依靠已被排除的 Active Setup。 請注意,當 應用程式控制 偵測到用戶端於登入時正在使用 Citrix,其會假定 Windows Active Setup 不會啟動 (基於使用者登入至 Citrix;而非 Windows 的情況)。不過,在遭封鎖的應用程式已獲准執行的情況下,也就是說,當套用在 Active Setup 期間忽略限制時,用戶端會使用已發佈的應用程式,而且檔案總管亦會執行。將此機碼值設定為 1 可解決此種情況。 |
BaseConfigMergeBehavior | 文字 | 用於控制新的 configuration.aamp 是要取代還是重新合併現有的 merged_configuration.aamp。此設定接受的值為 replace 和 remerge。 當您使用 GPO 進行合併時,會忽略 Replace 一值,而且自動預設為 Remerge。 |
BrowserAppStorePort | 數字 | 輸入用於允許安裝瀏覽器控制項 Chrome 擴充功能的連接埠。 |
BrowserCommsPort | 數字 | 輸入用於供瀏覽器擴充功能對代理程式進行通訊之用的連接埠。 |
BrowserExtensionInstallHive | 數字 | 此工程設定允許管理員選擇將要安裝 應用程式控制 Chrome 瀏覽器擴充功能的登錄區。選項為:
0 即代表管理員必須手動設定其自有的企業應用程式商店以部署 應用程式控制 Chrome 擴充功能。預設行為是 2 - 供 Chrome 擴充功能安裝至 HKCU。 |
BrowserHookEx | 文字 | 可針對 Chrome.exe 設定此值,藉此阻擋對其插入應用程式控制項瀏覽器掛勾 (BrowserHook.dll)。瀏覽器掛勾可防止所有網路通訊,直到 Chrome 擴充功能與應用程式控制項代理程式建立連線為止。 此自訂設定不會影響任何核心功能。 |
BrowserNavigateEx | 文字 | 存在會略過導覽事件處理的導覽 URL 的縱線 (|) 分隔的清單。此清單內的 URL 將不會遭遇 URL 重新導向。 |
ComputerOUThrottle | 數字 | 此設定透過限制並行查詢數量的方式來限制每個用戶端的 Active Directory 查詢,藉此檢查組織單位成員資格。在處理大量連線用戶端時,此節流設定有助於降低網域上的查詢總流量。將此值設定為 0 到 65535 之間的值。 |
ConfigFileProtection | 數字 | 鎖定組態 AAMP 檔案及合併的組態資料夾,避免未授權使用者更新組態。此功能依預設為停用 - 將值設定為 1 即可啟用。 請確保在測試環境套用此設定時更加謹慎 - 因為您將無法更新組態,導致您可能無法將其關閉。如果發生此問題,請聯絡 Ivanti 支援。 |
DFSLinkMatching | 數字 | DFS 連結路徑可新增至規則。DFS 連結和 DFS 目標會視為要比對的個別獨立項目。在套用規則之前,不會有從連結到目標的轉換。將此值設定為 1 以啟用 DFS 連結比對。 |
DirectHookNames | 文字 | 應用程式控制 的 Windows 掛勾會載入至依預設載入 user32.dll 的所有處理序中。未載入此 DLL 的應用程式不會掛勾。任何未載入 user32.dll 的應用程式都應包含在此設定中,做為以分號分隔之完整路徑或檔案名稱清單的一部分。 |
DisableAppV5AppCheck | 數字 | 依預設,任何使用 AppV5 啟動的應用程式,將會免除進行「受信任擁有權」檢查。搭配值 1 使用此設定以停用此行為。 |
DisableCustomRulesPreCheck | 數字 | 此設定透過僅處理已於各自訂規則集合的原則內設定的項目來改善自訂規則檢查的效能。依預設,此設定為「關閉」且設定為 '0'。將值設定為 '1' 以允許通過自訂規則的所有潛在要求。 |
DisableDNSLookup | 數字 | 「應用程式網路存取控制項」(ANAC) 元件與所有形式的 Proxy DNS 伺服器均不相容。若設定為 1,應用程式控制 將不會執行 DNS 查詢,藉此減少使用 Proxy DNS 伺服器時,發生非預期的效能低落及錯誤情況。 |
DisableSESecondDesktop | 數字 | 依預設,「自我提高權限」的稽核對話方塊會在第二個桌面顯示。設定為 1 以在主要桌面顯示對話方塊。 |
DoNotWalkTree | 數字 | 依預設,處理序規則會檢查整個父索引鍵以找出相符項目。此設定可指示處理序規則僅檢查處理序直接父項目,並且不會對整個樹狀結構進行檢查。值為 1 則啟用此設定。 |
DriverHookEx | 文字 |
不會插入 應用程式控制 掛勾 (AMAppHook.Dll) 的應用程式清單 (以分號分隔)。應用程式控制 需要載入掛勾才能讓某些功能運作。此自訂設定應僅在 Ivanti 技術支援人員的指引之下使用。 請注意: 權限管理、應用程式網路存取控制、應用程式存取控制 - 指令碼主機處理和原則變更要求,針對本身或是其父處理序已列於清單中的任何應用程式都不會運作。 |
EnableCustomRulesDllChecking | 數字 |
此設定依預設為關閉 (設定為 0),即代表僅會處理可執行檔案及 URL。此設定透過控制是否允許 DLL 通過規則集合來改善「自訂規則」檢查的效能。將值設定為 1 將允許處理預設值及所有 DLL。 請注意,啟用此設定會影響效能。請考慮使用處理序規則作為替代解決方案。 |
EnableScriptPreCheck | 數字 | 儘管已編寫指令碼規則內的指令碼已在處理,但系統會將它們視為已傳回錯誤值。指令碼所花費的時間長度會因其內容而異。此設定可於電腦啟動及使用者登入期間提供最佳效能,因為任何需依賴指令碼結果的項目不會因此而有所延遲。將值設定為 1,可讓處理序等到相關指令碼完成作業。這樣會大幅減慢電腦啟動及使用者登入的速度。 應用程式控制 不會無限期地等待指令碼結果 - 將會套用 30 秒逾時設定。 |
EnableSignatureOptimization | 數字 | 此設定可改善使用簽章時規則檢查的效能。完整路徑不符的檔案將不會進行雜湊,因為我們推斷這些並非相同檔案。設為 1 以啟用。 啟用此設定及 ExtendedAuditInfo,將不會在稽核中繼資料中顯示任何已雜湊的檔案名稱。 |
ExplicitShellProgram | 文字 | 此設定由應用程式存取控制項 (AAC) 所使用。應用程式控制 將命令介面程式 (預設為 Explorer.exe) 的啟動,視為認定工作階段已經登入的觸發程序。命令介面應用程式會因環境和技術的不同而有所改變,而代理程式有時會無法識別它。應用程式控制 將會使用此清單 (預設命令介面應用程式以外的項目) 中的應用程式來判斷認定工作階段已經登入的時間。這是以分號分隔的完整路徑或檔案名清單。 |
ExProcessNames | 文字 | 應從篩選器驅動程式排除之檔案名稱的空格分隔清單。 變更此設定需要代理程式重新啟動才能生效。 |
ExtendedAuditInfo | 數字 | 此設定會展開已稽核事件的檔案資訊。其會回報各檔案之已稽核事件內的安全雜湊演算法 1 (SHA-1) 雜湊、檔案大小、檔案及產品版本、檔案說明、廠商、公司名稱及產品名稱。這些資訊會隨即新增至事件記錄內的檔案名稱之後。此設定依預設啟用。若要將其關閉,請輸入值 0。 啟用 EnableSignatureOptimization 設定時,即停用雜湊或總和檢查碼產生。 |
ForestRootDNQuery | 數字 | 將值設定為 1 以啟用應用程式控制項代理程式來執行樹系根查詢。該查詢包括為了裝置規則內 OU 及電腦群組成員資格而設的追蹤轉介,藉此判斷連接裝置的專有名稱。 |
ImageHijackDetectionInclude | 文字 | 驗證所有子處理序的處理序名稱清單,藉此確保子映像執行時不會損毀或遭修改,而且與初始要求的項目相符。若子處理序未經驗證,便會遭到終止。此為分號分隔的完整路徑或檔案名稱清單。 |
MultipleHostsSameIP | 數字 | 允許「應用程式網路存取控制項」(ANAC) 以相同 IP 位址搭配多個主機運作。其會取出 IP 位址網域名稱快取,並允許不同網域在相同伺服器上執行時運作。設定為值 1 即會啟用。 |
NetEnableRevDNS | 數字 | 由「應用程式網路存取控制項」(ANAC) 所使用,而此設定會在各個要求上全域啟用反向 DNS 查詢檢查以存取網路資源。啟用此設定會覆寫 NetEnabledRevDNSList 和 RevDNSList 設定。設定為值 1 即會啟用。 此功能需要管理員在公司的 DNS 伺服器上啟用和設定反向查詢區域。 |
NetEnableRevDNSList | 數字 | 由「應用程式網路存取控制項」(ANAC) 所使用,而此設定僅會針對 RevDNSList 內列出的 IP 位址啟用反向 DNS 查詢檢查。此設定必須與 RevDNSList 設定搭配使用 - 設定為值 1 即可啟用。 此功能需要管理員在公司的 DNS 伺服器上啟用和設定反向查詢區域。 |
OwnershipChange | 數字 | 應用程式控制 會偵測非受信任所有者是否變更了信任檔案。如有此類情況,檔案所有者會變更為非受信任使用者,而且任何執行要求均會封鎖。某些應用程式會直接覆寫檔案,導致在預設情況下 應用程式控制 無法偵測到該情況,而檔案所有者亦未變更。當啟用時,應用程式控制 會執行額外檢查來攔截所有檔案變更,而且應能攔截覆寫情況。設定為值 1 即會啟用。 |
PCRRetainOnNewConfig | 數字 |
控制在發佈新組態時處理「原則變更要求」(PCR) 的方式。此功能依預設為停用 - 在收到新組態時便移除已授權 PCR。 設定為 1 的值,以便在發佈新組態時保留已授權原則變更要求。 |
RdmHookEx | 文字 | 於「權限搜尋模式」(PDM) 內使用且 PDM 特定功能未與 應用程式控制 的 Windows 鈎點掛勾的應用程式清單。值應為分號分隔的檔案名稱清單。 |
RemoveDFSCheckOne | 數字 | 當檔案儲存在 DFS 磁碟機上,應用程式控制 代理程式會使用多種策略來評估正確的 UNC 路徑。若 Active Directory 有大量指令碼及執行檔存入及進行複寫,則其中一種策略可能會導致登入時出現延遲。設定為值 1 即會啟用,可使 應用程式控制 忽略此策略,並於此類情況中提高效能。 |
RevDNSList | 變動 | 此設定僅在與 NetEnableRevDNSList 一同使用時才適用,並且是由「應用程式網路存取控制項」(ANAC) 所使用。其包含將要進行反向 DNS 查詢檢查的 IP 位址。而 IP 位址應以 IPv4 小數點十進位格式 (n.n.n.n) 表示,並存在於分號分隔的清單之中。 此設定需要管理員在公司的 DNS 伺服器上啟用和設定反向查詢區域。 |
SECancelButtonText | 文字 | 「自我提高權限」對話方塊上「取消」按鈕顯示的文字。 |
SelfElevatePropertiesEnabled | 數字 | 將此值設定為 '1' 以啟用屬性的自我提高權限。此功能依預設為停用。 |
SelfElevatePropertiesMenuText | 文字 | 針對屬性的自我提高權限的內容功能表選項內的文字。 |
SEOkButtonText | 文字 | 「自我提高權限」對話方塊上「確定」按鈕顯示的文字。 |
TVChecking | 數字 | 啟用此設定,會使 應用程式控制 忽略所有檔案的受信任廠商檢查,即使組態包含受信任廠商的項目亦同。設定為值 0 即會啟用此設定。 此設定是為疑難排解問題所設。 |
UrlRedirectionSecPolicy | 數字 | 依預設,「URL 重新導向」功能會忽略安全性原則。此工程設定允許管理員強制 URL 重新導向遵循已設定的安全性原則。設定為值 1 即會啟用。 不支援自助授權。 |
UrmForceMediumIntegrityLevel | 文字 |
「使用者權限管理」(UPM) 自訂設定用於在使用者權限是提高應用程式時覆寫整合層級,在預設情況下將整合層級設定為高。當使用此設定時,該層級會降為中。此值應為分號分隔的檔案名稱清單。 此自訂設定會套用至整個組態。若要依個別權杖進行指派,請參閱使用者權限。 |
UrmHookEx | 文字 |
應用程式控制 利用 Windows 掛勾做為「使用者權限管理」功能的一部分。在罕見情況下,掛勾時應用程式會出現非預期的行為。此設定會列出「使用者權限管理」特定功能未掛勾的應用程式。 若有應用程式同時以 AppHookEx 和 UrmHookEx 命名,則 AmAppHook.dll 不會載入。多個輸入項會用分號分隔。 請注意: 權限管理、應用程式存取控制 - 指令碼主機處理和原則變更要求,針對本身或是其父處理序已列於清單中的任何應用程式都不會運作。 |
UrmPauseConsoleExit | 文字 |
由「使用者權限管理」功能所使用。在提高控制台應用程式時,新應用程式可在控制台視窗中顯示。應用程式會運行直到完成,然後關閉。若使用者想要查看程式輸出,則會是個問題。此設定可讓應用程式在您按下任意鍵前持續保留。這是以分號分隔的完整路徑或檔案名清單。 |
UrmSecPolicy | 數字 | 依預設,「使用者權限管理」功能會忽略大部分安全性原則。除了選取「僅限稽核」模式之外,其餘情況都會套用「使用者權限管理」規則。此自訂設定允許管理員強制「使用者權限管理」遵循已設定的安全性原則。針對「沒有限制」和「自助授權」安全性層級,不會套用「使用者權限管理」規則。針對「受限制」安全性層級,會套用「使用者權限管理」規則。 設定為值 1 即會啟用此設定。 |
其他工程金鑰 - GroupSidRefresh
應用程式控制 需要所有「群組規則」的安全性識別碼 (SID) 方可成功執行規則比對。有了此工程金鑰集,代理程式將會在端點上線時於執行階段解析「群組規則」的 SID,並將其回寫至組態 (AAMP 檔案)。若隨後會離線使用端點,這將會非常有用,因為將會用到儲存於組態中的 SID。
若有可能,應用程式控制 控制台會在儲存組態時解析 SID。僅在控制台無法執行群組 SID 查詢的情況下,才需要此設定。
設定
HKLM\Software\Ivanti Technologies\應用程式控制\Engineering
名稱
GroupSidRefresh
類型
String (REG_SZ)
參數
0 - Off
1 - 僅解析目前沒有 SID 值的群組
2 - 解析所有群組 SID – 對網域是由環境變數所指定的情況來說很有用,因為它會隨時變更。
自我提升檔案關聯。
如需詳細資訊,請參閱自我提高權限檔案關聯。