進階設定

可從「管理」功能區存取「進階設定」,並且允許您指定通用設定至 應用程式控制 組態檔案。使用「原則設定」及「自訂設定」索引標籤來指定所需的通用元件。

在這個部分中:

原則設定

在「進階設定」對話方塊內設有「應用程式控制 原則設定」可供使用,並且提供了可套用至所有應用程式及處理序執行要求的一般 應用程式控制 設定。

一般功能

選項 說明
依預設設定為允許本機磁碟機 本機磁碟機的預設組態為黑名單,表示允許本機磁碟機內的所有資料,除非相關資料未通過受信任擁有權檢查,或是列於拒絕的項目清單中。取消選取此選項可將組態製作成白名單,此舉將封鎖本機磁碟機上的所有資料,除非相關資料列於允許的項目清單中。
允許 cmd.exe 執行批次檔案 管理員應在其「應用程式管理員」組態中明確禁止 cmd.exe。在已拒絕 cmd.exe 且已停用「允許 cmd.exe 執行批次檔案」的情況下,於批次檔案違反「應用程式管理員」原則時,將會對批次檔案進行評估及封鎖。若並未選取該選項且已明確拒絕 cmd.exe,則所有批次檔案即使未經評估也會全數遭到封鎖。若已選取此選項且已明確拒絕 cmd.exe,則仍然無法單獨執行 cmd.exe,不過會依據 應用程式控制 規則評估批次檔案。若並未明確拒絕 cmd.exe,則無論是否勾選此選項,所有批次檔案皆可執行。
在登入期間忽略限制 登入電腦期間可能會執行一些必要應用程式。封鎖這些項目會導致您的電腦運作不正常或完全無法運作。因此依預設會選取此選項。
解開自動解壓縮 ZIP 檔案 自我解壓縮檔案是一種可執行檔案,其由 ZIP 檔案以及可解壓縮檔案本身的小型程式組成。這些檔案有時會做為透過 MSI 檔案安裝應用程式的替代方案。有為數眾多的管理員偏好僅透過 MSI 檔案來安裝應用程式。

僅支援使用 ZIP 規格格式化的自動解壓縮 EXE。如需額外資訊,請參閱 ZIP 規格

解開自動解壓縮 ZIP 檔案選項,可允許由 ZIP 解壓縮程式解開拒絕的可執行檔案,可執行檔案是自動解壓縮 ZIP 檔案。若取消選取 (預設設定) 此選項,便會將此類檔案視為可執行檔案並會遵循一般規則處理。一經解壓內容,任何其中包含的可執行檔案內容仍需經由一般「受信任擁有權」檢查,並且防止在使用者並非「受信任所有者」的情況下執行這些內容。這對於自動解壓縮 ZIP 檔案可能包含非可執行檔案內容 (像是使用者所需的文件) 的情況十分有用。依預設會取消選取此選項,而且會將自動解壓縮 ZIP 檔案視為標準可執行檔案,同時會遵循一般規則處理來防止執行 (因此也防止解壓縮其內容)。
在 Active Setup 期間忽略限制 依預設,所有於 Active Setup 期間執行的應用程式均需遵守 應用程式控制 規則。選取此選項,可使這些應用程式在 Active Setup 階段免除規則檢查。
拒絕卸除式媒體上的檔案 取消選取此選項,即可除去卸除式媒體上的限制。卸除式媒體是什麼,完全由對 GetDriveType 的呼叫來決定。由於卸除式媒體的性質使然,磁碟機代號可能會依端點的設定而變更。例如: 在某電腦上的卸除式媒體磁碟機可能會識別為 E: 磁碟機,而在另一部電腦則可能為 F: 磁碟機

網路共用中拒絕的檔案

網路共用的預設組態為白名單,表示拒絕網路共用上的所有資料,除非相關資料列於允許的項目清單中。取消選取此選項可將組態製作成黑名單,表示允許網路共用內的所有資料,除非相關資料未通過受信任擁有權檢查,或是列於拒絕的項目清單中。

驗證

選項 說明
驗證系統處理序 選取此選項以驗證系統使用者執行的任何檔案。請注意,不建議選取此選項,因為其會增加端點電腦上產生的驗證數量,並可能封鎖關鍵應用程式的執行。選取此選項,即表示所有由系統啟動的可執行檔案均需進行規則驗證。
驗證 WSH (Windows Script Host) 指令碼 選取此選項,即指定使用 wscript 或 cscript 執行之指令碼的指令列內容需進行規則驗證。

指令碼能引入病毒及惡意程式碼。建議您驗證 WSH 指令碼。

驗證 MSI (Windows 安裝程式) 套件 MSI 檔案是安裝 Windows 應用程式的標準方式。建議禁止使用者自由安裝 MSI 應用程式。選取此選項,即表示所有 MSI 均需進行規則驗證。取消選取此選項,即表示僅 Windows 安裝程式本身 (msiexce.exe) 會由 應用程式控制 規則處理進行驗證,而非其嘗試執行的 MSI 檔案。
驗證登錄檔案 選取此選項以啟用 regedit.exe 和 regini.exe 的規則驗證。取消選取此選項,即表示不再依預設封鎖 regedit.exe 和 regini.exe。此外,嘗試執行的 .reg 指令碼、regedit.exe 和 regini.exe 亦不再由 應用程式控制 規則處理進行驗證。

不建議允許使用者存取登錄或登錄檔案。

驗證 PowerShell 指令碼 啟用時,此設定會拒絕 powershell.exe 和 powershell_ise.exe。然而,若在指令列上找到 PowerShell 指令碼 (PS1 檔案),則需進行完整的規則檢查,確認是否已設定供提高權限、允許或拒絕。
驗證 Java 封存 啟用時,此設定會拒絕 java.exe 和 javaw.exe。然而,若在指令列上找到 Java 封存 (JAR 檔案),則需進行完整的規則檢查,確認是允許還是拒絕它。

功能

選項 說明
啟用應用程式存取控制項 選取以啟用「應用程式存取控制項」。取消選取,即不會驗證或封鎖可執行檔案。
啟用應用程式網路存取控制項 選取以啟用「應用程式網路存取控制項」功能。取消選取,即不會驗證或封鎖輸出網路連線。
啟用「使用者權限管理」 選取以啟用「使用者權限管理」功能。取消選取,即不會套用任何「使用者權限」原則。停用此選項,會允許所有應用程式使用作業系統預設提供的許可與權限來執行。應用程式控制 會忽略規則的「使用者權限」區段內的任何項目,而且將不會變更或改動使用者任何的權限。
啟用 URL 重新導向 選取以啟用 URL 重新導向功能。若您取消選取此選項,會忽略已設定的重新導向,而且使用者在輸入可疑或有害 URL 時不會重新導向。您所設定的任何 URL 允許項目都不會執行。取消選取此選項,與在「瀏覽器控制項」原則集內沒有項目且選取此功能的效果相同。當您停用此功能時,瀏覽器延伸會停用。另請參閱瀏覽器控制項

簽章

選項 說明
演算法 選取演算法類型。有三個選項可用:
  • SHA1
  • SHA256
  • Adler32

自訂設定

「自訂設定」允許您設定當部署 應用程式控制 組態時,將在託管端點上套用的額外設定。若部署的新組態包含新的自訂設定,端點上任何目前既有的自訂設定將遭刪除。

管理自訂設定

  1. 開啟 應用程式控制 控制台內的組態,並且導覽至「管理」功能區。
  2. 按一下進階設定並選取自訂設定索引標籤。

    「設定進階設定」對話方塊隨即顯示。

  3. 選取「自訂設定」索引標籤,並按一下新增以顯示進階設定清單。
  4. 選取您想設定的設定,然後按一下確定

  5. 選取的設定會新增至「進階設定」對話方塊。

    新增的設定將會在端點上設定。但是,仍將使用任何現存於端點上的設定。

  6. 請視需要設定值。
  7. 按一下確定

當組態部署至您的託管端點時,會套用這些設定。

可用的自訂設定

其他工程金鑰 - GroupSidRefresh

應用程式控制 需要所有「群組規則」的安全性識別碼 (SID) 方可成功執行規則比對。有了此工程金鑰集,代理程式將會在端點上線時於執行階段解析「群組規則」的 SID,並將其回寫至組態 (AAMP 檔案)。若隨後會離線使用端點,這將會非常有用,因為將會用到儲存於組態中的 SID。

若有可能,應用程式控制 控制台會在儲存組態時解析 SID。僅在控制台無法執行群組 SID 查詢的情況下,才需要此設定。

設定

HKLM\Software\Ivanti Technologies\應用程式控制\Engineering

名稱

GroupSidRefresh

類型

String (REG_SZ)

參數

0 - Off

1 - 僅解析目前沒有 SID 值的群組

2 - 解析所有群組 SID – 對網域是由環境變數所指定的情況來說很有用,因為它會隨時變更。

自我提升檔案關聯。

相關主題