瀏覽器控制項

在這個部分中:

關於瀏覽器控制項

在「瀏覽器控制項」節點中,您可以:

  • 設定 URL 重新導向
  • 新增 Web 安裝
  • 匯入片段
  • 新增已提高權限的網站

支援下列瀏覽器: Internet Explorer (8、9、10 和 11)、Edge (Chromium),以及 Google Chrome。

當包含「瀏覽器控制項」項目 (例如 URL 重新導向) 的新組態部署至端點時,使用者必須關閉並重新開啟瀏覽器才能讓組態生效。關閉並重新開啟瀏覽器可啟用瀏覽器擴充功能。若使用其他「瀏覽器控制項」項目對包含「瀏覽器控制項」的現有組態進行更新,則更新的組態會在部署後生效。因瀏覽器延伸已經啟用,因此無需關閉並重新開啟瀏覽器。

為在 Internet Explorer 內實作「瀏覽器控制項」功能,「應用程式控制 應用程式控制項」會使用於瀏覽器啟動時載入的「瀏覽器協助程式物件」(BHO)。針對 Google Chrome 和 Edge (Chromium) 瀏覽器,應用程式控制 會載入 Ivanti Cascade 擴充功能。

URL 重新導向

使用此功能可在使用者試圖存取特定 URL 時自動重新導向。透過定義禁止的 URL 清單,您能將任何試圖存取所列 URL 的使用者重新導向至預設警告頁面或自訂網頁。與重新導向功能搭配使用時,您也可以選擇允許某些 URL,如此一來便能給您更多的靈活性與控制程度,而且還能讓您建立網站的白名單。

「URL 重新導向」在可從「瀏覽器控制項」功能區內存取的「新增 URL 至重新導向」對話方塊中設定,而透過「管理」功能區存取的「進階設定」內可啟用或停用應用程式的「URL 重新導向」功能。

在為 Internet Explorer 設定此功能之前,您必須針對每個端點使用「網際網路選項」來啟用第三方瀏覽器擴充功能。或者,也可透過「群組原則」進行套用。

針對 Chrome 瀏覽器內的 URL 重新導向,所有託管端點必須均屬於網域的一部分。

應用程式控制 10.0 以前的版本中,「URL 重新導向」為可透過「管理」功能區存取的通用設定。包含於 8.8 及 8.9 版產品所建立之 URL 重新導向的組態可於控制台中開啟,而且會在 10.0 版中自動升級。URL 重新導向會轉換為包含下列項目的自訂規則:

  • 連線類型、IP 位址及連接埠號碼的相符條件。
  • 敏感 URL (於「URL 重新導向」索引標籤內列出) 的「瀏覽器控制項」項目。

若您並未升級組態,則 10.0 版代理程式仍然可讀取該組態,但會略過「URL 重新導向」和「自訂規則」。其餘組態仍然適用。

新增 URL 重新導向至規則

  1. 應用程式控制 導覽窗格中,為要新增 URL 重新導向的規則選取「瀏覽器控制項」節點。

  2. 在「瀏覽器控制項」功能區中,選取新增項目 > 新增 URL

    「新增 URL 至重新導向」對話方塊隨即顯示。

  3. 輸入 URL - 您可以使用 IP 位址及文字 URL。

    提示: 若您使用的是文字 URL 而伺服器也可處理 IP 位址,請同時新增該伺服器的文字 URL 和 IP 位址。

  4. 選取 URL 的動作 - 重新導向允許
  5. 若您已選取「重新導向」,請選擇使用者試圖存取禁止的 URL 時,系統需做出的回應:
    • 重新導向 URL 時顯示預設警告頁面 - 會將使用者導向至預設的「存取遭拒」頁面。
    • 重新導向 URL 時顯示自訂頁面 - 指定一個替代位置,而非顯示預設警告頁面。例如,這可以是您組織網路內的位置、磁碟機上的檔案、內部網路,或是另一個網站。
  6. 輸入選擇性說明供您日後參考之用。
  7. 按一下新增

重新導向會新增至「瀏覽器控制項」工作區域的「URL 重新導向」索引標籤。當組態已部署且使用者試圖存取特定網頁時,於同一瀏覽器執行個體中會顯示已重新導向的頁面。若已設定允許的 URL,則會如預期開啟網站。

控制網域內的 URL 存取

「URL 重新導向」還能用於控制單一網域內的存取 - 可在禁止存取某網域的同時,允許存取其部分子網域。例如,您可以拒絕存取 www.company.com,同時允許存取 www.company.com/resources。

觀看相關視訊

使用「URL 重新導向」設定白名單

您可以使用「URL 重新導向」來實作白名單方法,藉此控制貴組織的網際網路存取。藉由建立禁止存取所有網站的重新導向,您可以新增項目以允許存取您希望為員工提供的網站。

觀看相關視訊

  1. 針對 http** 建立 URL 重新導向項目。此舉可防止使用者存取網際網路上的所有內容。

  2. 建立重新導向以允許存取至所需 URL。

在已對您的使用者部署組態後,除了使用允許動作的「URL 重新導向」項目外,使用者將無法存取任何網站。

白名單與內嵌框架

若您使用白名單方式並允許存取使用內嵌框架 (iFrame) 的站點,您必須設定 URL 重新導向項目以允許各個內嵌框架的 URL。若已重新導向內嵌框架 URL,即使已將主要網站 URL 設定為允許,其也會重新導向。

例如,您已使用 http* 重新導向所有網站,而且您已建立 URL 允許項目,所以您的使用者可以存取 http://www.website.com。但該網站使用內嵌框架顯示不被允許的 http://www.frame.com。使用者因為 http* 重新導向的緣故,對 http://www.frame.com 的存取遭拒,所以無法開啟 http://www.website.com。

使用規則分析器尋找內嵌框架 URL

您可以使用「應用程式控制項規則分析器」來尋找內嵌框架的 URL。然後可在「URL 重新導向」中允許 URL,這樣父系網站便可供使用者使用。

您必須使用允許對於要為使用規則分析器產生日誌的任何受管端點的登錄進行讀寫存取的帳戶登入,並對於控制台所在的電腦擁有本機登錄的讀寫存取權限。

  1. 在「應用程式控制項」控制台中,建立 URL 重新導向至以下位置的組態:
    • 將所有 URL 重新導向至您想尋找內嵌框架的網站

    • 允許存取至該網站

  2. 將組態部署至您即將建立組態的端點上。
  3. 選取規則分析器導覽按鈕。
  4. 按一下新增端點並選取瀏覽部署群組瀏覽網域/工作群組
  5. 選取您想用於搜尋內嵌框架 URL 的端點。

  6. 按一下開始記錄

  7. 存取您想尋找內嵌框架的網站。

    存取站點獲允許,但內嵌框架的 URL 遭禁止,因此瀏覽器會陷入迴圈,持續重新導向至其本身。在此過程中,「規則分析器」會記錄任何重新導向內嵌框架的詳細資訊。

  8. 關閉您的瀏覽器並回到「規則分析器」。

  9. 按一下停止記錄並輸入報告名稱。

    您的分析結果隨即顯示。

  10. 按一下「瀏覽器控制項」欄內的連結以顯示記錄的 URL 要求。

  11. 選取 URL 以顯示更多詳細資訊。在詳細資訊中,您可以確認重新導向是從您允許的站點所發生的。

  12. 複製網域並將其用於建立新的 URL 重新導向允許項目。

部署組態後,使用者便能存取站點,因為已允許內嵌框架。

新增 Web 安裝

多數的 Web 安裝需要一般使用者具備管理權限。例如,ActiveX 控制項 (如 Adobe Flash Player) 或 Web 下載 (如 Microsoft Update Catalog)。

「瀏覽器控制項」的 Web 安裝功能允許從特定網域提高 ActiveX 安裝程式的管理權限。您可以建立一個基本組態,其中只需輸入網域名稱,或者您可以建立一個進階組態,並指定某項目的 CAB 檔案、其類別 ID,以及最低及最高版本。您還能指定僅能安裝網域內已簽署的控制項。

.exe 或 MSI 檔案的下載並非經由瀏覽器控制項直接處理,其可使用受信任擁有權進行控制 (請參閱系統控制項)
不過,可設定瀏覽器控制項以防止安裝 .cab 檔案 (通常會做為 .exe 或 MSI 的一部分下載,並用於 Windows 軟體安裝)。

  1. 瀏覽至您選取的規則之下的瀏覽器控制項節點。

  2. 在「瀏覽器控制項」功能區中,選取新增項目 > 新增 Web 安裝

    「新增 Web 安裝」對話方塊隨即顯示。

  3. 輸入 Web 安裝的說明名稱。
  4. 為確保您的使用者僅連線至合法的 Web 安裝,請選取僅允許的簽署控制項
  5. 輸入安裝的網站 URL。例如,輸入 adobe.com 以允許所有來自 adobe.com 的安裝。
  6. 按一下新增

「瀏覽器控制項」工作區域中的「網站」標籤會顯示新 Web 安裝的名稱。

新增 Web 安裝 (進階設定)

  1. 瀏覽至您選取的規則之下的瀏覽器控制項節點。

  2. 在「瀏覽器控制項」功能區中,選取新增項目 > 新增 Web 安裝

    「新增 Web 安裝」對話方塊隨即顯示。

  3. 輸入 Web 安裝的說明名稱。
  4. 若您僅想要允許已簽署控制項,請選取相關的核取方塊。

  5. 請選取使用進階設定

    「進階設定」區段將會啟動。

  6. 輸入安裝程式 URL,例如: http://www.example.com/control.cab
  7. 如有需要,新增額外驗證: 類別 ID、最低版本,以及最高版本
  8. 按一下新增

「瀏覽器控制項」工作區域中的「網站」標籤會顯示新 Web 安裝的名稱。

標準使用者試圖下載並安裝 Adobe Flash Player 是一種相當常見的狀況。而這需要管理權限。當執行嘗試時,要求使用者輸入管理密碼的「使用者帳戶控制」(UAC) 對話方塊隨即顯示。但多數組織並不想提供使用者管理權限。

  1. 選取所需規則的瀏覽器控制項節點。

  2. 在「瀏覽器控制項」功能區中,選取新增項目 > 新增 Web 安裝

    「新增 Web 安裝」對話方塊隨即顯示。

  3. 在「名稱」欄位輸入 Web 安裝的名稱,例如 Adobe Flash
  4. 在「網站 URL」欄位輸入 URL。例如,輸入 adobe.com 即可允許所有來自 adobe.com 的安裝。
  5. 請確保已選取僅允許已簽署的控制項選項

  6. 按一下新增

    「瀏覽器控制項」工作區域中的「網站」標籤會顯示新 Web 安裝的名稱。

  7. 請確保已在「網站」索引標籤的「原則」欄內選取預設的內建提高權限原則。
  8. 儲存組態。允許所有已簽署且來自指定網站的下載。

除上述程序外,還需要考量其他可設定項目。例如,您需要允許執行 ActiveX 檔案的 ActiveX 安裝,以及任何控制項呼叫的可執行檔案。您需要考慮處理序規則、受信任廠商、任何數位憑證、允許的項目、提升的項目等等。

片段

片段讓 應用程式控制 能夠將部分組態匯入及合併至控制台內目前開啟的組態之中。

這對 Web 安裝來說特別有用,因為除了建立組態的 Web 安裝部分外,同時還需要考量其他多個可設定項目。這些包括了處理序規則、允許的項目、受信任廠商、任何數位憑證、提高權限的項目等等。

從 Ivanti 社群下載近期片段

  1. 選取規則。

  2. 在「瀏覽器控制項」功能區中,選取匯入片段

    「匯入片段」對話方塊隨即顯示。

  3. 按一下對話方塊中的 Ivanti 社群連結。

    最新的片段隨即顯示。

  4. 選取片段並將其儲存至 C:\Program Files\AppSense\Application Manager\Console\Snippets。此為預設位置。

    現在於「匯入片段」對話方塊內已可看見該片段。

  5. 選取片段並按一下新增

  6. 若要檢視片段所包含的內容,請按一下檢視將要新增至組態的項目連結。

    組態報告隨即顯示。

  7. 按一下繼續

片段隨即匯入,而且您可以在控制台中不同節點內檢視項目。

已提升權限的網站

此功能僅支援 32 位元版本的 Internet Explorer (8、9、10 和 11) 和 Chrome。

「已提高權限的網站」功能允許您定義在個別安全但提高權限的 Internet Explorer 執行個體中開啟的特定 URL。提高權限後使用者便會獲得管理權限,可允許他們安裝並執行像是特定於站點的額外軟體或 ActiveX 控制項等元件。

在設定此功能之前,您必須針對每個端點使用「網際網路選項」來啟用第三方瀏覽器擴充功能,或透過「群組原則」進行套用。

建議您,僅將此功能用於需要提高權限以執行內容 (像是診斷工具或包含管理員核准軟體之受限制入口網站) 的網站。

針對可能允許使用者取得對您網路構成潛在安全性風險之軟體的網站 (如快顯視窗、搜尋列或外部連結),您不應提高其權限。

  1. 選取您所選群組之下的瀏覽器控制項節點。
  2. 選取「瀏覽器控制項」功能區。

  3. 按一下新增項目並選取新增已提高權限的網站

    「新增已提高權限的網站」對話方塊隨即顯示。

  4. 輸入有意義的說明供您參考之用。

  5. 在「網站 URL」欄位中輸入網址。

    您可以使用規則運算式定義網站。若要使用此功能,請選取使用規則運算式並輸入網站 URL 準則。例如,https://.+\.com$ 可提高任何具有 .com 副檔名之安全網站的權限,並將該網站重新導向 - 例如 https://www.cisco.com,但不會提高 http://www.cisco.com 的權限及將其重新導向

    如需詳細資訊,請參閱萬用字元和規則運算式

  6. 按一下新增
  7. 儲存 AAMP 檔案。

相關主題

規則類型

規則項目

允許的項目

拒絕的項目

受信任廠商

使用者權限規則

進階設定

規則分析器