應用程式控制 的新功能?
2020.3 版
除了程式碼增強功能以及錯誤修正外,還包括以下功能:
允許自我提高權限的自訂權杖
應用程式控制 目前已針對自我提高權限時使用的存取權杖提供更加全面的控制。管理員可定義自訂權杖,而且這些權杖也可以在「自我提高權限選項」對話方塊中選擇。如需詳細資訊,請參閱自我提高權限。
提高應用程式權限時的可設定提示
可設定檔案、資料夾、簽章和群組的規則項目,以在提高應用程式權限之前提示使用者。這可讓使用者選擇要執行提高權限的應用程式 (或項目) 或正常執行。如需詳細資訊,請參閱規則項目。
基於稽核目的,建議提示使用者提供提高權限的理由。監控稽核事件可讓管理員輕鬆地區分自動提高權限和使用者啟動的提高權限。
中完整性等級自訂權杖
管理員現在可以設定自訂權杖以中完整性等級執行。如需詳細資訊,請參閱使用者權限。
規則分析器增強功能
應用程式控制 規則分析器現在已包含可篩選出檔案覆寫和重新命名要求的核取方塊。規則分析器要求摘要檢視包含類型欄位值。此欄位值可讓您對於要求的類型 (或類別) 一目了然,分析師也不再需要開啟及檢閱個別要求來檢視結果。如需詳細資訊,請參閱規則分析器。
除了程式碼增強功能以及錯誤修正外,還包括以下功能:
UAC 替代項目
UAC 替代項目功能補足了 應用程式控制 內現有的「自我提高權限」功能。當開啟 UAC 替代項目時,標準 Windows UAC 提高權限指示會替換為可設定的 應用程式控制 同意對話方塊。這適用於應用程式是從開始功能表、檔案總管、桌面或命令提示字元等啟動的情況。
如需詳細資訊,請參閱 UAC 替代項目。
2020.2 全域樣式更新
2020.2 版引入了預設全域樣式的設計更新。新的樣式採用了較大的訊息方塊格式來容納更為詳盡的資訊;而且預設訊息已不再使用標誌,取而代之的是以色彩標示的橫幅。
該更新具備回溯相容性,讓您可以繼續使用先前的經典樣式,或可依需要套用樣式更新至現有組態。
如需詳細資訊,請參閱訊息設定。
新的受信任所有者禁止的事件
已新增兩個額外的事件 ID: 9060 和 9061。預設情況下,這兩個事件皆會停用。它們能讓組織在必要的情況下區分遭受信任擁有權禁止的執行要求,以及遭規則原則明確禁止的執行要求。
如需詳細資訊,請參閱稽核。
新的管理員處理序已開始事件
已新增另一個事件以識別使用完整管理員權限啟動的處理序。ID 9062 在識別 (然後評估) 需要的已提高權限時很有用。
如需詳細資訊,請參閱稽核。
Edge 支援 URL 重新導向
現已支援新版 Microsoft Edge (Chromium) 瀏覽器。
如需詳細資訊,請參閱瀏覽器控制項。
啟動 Windows 10 應用程式與功能
指派的權限適用於 「Windows 10 設定應用程式與功能」檢視。
如需詳細資訊,請參閱系統控制項。
更輕鬆地存取進一步資訊
除了這個線上說明系統外,Ivanti 還以線上文件、說明視訊及精選社群文章等形式,提供豐富的支援資訊。在 2020.2 版中,我們將這些資源整理到一個摘要表格中,並透過發行說明以及線上說明登陸頁面的形式提供。
除了程式碼增強功能以及錯誤修正外,還包括以下功能:
當地語系化
應用程式控制 2020.1 版本已經過本地化處理,現在可以支援下列 5 種語言:
•英文
•德文
•日文
•簡體中文
•繁體中文
所需的語言設定選項已在 User Workspace Manager 內的語言設定說明主題中詳述。
搜尋組態
隨著群組和規則集的新增,組態的大小可能會變得相當龐大。為了幫助您瀏覽,您可以進行文字搜尋來找出所需項目設定在組態中的位置。
如需詳細資訊,請參閱維護組態
Microsoft Windows Server 2019 支援
管理伺服器、控制台、授權控制台和代理程式元件均與 Microsoft Windows Server 2019 相容。
如需有關支援軟體的詳細資訊,請參閱維護的平台列表。
新增群組至處理序規則
您現在可以選擇新增資料夾和群組至處理序規則。此功能可讓操作變得非常便捷,因為能夠更新一個群組內的所有規則,而不必個別處理每個規則。
如需詳細資訊,請參閱處理序規則
個別項目稽核支援至程式庫
可以忽略群組事件篩選的新選項。此選項可以記錄每個群組項目執行個體的事件,所以如果某一群組用於多個地點,則每個執行個體都會有獨立的設定。此設定會覆寫任何已設定的事件篩選。
讓使用者可存取網路共用
可拒絕網路共用上的檔案的新預設設定。如果要允許檔案存取,您可以取消選取該選項,或是新增特定項目至「允許」清單。
如需詳細資訊,請參閱進階設定
規則分析器指令列資訊
「規則分析器」結果中包含的允許、拒絕和提高之可執行檔案的指令列引數。此功能便於疑難排解和建立目標規則。
原則變更要求
「原則變更要求」相容性的變更代表 應用程式控制 代理程式和 應用程式控制 Web 服務的版本必須相同。
無提示封鎖可執行檔案
規則建立上的新選項: 遭到拒絕時,不要顯示存取遭拒訊息。這能讓管理員特意封鎖某些可執行檔案並執行「無提示拒絕」,以便讓一般使用者不會收到拒絕存取的訊息。
如需詳細資訊,請參閱拒絕的項目
停用群組內的規則項目
可停用規則的新右鍵選項,對於疑難排解問題十分有用,而且可避免管理員不得不移除規則的情況發生。該選項可在停用與啟用之間切換,這樣便可輕易地重新啟用規則。
自助授權項目的受信任 DLL
在您自助授權應用程式 exe 時,現在會自動授權所有後續子 DLL。鑑於 應用程式控制 過往版本中需針對各個 DLL 進行自助授權而經常導致應用程式損毀,現在只需按一下就能完成自助授權作業。
如需詳細資訊,請參閱規則
訊息方塊網路連接埠變數
現在網路連接埠號碼會在「已封鎖連接埠」訊息方塊 (如適用) 內顯示。這對疑難排解問題而言十分有用。
如需詳細資訊,請參閱訊息設定
忽略根據規則項目的事件篩選
新選項已新增至忽略事件篩選。當為特定規則選取此選項時,其表示若在「稽核」對話方塊上選取了事件 ID,則無論事件篩選設定為何,均會為此規則引發此事件。所以即便並未選取任何檔案類型,仍將為此規則引發事件。
BitLocker 元件支援暫停/繼續
已新增新選項至使用者權限 > 元件,所以您現在可以「停用」或「暫停」BitLocker,而且已擴充「啟用」選項以加入「繼續」功能。這樣可提供針對 BitLocker 元件更為精細的控制。
如需詳細資訊,請參閱使用者權限控制的元件
URL 重新導向白名單
URL 重新導向功能在使用者試圖存取特定 URL 時用於自動將其重新導向。透過定義禁止的 URL 清單,您能將任何試圖存取所列 URL 的使用者重新導向至預設警告頁面或自訂網頁。
此功能已在 10.1 FR3 中加強,能將特定 URL 加入白名單以解決下列使用情況:
- 控制單一網域內的存取 - 可在禁止存取某網域的同時,允許存取其部分子網域。例如,您可以拒絕存取 www.company.com,同時允許存取 www.company.com/resources。
- 實作白名單方法以控制貴組織的網際網路存取。藉由建立禁止存取所有網站的重新導向,您可以新增項目以允許存取您希望為員工提供的網站。
如需關於此功能的詳細資訊,請參閱 URL 重新導向。
已去除 255 個字元訊息限制
針對用於對一般使用者顯示之訊息的 255 個字元訊息限制已經去除。
在「應用程式控制項控制台」內的「訊息設定」和「應用程式終止」對話方塊中,管理員可設定對一般使用者顯示之不同訊息類型的文字。在 10.1 FR2 及先前發行版本中,此文字有 255 個字元上限。在此發行版本中,已將該限制去除,因此可在訊息內包含更多資訊。
如需詳細資訊,請參閱訊息設定。
針對「應用程式遭拒」訊息方塊內其他環境變數的支援
可在「應用程式遭拒」訊息方塊內顯示其他環境變數。從 10.1 FR3 開始,包含在「應用程式遭拒」記錄內的所有資訊均可使用。
如需詳細資訊,請參閱拒絕存取。
自訂條件內的 PowerShell 指令碼
除了 VBScript 和 JScript 外,現在已可在「自訂條件」內建立及使用 PowerShell 指令碼。
如需詳細資訊,請參閱已編寫指令碼的條件。
使用者權限管理之已提高權限子處理序的稽核
稽核記錄現可擷取已提高權限子處理序的詳細資訊。如果在組態內選取了套用至子處理序選項,則在主處理序提高權限後,該提高權限也會套用至任何子處理序上。不過,在 10.1 FR2 及先前版本內並沒有這些子處理序的稽核,因此缺乏相關活動的可見性。10.1 FR3 稽核記錄現可擷取主處理序及任何子處理序的詳細資訊,藉此提供更高的稽核可見性。
此發行版本沒有新功能。
控制台重新品牌化與重新命名
為反映新公司名稱 Ivanti,已更新「應用程式管理員控制台」- 請參閱這裡以取得更多詳細資訊。除了將 AppSense 更改為 Ivanti 的商標變更外,「應用程式管理員」自此發行版本開始已改名為「應用程式控制項」。
「應用程式控制項」控制台連同端點上的元件均已更新以反映這些變化。
您可能會在某些區域 (如登錄或服務) 內仍可看到 AppSense 應用程式管理員的名稱出現。此舉是為了盡可能地避免本轉換作業對「應用程式控制項」現有使用者造成中斷情況。
圖示翻新
在版本 10 中,User Workspace Manager 控制台的設計已有重大變更,我們聽取了各方寶貴意見並透過翻新及更新「應用程式控制項」控制台內所使用之某些圖示的方式,在控制台內增添新風貌。
已擴充的稽核記錄
已擴充 應用程式控制 事件記錄以加入下列內容:
- 使用者停止及啟動服務的新事件
- 現已在 9000 事件中包括父處理序名稱
- 現已在 9000 事件中包括檔案所有者
- 現已在事件中包括決定規則
如需關於 應用程式控制 稽核的詳細資訊,請參閱稽核。
Windows 作業系統條件
Microsoft 更新模型目前使用內部版本號碼來識別功能版本及 Service Pack。在您建立電腦作業系統規則時,可以指定及設定目標內部版本號碼以符合輸入的特定內部版本號碼,或將其用來做為最大或最小組建發行版本。
如需詳細資訊,請參閱電腦條件。
擴充的中繼資料與數位憑證檢查
當使用中繼資料驗證檔案時,管理員可以比對完整憑證來判斷檔案的真偽,以及是否可以信任該中繼資料。該項功能還包括即時憑證驗證,能以選取不同組合或驗證設定的方式協助您診斷任何問題。在配置該設定時,憑證狀態隨即更新。
自我提高權限增強功能
已擴充自我提高權限以支援所有檔案類型。管理員還能指定,僅於透過某些應用程式開啟檔案時才能提高某些副檔名的權限。例如,您可以指定僅使用 wscript.exe 時才能提高 VBS 檔案的權限。
如需詳細資訊,請參閱自我提高權限。
指令列對應
現在 應用程式控制 不僅可依據目前啟動的應用程式,還可以依據任何指令列引數來套用規則。若用不到存取應用程式的完整權限,但有特定使用者需要在某些條件下啟動某些檔案或執行應用程式時,這將會非常有用。可為「檔案」和「簽章」規則項目新增指令列引數。
此功能也加入了兩項新的進階設定 - 驗證 PowerShell 指令碼和驗證 Java 封存。在開啟這些設定時,便會封鎖 powershell.exe、powershell_ise.exe 和 java(w).exe 而且 PS1 及 JAR 檔案將會進行受信任擁有權檢查。接著可將特定檔案新增至不需受信任所有者的規則中。將 powershell.exe 或 java(w).exe 新增至規則,藉此允許特定使用者使用,同時阻止所有其他使用者使用這些項目。例如,您可能需要允許開發人員使用 powershell.exe,這樣他們才能啟動任何 PowerShell 指令碼。
處理序保護
已擴充 應用程式控制 的「系統控制項」功能以加入處理序保護。使用此項增強功能,就能防止所有使用者 (包括管理員) 終止特定處理序 (如防毒軟體)。
如需詳細資訊,請參閱系統控制項。
增強的 Windows 市集應用程式支援
已針對 Windows 市集應用程式加入進一步的支援。可依據應用程式發行者來封鎖或允許應用程式。針對側載的應用程式使用發行者,即表示可以控制多個應用程式。這樣就可以針對所有市集應用程式設定限制,同時允許依組織或 IT 部門側載這些項目。
如需詳細資訊,請參閱規則項目。
根據規則的原則變更要求
管理員可根據規則基礎啟用「原則變更要求」功能。這樣可讓不同使用者或使用者群組,以不同方式設定變更要求的類型與可用的要求方法。該功能有一部分仍保持全域通用,例如指定電子郵件地址和共用金鑰。
如需詳細資訊,請參閱原則變更要求。