Impostazioni configurazione
È possibile definire le impostazioni dei messaggi e le impostazioni avanzate in base alla configurazione.
Impostazioni messaggio
Le impostazioni dei messaggi vengono utilizzate per definire il modo in cui le caselle di messaggio vengono visualizzate dagli utenti e per specificare il contenuto dei messaggi quando gli utenti tentano di avviare le applicazioni, in linea con le regole di configurazione.
È possibile definire i seguenti messaggi utente:
- Accesso negato: definisce il messaggio che viene visualizzato quando l'esecuzione di un'applicazione è negata.
È possibile disattivare la visualizzazione di questo messaggio all'utente per ogni voce della regola di negazione, nel pannello Impostazioni elemento regola > scheda Proprietà > sezione Opzioni.
- Prompt di elevazione: definisce i messaggi che vengono visualizzati quando sono richiesti diritti elevati per eseguire un'applicazione:
- Definisce il messaggio che viene visualizzato quando sono necessari diritti elevati per eseguire un'applicazione.
Questa richiesta di messaggio può essere attivata per ogni elemento della regola di elevazione nel pannello Impostazioni elemento regola > scheda Proprietà > sezione Criterio. - Definisce il messaggio che viene visualizzato quando sono richiesti diritti elevati e deve essere fornito un motivo per eseguire un'applicazione.
Questa richiesta di messaggio può essere attivata per ogni elemento della regola di elevazione nel pannello Impostazioni elemento regola > scheda Proprietà > sezione Criterio.
- Definisce il messaggio che viene visualizzato quando sono necessari diritti elevati per eseguire un'applicazione.
Per ogni tipo di messaggio, definire quanto segue:
- Didascalia: il testo da visualizzare nella parte superiore del messaggio. Ad esempio, è possibile modificare la didascalia predefinita: App Control, in modo che l'utente non sappia che App Control è intervenuto.
- Banner: inserire il testo da visualizzare nel banner colorato. Per rimuovere il banner colorato dalla casella dei messaggi, deselezionare questo campo in modo che rimanga vuoto.
- Corpo messaggio: inserire il testo da visualizzare nel corpo del messaggio.
- Larghezza: specificare la larghezza della finestra di dialogo dei messaggi. La larghezza è misurata in pixel e si applica a tutti i messaggi.
- Altezza: specificare l'altezza della finestra di dialogo dei messaggi. L'altezza è misurata in pixel e si applica a tutti i messaggi.
Suggerimenti per i messaggi
Quando si configurano i messaggi, tenere presente quanto segue:
- Le variabili d'ambiente sono supportate per la didascalia, il banner e il messaggio.
- Quando si utilizzano collegamenti ipertestuali nel corpo del messaggio, è necessario inserire il tag completo dell'attributo HREF.
- Se nel corpo del messaggio devono essere visualizzate le parentesi angolari minore o maggiore, utilizzare rispettivamente lt e gt. JavaScript non è supportato.
Variabili d'ambiente della casella messaggi
I messaggi supportano le variabili d'ambiente Sistema e Utente e le seguenti variabili definite da App Control:
|
Variabili d'ambiente |
Descrizione |
|---|---|
| %ExecutableName% | Il nome dell'applicazione negata. |
| %FullPathName% | Il percorso completo dell'applicazione negata. |
| %DirectoryName% | La directory in cui si trova l'applicazione negata. |
| %NetworkLocation% | L'indirizzo IP risolto del nome host indicato. |
| %AC_Hash% | L'hash del file. |
| %AC_FileSize% | La dimensione del file. |
|
%AC_ProductVersion% |
La versione del prodotto. |
|
%AC_FileVersion% |
La versione del file. |
| %AC_ProductName% |
Il nome del prodotto. |
| %AC_CompanyName% |
Il nome dell'azienda. |
| %AC_Vendor% |
Il nome del firmatario del certificato. |
| %AC_FileDescription% |
La descrizione del file. |
| %AC_ParentProcess% |
Il nome del processo che lo ha avviato. |
| %AC_DecidingRule% |
Il nome della regola di autorizzazione nella configurazione di App Control. |
| %AC_FileOwner% |
Il proprietario del file. |
| %AC_ClientName% |
Il nome del dispositivo di connessione. |
|
%AC_PortNumber% |
Il nome della porta di rete, solo se applicabile. Se il numero di porta non è 0, verrà visualizzato alla fine dell'indirizzo IP bloccato. |
Impostazioni avanzate
Impostazioni criterio
Configurare le impostazioni dei criteri generali, di convalida e di funzionalità da applicare a tutte le richieste di esecuzione delle applicazioni.
Caratteristiche generali
- Negare i file sulle condivisioni di rete: la configurazione predefinita per le condivisioni di rete è di negare tutto, a meno che non sia specificato in una regola di autorizzazione. Quando questa impostazione è disattivata, tutto ciò che è presente nella condivisione di rete è consentito, a meno che non superi il controllo della proprietà attendibile o sia specificato in una regola di negazione.
Convalida
- Convalida dei pacchetti MSI (programma di installazione di Windows): i file MSI sono il metodo standard di installazione delle applicazioni Windows. Si raccomanda di non permettere all'utente di installare liberamente le applicazioni MSI.
Quando è abilitato (impostazione predefinita), l'esecuzione di msiexec.exe è negata e tutti gli MSI sono soggetti alla convalida delle regole.
Quando questa impostazione è disattivata, msiexec.exe non viene bloccato e i file MSI possono essere eseguiti, previa convalida delle regole. - Convalida degli script PowerShell: quanto è abilitata, l'esecuzione di powershell.exe e powershell_ise.exe è negata. Tuttavia, se nella riga di comando viene trovato uno script PowerShell (file PS1), questo viene sottoposto alla convalida delle regole.
Se disattivata l'impostazione predefinita, powershell.exe e powershell.ise.exe non vengono più bloccati e i file PS1 non sono più soggetti alla convalida delle regole.- Blocca -Command: quando è abilitata (impostazione predefinita), tutte le righe di comando PowerShell che includono -Command saranno bloccate.
Per modificare il livello di sicurezza, è possibile deselezionare questa opzione, in modo da disabilitare il blocco di -Command.
Esempio: in Esplora file, fare clic con il pulsante destro del mouse su un file PS1 e selezionare Esegui con PowerShell. Esplora risorse aggiunge automaticamente -Command per interrogare il criterio di esecuzione corrente e chiedere all'utente se desidera modificarlo. Affinché App Control valuti i file PS1 eseguiti in questo modo, e non si limiti a bloccarli, disattivare l'opzione Blocca -Command .Tenere presente che quando è disattivato, qualsiasi file attendibile PS1 può essere modificato con codice dannoso inserito tramite un argomento -Command ed eseguito perché il file stesso è considerato attendibile.
- Blocca -Command: quando è abilitata (impostazione predefinita), tutte le righe di comando PowerShell che includono -Command saranno bloccate.
- Consenti CMD per i file batch: si prevede che gli amministratori vietino esplicitamente cmd.exe nella configurazione di App Control.
Quando è abilitato (impostazione predefinita), l'esecuzione di cmd.exe è consentita. Se una regola nega esplicitamente l'esecuzione di cmd.exe, quest'ultimo non potrà essere eseguito da solo, ma i file batch verranno eseguiti in base alla convalida della regola.
Quando questa impostazione è disattivata, cmd.exe non può essere eseguito mentre tutti i file batch potranno essere eseguiti. Se una regola nega esplicitamente cmd.exe, tutti i file batch vengono bloccati e non vengono nemmeno valutati. - Convalida script WSH (Windows Script Host): gli script possono introdurre virus e codice dannoso, pertanto si consiglia di convalidare gli script WSH.
Quando è abilitato (impostazione predefinita), cscript.exe e wscript.exe sono negati. Tuttavia, gli script js o vb in esecuzione sono soggetti alla convalida delle regole.
Quando questa impostazione è disattivata, cscript.exe e wscript.exe non sono più bloccati per impostazione predefinita e gli script js o vb non sono più soggetti alla convalida delle regole. - Convalida dei file del Registro di sistema: quando è abilitato (impostazione predefinita), regedit.exe e regini.exe sono negati. L'esecuzione di uno script .reg è soggetta alla convalida delle regole.
Quando questa impostazione è disattivata, regedit.exe e regini.exe non sono più bloccati per impostazione predefinita. Inoltre, gli script .reg non sono più soggetti alla convalida delle regole. - Convalida archivi Java: quando è abilitato (impostazione predefinita), java.exe e javaw.exe sono negati. Tuttavia, se un archivio Java (file JAR) viene trovato sulla riga di comando, è soggetto alla convalida delle regole.
Quando questa impostazione è disattivata, java.exe e javaw.exe non sono più bloccati per impostazione predefinita e i file JAR non sono più soggetti alla convalida delle regole.
Funzionalità
- Abilita Controllo accesso applicazioni: quando è abilitato, il controllo dell'accesso viene applicato dalle regole di negazione della configurazione.
Quando questa impostazione è disattivata, tutte le regole di negazione vengono ignorate, non viene negato l'accesso ad alcuna applicazione, quindi tutto è consentito. - Abilita la gestione dei privilegi degli utenti: quando è abilitato, i privilegi degli utenti sono determinati dalle regole di elevazione della configurazione.
Quando questa impostazione è disattivata, tutte le regole di elevazione vengono ignorate e non è consentita l'elevazione delle applicazioni.
Impostazioni personalizzate
Configurare impostazioni aggiuntive da applicare agli endpoint gestiti:
- Esclusioni hook driver: selezionare per escludere gli hook driver durante l'esecuzione di App Control. App Control inietta una DLL in tutti i processi in esecuzione per intercettare e modificare il comportamento di un processo, ad esempio per consentire o elevare. Questa esclusione significa che la DLL App Control non verrà iniettata.
Immettere i nomi dei file per creare l'elenco di esclusione degli hook driver; utilizzare un punto e virgola per separare i nomi dei file.
Questa impostazione personalizzata deve essere utilizzata solo sotto la guida dell'assistenza tecnica Ivanti.
- Esclusioni driver di App Control: selezionare per escludere il driver di App Control dall'intercettazione della richiesta di avvio del processo per i processi specifici elencati. App Control dispone di un driver che impedisce l'avvio di un processo fino a quando non sono stati eseguiti i controlli, come la corrispondenza delle regole o la proprietà attendibile. Questa esclusione impedisce al driver di intercettare la richiesta di avvio.
Immettere i nomi dei file per creare l'elenco di esclusione dei driver di filtro; utilizzare un punto e virgola o un delimitatore di spazio per separare i nomi dei file.Questa impostazione richiede il riavvio dell'agente per avere effetto.
- Mostra messaggio per DLL bloccate: selezionare per visualizzare il messaggio di accesso negato di App Control quando una DLL è bloccata.
- Protezione file di configurazione: selezionare per impedire a utenti e amministratori di leggere, copiare, modificare ed eliminare il file di configurazione di App Control sull'endpoint.
Impostazioni di audit
Configurare le impostazioni generali per l'auditing.
Generare gli eventi di App Control nel Registro eventi applicazioni locale: selezionare per abilitare l'auditing di App Control. Tutti gli eventi di App Control verranno acquisiti nel Registro eventi dell'applicazione Windows locale.
| ID evento | Nome | Descrizione |
|---|---|---|
| 9018 | Modifica dei privilegi dell'utente dell'applicazione | I privilegi dell'utente dell'applicazione sono cambiati. |
| 9060 | Esecuzione negata (proprietà attendibile) | Richiesta di esecuzione negata (proprietà attendibile) |
| 9061 | Esecuzione negata (criterio regole) | Richiesta di esecuzione negata (criterio regole) |
| 9062 | Applicazione avviata elevata | Un'applicazione avviata con diritti elevati (amministratore completo) |