Configuratie-instellingen
U kunt berichtinstellingen en geavanceerde instellingen definiëren op basis van de configuratie.
Berichtinstellingen
Berichtinstellingen worden gebruikt voor het definiëren van de manier waarop berichtvakken worden weergegeven voor gebruikers en om de inhoud van berichten op te geven wanneer gebruikers proberen toepassingen te starten in lijn met de configuratieregels.
U kunt de volgende gebruikersberichten definiëren:
- Toegang geweigerd: definieer het bericht dat verschijnt wanneer het uitvoeren van een toepassing wordt geweigerd.
U kunt dit bericht dat wordt weergegeven voor de gebruiker op basis van een item van de regel Weigeren, uitschakelen in het paneel Instellingen regelitem > tabblad Eigenschappen > sectie Opties.
- Vragen om benodigde bevoegdheden: definieer de berichten die verschijnen wanneer hogere rechten vereist zijn voor het uitvoeren van een toepassing:
- Definieer het bericht dat verschijnt wanneer hogere rechten vereist zijn voor het uitvoeren van een toepassing.
Deze berichtprompt kan worden ingeschakeld per verhoogd regelitem in het paneel Instellingen regelitem > tabblad Eigenschappen > sectie Beleid. - Definieer het bericht dat verschijnt wanneer hogere rechten vereist zijn en een reden moet worden opgegeven voor het uitvoeren van een toepassing.
Deze berichtprompt kan worden ingeschakeld per verhoogd regelitem in het paneel Instellingen regelitem > tabblad Eigenschappen > sectie Beleid.
- Definieer het bericht dat verschijnt wanneer hogere rechten vereist zijn voor het uitvoeren van een toepassing.
Definieer het volgende voor elke type bericht:
- Bijschrift: de tekst die moet worden weergegeven bovenaan in het bericht. U kunt bijvoorbeeld het standaard bijschrift App Control wijzigen, zodat de gebruiker zich niet bewust is dat App Control is tussengekomen.
- Banner: voer de tekst in die moet worden weergegeven in de gekleurde banner. Om de gekleurde banner te verwijderen uit het berichtenvenster, wist u dit veld gewoon zodat het leeg blijft.
- Inhoud bericht: voer de tekst in die moet worden weergegeven in de inhoud van het bericht.
- Breedte: geef de breedte op van het berichtdialoogvenster. De breedte wordt gemeten in pixels en is van toepassing op alle berichten.
- Hoogte: geef de hoogte op van het berichtdialoogvenster. De hoogte wordt gemeten in pixels en is van toepassing op alle berichten.
Berichtentips
Overweeg het volgende wanneer u berichten configureert:
- Omgevingsvariabelen worden ondersteund voor het bijschrift, de banner en het bericht.
- Wanneer u hyperlinks gebruikt in de inhoud van het bericht, moet het volledige HREF-attribuutlabel worden ingevoerd.
- Als er kleiner dan- of groter dan-tekens moeten worden weergegeven in de inhoud van het bericht, gebruikt u respectievelijk < en >. JavaScript wordt niet ondersteund.
Berichtenvenster omgevingsvariabelen
Berichten ondersteunen omgevingsvariabelen voor Systeem en Gebruiker evenals de volgende door App Control gedefinieerde variabelen:
|
Omgevingsvariabele |
Beschrijving |
|---|---|
| %ExecutableName% | De naam van de geweigerde toepassing. |
| %FullPathName% | Het volledige pad van de geweigerde toepassing. |
| %DirectoryName% | De map waar de geweigerde toepassing zich bevindt. |
| %NetworkLocation% | Het omgezette IP-adres van de opgegeven hostnaam. |
| %AC_Hash% | De bestandshash. |
| %AC_FileSize% | De grootte van het bestand. |
|
%AC_ProductVersion% |
De versie van het product. |
|
%AC_FileVersion% |
De versie van het bestand. |
| %AC_ProductName% |
De naam van het product. |
| %AC_CompanyName% |
De naam van het bedrijf |
| %AC_Vendor% |
De naam van de ondertekenaar van het certificaat. |
| %AC_FileDescription% |
De beschrijving van het bestand. |
| %AC_ParentProcess% |
De naam van het proces dat het heeft gestart. |
| %AC_DecidingRule% |
De naam van de regel Toestaan in de App Control-configuratie. |
| %AC_FileOwner% |
De eigenaar van het bestand. |
| %AC_ClientName% |
De naam van het aansluitende apparaat. |
|
%AC_PortNumber% |
De naam van de netwerkpoort, alleen indien van toepassing. Als het poortnummer niet 0 is, wordt het weergegeven aan het einde van het geblokkeerde IP-adres. |
Geavanceerde instellingen
Beleidsinstellingen
Configureer algemene, validatie- en functionele beleidsinstellingen die op alle uitvoeringsaanvragen van de toepassing moeten worden toegepast.
Algemene functies
- Bestanden op netwerkshares weigeren: de configuratiestandaard voor networkshares is alles weigeren, tenzij dit is opgegeven in een regel voor Toestaan. Wanneer deze instelling is uitgeschakeld, is alles op de netwerkshare toegestaan tenzij de controle op vertrouwd eigendom is mislukt of als dit is opgegeven in een regel voor Weigeren.
Validatie
- MSI-pakketten (Windows Installer) valideren: MSI-bestanden zijn de standaardmethode voor het installeren van Windows-toepassingen. Het is aanbevolen dat de gebruiker geen toestemming heeft om MSI-toepassingen vrij te installeren.
Wanneer dit is ingeschakeld, wordt de standaardinstelling voor het uitvoeren van msiexec.exe geweigerd en zijn alle MSI's onderworpen aan de regelvalidatie.
Wanneer deze instelling is uitgeschakeld, wordt msiexec.exe niet geblokkeerd en mogen MSI-bestanden worden uitgevoerd, onderworpen aan regelvalidatie. - PowerShell-scripts valideren: indien dit is ingeschakeld, wordt het uitvoeren van powershell.exe en powershell_ise.exe geweigerd. Als er echter een PowerShell-script (PS1 file) is gevonden op de opdrachtregel, wordt dit onderworpen aan een regelvalidatie.
Wanneer dit is uitgeschakeld, wordt de standardinstelling, powershell.exe en powershell.ise.exe niet langer geblokkeerd, en worden de PS1-bestanden niet langer onderworpen aan regelvalidatie.- -Command blokkeren: als dit is ingeschakeld, wordt de standaardinstelling dat alle PowerShell-opdrachtregels die -Command bevatten worden geblokkeerd.
Om het beveiligingsniveau te wijzigen, kunt u de selectie van deze optie opheffen om het blokkeren van -Command uit te schakelen.
Voorbeeld: Klik in Verkenner met de rechtermuisknop op een PS1-bestand en selecteer dan Uitvoeren met PowerShell. Verkenner voegt -Command automatisch toe om een query uit te voeren voor het huidige uitvoeringsbeleid en vraagt de gebruiker om hen te vragen of ze dit willen wijzigen. Als u wilt dat App Control PS1-bestanden die op deze manier worden uitgevoerd, te evalueren, moet u ze niet gewoon blokkeren, maar schakelt u de optie -Command blokkeren uit.Denk eraan dat, indien dit is uitgeschakeld, elk door PS1 vertrouwd bestand kan worden gewijzigd met boosaardige code die wordt ingevoegd via een -Command-argument en zal worden uitgevoerd omdat het bestand zelf wordt vertrouwd.
- -Command blokkeren: als dit is ingeschakeld, wordt de standaardinstelling dat alle PowerShell-opdrachtregels die -Command bevatten worden geblokkeerd.
- CMD voor batchbestanden toestaan: er wordt verwacht dat beheerders cmd.exe uitdrukkelijk zullen verbieden in hun App Control-configuratie.
Als dit is ingeschakeld, zal de standaardinstelling cmd.exe mogen worden uitgevoerd. Als een regel uitdrukkelijk cmd.exe weigert, dan zal cmd.exe niet alleen mogen worden uitgevoerd, maar zullen batchbestanden worden uitgevoerd, onderworpen aan de regelvalidatie.
Wanneer deze instelling is uitgeschakeld, mag cmd.exe niet worden uitgevoerd en mogen alle batchbestanden worden uitgevoerd. Als een regel uitdrukkelijk cmd.exe weigert, worden alle batchbestanden geblokkeerd en worden ze zelfs niet geëvalueerd. - WSH-script (Windows Script Host) valideren: scripts kunnen virussen en boosaardige code introduceren. Het is daarom aanbevolen WSH-scripts te valideren.
Als dit is ingeschakeld, worden de standaardinstelling, cscript.exe en wscript.exe geweigerd. Het uitvoeren van js- of vb-scripts zijn echter onderworpen aan regelvalidatie.
Wanneer deze instelling is uitgeschakeld, worden cscript.exe en wscript.exe niet langer standaard geblokkeerd en worden de js- of vb-scripts niet langer onderworpen aan de regelvalidatie. - Registerbestanden valideren: als dit is ingeschakeld, worden de standaardinstelling, regedit.exe en regini.exe geweigerd. Het uitvoeren van een .reg-script is onderworpen aan regelvalidatie.
Wanneer deze instelling is uitgeschakeld, worden regedit.exe en regini.exe niet langer standaard geblokkeerd. Daarnaast worden de .reg-scripts niet langer onderworpen aan regelvalidatie. - Java-archieven valideren: als dit is ingeschakeld, worden de standaardinstelling, java.exe en javaw.exe geweigerd. Als er echter een Java-archief (JAR-bestand) is gevonden op de opdrachtregel, wordt dit onderworpen aan een regelvalidatie.
Wanneer deze instelling is uitgeschakeld, worden java.exe en javaw.exe niet langer standaard geblokkeerd en worden de JAR-bestanden niet langer onderworpen aan de regelvalidatie.
Functionaliteit
- Toegangsbeheer toepassing inschakelen: als dit is ingeschakeld, wordt toegangsbeheer afgedwongen door de weigeringsregels voor de configuratie.
Wanneer deze instelling is uitgeschakeld, worden alle weigeringsregels genegeerd, wordt geen toegang tot de toepassing geweigerd. Alles is dus toegestaan. - Beheer gebruikersbevoegdheden inschakelen: als dit is ingeschakeld, worden gebruikersbevoegdheden bepaald door de uitbreidingsregels van de configuratie.
Wanneer deze instelling is uitgeschakeld, worden alle uitbreidingsregels genegeerd en is er geen uitbreiding van de toepassing toegestaan.
Aangepaste instellingen
Configureer aanvullende instellingen die u wilt toepassen op beheerde eindpunten:
- Driver Hook-uitsluitingen: selecteer dit om driver hooks uit te sluiten bij het uitvoeren van App Control. App Control injecteert een DLL in alle lopende processen om het te helpen het gedrag van een proces te onderscheppen en te wijzigen, zoals toestaan of verhogen. Deze uitsluiting betekent dat de App Control-DLL niet zal worden geïnjecteerd.
Voer de bestandsnamen in om de lijst van driver hook-uitsluiingen te maken. Gebruik een puntkomma om de bestandsnamen te scheiden.
Deze aangepaste instelling mag alleen worden gebruikt onder de begeleiding van de technische ondersteuning van Ivanti.
- Uitsluitingen App Control-stuurprogramma: selecteer dit om het App Control-stuurprogramma uit te sluiten van het onderscheppen van de startaanvraag van het proces voor de specifieke weergegeven processen. App Control heeft een stuurprogramma dat het starten van een proces verhindert tot de controles zijn uitgevoerd, zoals het afstemmen van de regel of de vertrouwde eigendom.Deze uitsluiting verhindert dat het stuurprogramma het startverzoek onderschept.
Voer de bestandsnamen in om de lijst van uitsluitingen van stuurprogramma's te filteren. Gebruik een puntkomma of een spatie als scheidingsteken om de bestandsnamen te scheiden.Deze instelling vereist het opnieuw opstarten van een agent.
- Bericht weergeven voor geblokkeerde DLL's: selecteer dit om het bericht voor weigering van App Control-toegang weer te geven wanneer een DLL is geblokkeerd.
- Bescherming configuratiebestand: selecteer dit om te verhinderen dat gebruikers en beheerders het configuratiebestand van App Control op het eindpunt lezen, kopiëren, bewerken en verwijderen.
Controle-instellingen
Configureer de algemene instellingen voor controles.
App Control-gebeurtenissen naar het lokale gebeurtenissenlogboek van de toepassing sturen: selecteer dit om het controleren van App Control in te schakelen. Alle App Control-gebeurtenissen zullen worden vastgelegd in het lokale Windows-toepassingsgebeurtenislogboek.
| Gebeurtenis-id | Naam | Beschrijving |
|---|---|---|
| 9018 | Gebruikersbevoegdheden toepassing gewijzigd | De gebruikersbevoegdheden van de toepassing zijn gewijzigd. |
| 9060 | Geweigerde uitvoering (vertrouwde eigendom) | Aanvraag geweigerde uitvoering (vertrouwde eigendom) |
| 9061 | Geweigerde uitvoering (regelbeleid) | Aanvraag geweigerde uitvoering (regelbeleid) |
| 9062 | Toepassing gestart uitgebreid | Er is een toepassing gestart met uitgebreide rechten (volledige beheerdersrechten) |