Configuratie-instellingen
U kunt berichtinstellingen en geavanceerde instellingen definiëren op basis van de configuratie.
Berichtinstellingen
Berichtinstellingen worden gebruikt voor het definiëren van de manier waarop berichtvakken worden weergegeven voor gebruikers en om de inhoud van berichten op te geven wanneer gebruikers proberen toepassingen te starten in lijn met de configuratieregels.
U kunt de volgende gebruikersberichten definiëren:
- Toegang geweigerd: definieer het bericht dat verschijnt wanneer het uitvoeren van een toepassing wordt geweigerd.
- Vragen om benodigde bevoegdheden: definieer de berichten die verschijnen wanneer hogere rechten vereist zijn voor het uitvoeren van een toepassing:
- Definieer het bericht dat verschijnt wanneer hogere rechten vereist zijn voor het uitvoeren van een toepassing.
Deze berichtprompt kan worden ingeschakeld per verhoogd regelitem in het paneel Instellingen regelitem > tabblad Eigenschappen > sectie Beleid. - Definieer het bericht dat verschijnt wanneer hogere rechten vereist zijn en een reden moet worden opgegeven voor het uitvoeren van een toepassing.
Deze berichtprompt kan worden ingeschakeld per verhoogd regelitem in het paneel Instellingen regelitem > tabblad Eigenschappen > sectie Beleid.
- Definieer het bericht dat verschijnt wanneer hogere rechten vereist zijn voor het uitvoeren van een toepassing.
- Zelfverhogen: definieer het bericht dat een reden vereist wanneer een gebruiker probeert om een item zelf te verhogen.
U kunt dit bericht dat wordt weergegeven voor de gebruiker op basis van een item van de regel Weigeren, uitschakelen in het paneel Instellingen regelitem > tabblad Eigenschappen > sectie Opties.
Definieer het volgende voor elke type bericht:
- Bijschrift: de tekst die moet worden weergegeven bovenaan in het bericht. U kunt bijvoorbeeld het standaard bijschrift App Control wijzigen, zodat de gebruiker zich niet bewust is dat App Control is tussengekomen.
- Banner: voer de tekst in die moet worden weergegeven in de gekleurde banner. Om de gekleurde banner te verwijderen uit het berichtenvenster, wist u dit veld gewoon zodat het leeg blijft.
- Inhoud bericht: voer de tekst in die moet worden weergegeven in de inhoud van het bericht.
- Breedte: geef de breedte op van het berichtdialoogvenster. De breedte wordt gemeten in pixels en is van toepassing op alle berichten.
- Hoogte: geef de hoogte op van het berichtdialoogvenster. De hoogte wordt gemeten in pixels en is van toepassing op alle berichten.
Berichtentips
Overweeg het volgende wanneer u berichten configureert:
- Omgevingsvariabelen worden ondersteund voor het bijschrift, de banner en het bericht.
- Wanneer u hyperlinks gebruikt in de inhoud van het bericht, moet het volledige HREF-attribuutlabel worden ingevoerd.
- Als er kleiner dan- of groter dan-tekens moeten worden weergegeven in de inhoud van het bericht, gebruikt u respectievelijk < en >. JavaScript wordt niet ondersteund.
Berichtenvenster omgevingsvariabelen
Berichten ondersteunen omgevingsvariabelen voor Systeem en Gebruiker evenals de volgende door App Control gedefinieerde variabelen:
|
Omgevingsvariabele |
Beschrijving |
|---|---|
| %ExecutableName% | De naam van de geweigerde toepassing. |
| %FullPathName% | Het volledige pad van de geweigerde toepassing. |
| %DirectoryName% | De map waar de geweigerde toepassing zich bevindt. |
| %NetworkLocation% | Het omgezette IP-adres van de opgegeven hostnaam. |
| %AC_Hash% | De bestandshash. |
| %AC_FileSize% | De grootte van het bestand. |
|
%AC_ProductVersion% |
De versie van het product. |
|
%AC_FileVersion% |
De versie van het bestand. |
| %AC_ProductName% |
De naam van het product. |
| %AC_CompanyName% |
De naam van het bedrijf |
| %AC_Vendor% |
De naam van de ondertekenaar van het certificaat. |
| %AC_FileDescription% |
De beschrijving van het bestand. |
| %AC_ParentProcess% |
De naam van het proces dat het heeft gestart. |
| %AC_DecidingRule% |
De naam van de regel Toestaan in de App Control-configuratie. |
| %AC_FileOwner% |
De eigenaar van het bestand. |
| %AC_ClientName% |
De naam van het aansluitende apparaat. |
|
%AC_PortNumber% |
De naam van de netwerkpoort, alleen indien van toepassing. Als het poortnummer niet 0 is, wordt het weergegeven aan het einde van het geblokkeerde IP-adres. |
Geavanceerde instellingen
Beleidsinstellingen
Configureer algemene, validatie- en functionele beleidsinstellingen die op alle uitvoeringsaanvragen van de toepassing moeten worden toegepast.
Algemene functies
- Bestanden op netwerkshares weigeren: de configuratiestandaard voor networkshares is alles weigeren, tenzij dit is opgegeven in een regel voor Toestaan. Wanneer deze instelling is uitgeschakeld, is alles op de netwerkshare toegestaan tenzij de controle op vertrouwd eigendom is mislukt of als dit is opgegeven in een regel voor Weigeren.
- Beperkingen negeren tijdens Actieve instelling: schakel deze optie in om beperkingen tijdens een actief installatieproces te negeren en de implementatie van de App Control-regels te vertragen.
- Bestanden op verwisselbare media weigeren: schakel deze optie in om aan te geven welke uitvoerbare bestanden zijn toegestaan op verwisselbare apparaten door ze expliciet toe te voegen aan regels. Zo wordt ervoor gezorgd dat alleen geautoriseerde toepassingen mogen worden uitgevoerd. Als deze optie is uitgeschakeld, kunnen beheerders regels maken waarin wordt aangegeven welke bestanden mogen worden uitgevoerd.
- Beperkingen negeren tijdens aanmelden: schakel deze optie in om beperkingen bij het aanmelden te negeren en de implementatie van App Control-regels uit te stellen totdat het aanmelden is voltooid zodat verstoringen of onderbrekingen van het aanmeldingsproces worden voorkomen. Met deze optie kunnen aanmeldingsscripts worden uitgevoerd.
Validatie
- MSI-pakketten (Windows Installer) valideren: MSI-bestanden zijn de standaardmethode voor het installeren van Windows-toepassingen. Het is aanbevolen dat de gebruiker geen toestemming heeft om MSI-toepassingen vrij te installeren.
Wanneer dit is ingeschakeld, wordt de standaardinstelling voor het uitvoeren van msiexec.exe geweigerd en zijn alle MSI's onderworpen aan de regelvalidatie.
Wanneer deze instelling is uitgeschakeld, wordt msiexec.exe niet geblokkeerd en mogen MSI-bestanden worden uitgevoerd, onderworpen aan regelvalidatie. - PowerShell-scripts valideren: indien dit is ingeschakeld, wordt het uitvoeren van powershell.exe en powershell_ise.exe geweigerd. Als er echter een PowerShell-script (PS1 file) is gevonden op de opdrachtregel, wordt dit onderworpen aan een regelvalidatie.
Wanneer dit is uitgeschakeld, wordt de standardinstelling, powershell.exe en powershell.ise.exe niet langer geblokkeerd, en worden de PS1-bestanden niet langer onderworpen aan regelvalidatie.- -Command blokkeren: als dit is ingeschakeld, wordt de standaardinstelling dat alle PowerShell-opdrachtregels die -Command bevatten worden geblokkeerd.
Om het beveiligingsniveau te wijzigen, kunt u de selectie van deze optie opheffen om het blokkeren van -Command uit te schakelen.
Voorbeeld: Klik in Verkenner met de rechtermuisknop op een PS1-bestand en selecteer dan Uitvoeren met PowerShell. Verkenner voegt -Command automatisch toe om een query uit te voeren voor het huidige uitvoeringsbeleid en vraagt de gebruiker om hen te vragen of ze dit willen wijzigen. Als u wilt dat App Control PS1-bestanden die op deze manier worden uitgevoerd, te evalueren, moet u ze niet gewoon blokkeren, maar schakelt u de optie -Command blokkeren uit.Denk eraan dat, indien dit is uitgeschakeld, elk door PS1 vertrouwd bestand kan worden gewijzigd met boosaardige code die wordt ingevoegd via een -Command-argument en zal worden uitgevoerd omdat het bestand zelf wordt vertrouwd.
- -Command blokkeren: als dit is ingeschakeld, wordt de standaardinstelling dat alle PowerShell-opdrachtregels die -Command bevatten worden geblokkeerd.
- CMD voor batchbestanden toestaan: er wordt verwacht dat beheerders cmd.exe uitdrukkelijk zullen verbieden in hun App Control-configuratie.
Als dit is ingeschakeld, zal de standaardinstelling cmd.exe mogen worden uitgevoerd. Als een regel uitdrukkelijk cmd.exe weigert, dan zal cmd.exe niet alleen mogen worden uitgevoerd, maar zullen batchbestanden worden uitgevoerd, onderworpen aan de regelvalidatie.
Wanneer deze instelling is uitgeschakeld, mag cmd.exe niet worden uitgevoerd en mogen alle batchbestanden worden uitgevoerd. Als een regel uitdrukkelijk cmd.exe weigert, worden alle batchbestanden geblokkeerd en worden ze zelfs niet geëvalueerd. - WSH-script (Windows Script Host) valideren: scripts kunnen virussen en boosaardige code introduceren. Het is daarom aanbevolen WSH-scripts te valideren.
Als dit is ingeschakeld, worden de standaardinstelling, cscript.exe en wscript.exe geweigerd. Het uitvoeren van js- of vb-scripts zijn echter onderworpen aan regelvalidatie.
Wanneer deze instelling is uitgeschakeld, worden cscript.exe en wscript.exe niet langer standaard geblokkeerd en worden de js- of vb-scripts niet langer onderworpen aan de regelvalidatie. - Registerbestanden valideren: als dit is ingeschakeld, worden de standaardinstelling, regedit.exe en regini.exe geweigerd. Het uitvoeren van een .reg-script is onderworpen aan regelvalidatie.
Wanneer deze instelling is uitgeschakeld, worden regedit.exe en regini.exe niet langer standaard geblokkeerd. Daarnaast worden de .reg-scripts niet langer onderworpen aan regelvalidatie. - Java-archieven valideren: als dit is ingeschakeld, worden de standaardinstelling, java.exe en javaw.exe geweigerd. Als er echter een Java-archief (JAR-bestand) is gevonden op de opdrachtregel, wordt dit onderworpen aan een regelvalidatie.
Wanneer deze instelling is uitgeschakeld, worden java.exe en javaw.exe niet langer standaard geblokkeerd en worden de JAR-bestanden niet langer onderworpen aan de regelvalidatie.
Functionaliteit
- Regels voor toestaan en weigeren: indien dit is ingeschakeld, wordt toegangsbeheer afgedwongen door de configuratieregels voor weigeren.
Wanneer deze instelling is uitgeschakeld, worden alle weigeringsregels genegeerd, wordt geen toegang tot de toepassing geweigerd. Alles is dus toegestaan. - Verhogingsregels: wanneer deze optie is ingeschakeld, worden de gebruikersbevoegdheden bepaald door de verhogingsregels van de configuratie.
Wanneer deze instelling is uitgeschakeld, worden alle uitbreidingsregels genegeerd en is er geen uitbreiding van de toepassing toegestaan. - Netwerkverbindingsregels: wanneer ingeschakeld, werken de regels voor toestaan en weigeren voor de functie Netwerkverbinding effectief.
Wanneer deze optie is uitgeschakeld, werken de regels niet en worden er geen gebeurtenissen gegenereerd in App Control > Overzicht. - URL-regels: wanneer ingeschakeld, werken de regels voor toestaan en weigeren voor URL-functies effectief.
Wanneer deze optie is uitgeschakeld, werken de regels niet en worden er geen gebeurtenissen gegenereerd in App Control > Overzicht.
Aangepaste instellingen
Configureer aanvullende instellingen die u wilt toepassen op beheerde eindpunten:
- Driver Hook-uitsluitingen: selecteer dit om driver hooks uit te sluiten bij het uitvoeren van App Control. App Control injecteert een DLL in alle lopende processen om het te helpen het gedrag van een proces te onderscheppen en te wijzigen, zoals toestaan of verhogen. Deze uitsluiting betekent dat de App Control-DLL niet zal worden geïnjecteerd.
Voer de bestandsnamen in om de lijst van driver hook-uitsluiingen te maken. Gebruik een puntkomma om de bestandsnamen te scheiden.
Deze aangepaste instelling mag alleen worden gebruikt onder de begeleiding van de technische ondersteuning van Ivanti.
- Uitsluitingen App Control-stuurprogramma: selecteer dit om het App Control-stuurprogramma uit te sluiten van het onderscheppen van de startaanvraag van het proces voor de specifieke weergegeven processen. App Control heeft een stuurprogramma dat het starten van een proces verhindert tot de controles zijn uitgevoerd, zoals het afstemmen van de regel of de vertrouwde eigendom.Deze uitsluiting verhindert dat het stuurprogramma het startverzoek onderschept.
Voer de bestandsnamen in om de lijst van uitsluitingen van stuurprogramma's te filteren. Gebruik een puntkomma of een spatie als scheidingsteken om de bestandsnamen te scheiden.Deze instelling vereist het opnieuw opstarten van een agent.
- Bericht weergeven voor geblokkeerde DLL's: selecteer dit om het bericht voor weigering van App Control-toegang weer te geven wanneer een DLL is geblokkeerd.
- Bescherming configuratiebestand: selecteer dit om te verhinderen dat gebruikers en beheerders het configuratiebestand van App Control op het eindpunt lezen, kopiëren, bewerken en verwijderen.
- Vertragind laden App Hook: selecteer deze instelling om de AmAppHook Dll te laden na een geconfigureerde vertraging in milliseconden (ms). Deze instelling wordt per bestandsnaam geconfigureerd. De opmaak is <filename+extension>,<delay>. De bestandsnaam kan geen jokers bevatten.
- Afstemming DFS-koppeling: selecteer deze instelling om het afstemmen van de DFS-koppeling in te schakelen. DFS-koppelingspaden kunnen aan de regels worden toegevoegd. DFS-koppelingen worden behandeld als onafhankelijke items die moeten worden afgestemd. DFS-doelen worden ook als onafhankelijke items behandeld. Er vindt geen conversie plaats van Koppeling naar Doel voordat de regels worden toegepast.
- DNS opzoeken uitschakelen: selecteer deze optie om te voorkomen dat App Control DNS-opzoekingen uitvoert, waardoor onverwachte vertragingen en fouten worden voorkomen wanneer een proxy-DNS-server wordt gebruikt. Het onderdeel Toegangsbeheer toepassingsnetwerk is niet compatibel met alle vormen van proxy-DNS-servers.
- Detectie van beeldkaping: hiermee wordt een lijst met procesnamen opgegeven waaraan alle onderliggende processen worden gecontroleerd om te garanderen of het onderliggende beeld zonder beschadiging of wijziging wordt uitgevoerd en overeenkomt met het oorspronkelijk aangevraagde beeld. Dit is een door puntkomma's gescheiden lijst van volledige paden of bestandsnamen. Als het onderliggende proces niet wordt geverifieerd, beëindigt Application Control het proces en genereert een gebeurtenis (ID 9065).
- Beveiligingsniveau toepassen voor URL-regels: selecteer deze optie om de URL-regels te negeren op basis van het geconfigureerde beveiligingsniveau.
Als u deze optie uitschakelt, worden de URL-regels toegepast, ongeacht het beveiligingsniveau van de configuratie. - Browser App Store-poort: selecteer deze optie om de poort in te voeren die wordt gebruikt voor de installatie van de Chrome-browserextensies.
- Browser-communicatiepoort: selecteer deze optie om de poort in te voeren die wordt gebruikt voor communicatie tussen browserextensies en de Application Control-agent.
- Browser-extensie installatie hive: selecteer deze optie om beheerders te laten kiezen in welke registerhive de Chrome-browserextensie Toepassingsbeheer wordt geïnstalleerd.
- Scriptvoorcontrole inschakelen: als u deze optie inschakelt, wachten de processen die afhankelijk zijn van het resultaat van een script totdat het relevante script is voltooid.Als u deze instelling inschakelt, kan dit het opstarten van de computer en het aanmelden van gebruikers aanzienlijk vertragen.
App-controle wacht niet oneindig op scriptresultaten.Er wordt een time-out van 30 seconden toegepast.
Zelfverhogingsinstellingen
Configureer de instellingen om de zelfverhogingsfunctie toe te passen.
- Item toegelaten maken: maak de toegelaten regelitems en overschrijf alle eventueel gekoppelde toegelaten items.
- Items toestaan om te worden uitgevoerd, zelfs als ze geen eigendom zijn van een vertrouwde eigenaar: deze optie is alleen beschikbaar als u de Items toegelaten maakt. Selecteer om alle regelitems uit te voeren, ongeacht of de eigenaar al dan niet vertrouwd is.
- Toepassen op onderliggende processen: standaard wordt het zelfverhogingsbeleid dat wordt toegepast op regelitems, niet opgenomen dooronderliggende processen. Selecteer deze optie om het beleid toe passen op de directe onderliggende items van het bovenliggende proces.
- Toepassen op gemeenschappelijke dialoogvensters: selecteer dit om de toegang uit te breiden voor de Windows-menuopties Bestand openen en Bestand opslaan wanneer een bestand of map werd uitgebreid. Wees voorzichtig met deze instelling als geselecteerde gebruikers het bestandssysteem kunnen wijzigen met beheerdersrechten.
- Installeren als vertrouwde eigenaar: selecteer dit om lokale beheerder de eigenaar ta meken van alle bestanden die zijn gemaakt door de gedefinieerde toepassing. Deze optie wordt niet toegepast op gewone toepassingen, alleen op installatiepakketten.
- De Windows-optie 'Uitvoeren als beheerder' verborgen voor Zelfverhoogde items: selecteer dit om de optie Uitvoeren als beheerder te verbergen in het Windows-contextmenu.
- Een berichtenvenster weergeven waarin de gebruiker een reden wordt vereist voor Zelfverhoging: selecteer dit om een bericht weer te geven aan de eindgebruiker waarin een reden wordt gevraagd voor de zelfverhoging.
Configureer de berichtinstellingen in Configuratie > Instellingen > Berichtinstellingen > Zelfverhogen. - Stel de naam in van het item Zelfverhoging van het contextmenu: voer de naam in van de optie Zelfverhoging van App Control.
Instellingen voor vertrouwde eigenaars
Configureer de instellingen die van toepassing zijn op de functionaliteit van de vertrouwde eigenaar.
- Vertrouwde eigendom controleren inschakelen: selecteer deze optie om vertrouwde eigendomscontroles op bestanden in te schakelen, zodat deze overeenkomen met de lijst van goedgekeurde vertrouwde eigenaars.
- De eigendom van een bestand wijzigen wanneer het wordt overschreven of hernoemd: selecteer deze optie om de eigenaar van een bestand te wijzigen naar de gebruiker die het overschrijven of hernoemen heeft geïnitieerd.
Instellingen voor beleidswijzigingsverzoeken
Configureer de instellingen die moeten worden toegepast op de functionaliteit voor beleidswijzigingsverzoeken. Raadpleeg ServiceNow configurerenvoor het configureren van de instelling voor beleidswijzigingsaanvragen.
Entra ID-instellingen
Configureer de Entra ID-instelling om een verbinding tot stand te brengen tussen Ivanti Neuron en Microsoft Entra. Raadpleeg Entra ID configureren voor het configureren van de Entra ID met Ivanti Neurons.
Controle-instellingen
Configureer de algemene instellingen voor controles.
Gebeurtenissen van App Control registreren in het lokale toepassingsgebeurtenislogboek: selecteer deze optie om App Control-controle in te schakelen en alle gebeurtenissen lokaal vast te leggen. U kunt de optie Ivanti-gebeurtenislogboek of de optie Toepassingsgebeurtenislogboek selecteren om alle App Control-gebeurtenissen vast te leggen op basis van uw vereisten.
| Gebeurtenis-id | Naam | Beschrijving |
|---|---|---|
| 9013 | Netwerkitem geweigerd | Aanvraag voor netwerkitem geweigerd |
| 9018 | Gebruikersbevoegdheden toepassing gewijzigd | De gebruikersbevoegdheden van de toepassing zijn gewijzigd. |
| 9023 | Zelfverhoging toegestaan | Zelfverhogingsaanvraag |
| 9024 | URL-omleiding | Url-omleiding is opgetreden |
| 9053 | Door de gebruiker gevraagd toestaan | Er is een toegestane aanvraag voor een beleidswijziging gestart |
| 9054 | Door de gebruiker gevraagde verhoging | Er is een verhoogde beleidswijzigingsaanvraag gestart |
| 9060 | Geweigerde uitvoering (vertrouwde eigendom) | Aanvraag geweigerde uitvoering (vertrouwde eigendom) |
| 9061 | Geweigerde uitvoering (regelbeleid) | Aanvraag geweigerde uitvoering (regelbeleid) |
| 9062 | Toepassing gestart uitgebreid | Er is een toepassing gestart met uitgebreide rechten (volledige beheerdersrechten) |