Definições de configuração
Você pode definir mensagens e ajustes avançados para cada configuração.
Configurações de mensagem
As configurações de mensagem servem para definir como as caixas de mensagem são exibidas aos usuários e para especificar o conteúdo delas quando os usuários tentam iniciar aplicativos, de acordo com as regras de configuração.
Você pode definir as seguintes mensagens ao usuário:
- Acesso negado: defina a mensagem que será exibida quando a execução de um aplicativo for negada.
Você pode desabilitar a exibição dessa mensagem ao usuário, para cada item de regra de negação, no painel Definições de itens de regra > guia Propriedades > seção Opções.
- Alertas de elevação: defina as mensagens a serem exibidas quando forem necessários direitos elevados para executar um aplicativo:
- Defina a mensagem a ser exibida quando forem necessários direitos elevados para executar um aplicativo.
Esse prompt de mensagem pode ser habilitado, por item de regra de elevação, no painel Definições de itens de regra > guia Propriedades > seção Política. - Defina a mensagem a ser exibida quando for necessário ter direitos elevados e fornecer justificativa para executar um aplicativo.
Esse prompt de mensagem pode ser habilitado, por item de regra de elevação, no painel Definições de itens de regra > guia Propriedades > seção Política.
- Defina a mensagem a ser exibida quando forem necessários direitos elevados para executar um aplicativo.
Para cada tipo de mensagem, defina o seguinte:
- Legenda: o texto a ser exibido no topo da mensagem. Por exemplo, você pode alterar a legenda padrão, App Control, para que o usuário não saiba que o App Control interferiu.
- Banner: insira o texto a ser exibido no banner colorido. Para remover o banner colorido da caixa de mensagens, basta limpar esse campo para que ele permaneça vazio.
- Corpo da mensagem: insira o texto a ser exibido no corpo da mensagem.
- Largura: especifique a largura da caixa de diálogo da mensagem. A largura é medida em pixels e se aplica a todas as mensagens.
- Altura: especifique a altura da caixa de diálogo da mensagem. A altura é medida em pixels e se aplica a todas as mensagens.
Dicas de mensagens
Ao configurar mensagens, considere o seguinte:
- Variáveis de ambiente são aceitas em legenda, banner e mensagem.
- Ao usar hiperlinks no corpo da mensagem, é necessário inserir a tag completa do atributo HREF.
- Se for exibir sinais de "menor que" ou "maior que" no corpo da mensagem, use < e >, respectivamente. JavaScript não é suportado.
Variáveis de ambiente da caixa de mensagem
As mensagens oferecem suporte a variáveis de ambiente de Sistema e Usuário e às seguintes variáveis definidas pelo App Control:
|
Variável de ambiente |
Descrição |
|---|---|
| %ExecutableName% | O nome do aplicativo negado. |
| %FullPathName% | O caminho completo do aplicativo negado. |
| %DirectoryName% | O diretório onde o aplicativo negado está localizado. |
| %NetworkLocation% | O endereço IP resolvido do nome de host fornecido. |
| %AC_Hash% | O hash do arquivo. |
| %AC_FileSize% | O tamanho do arquivo. |
|
%AC_ProductVersion% |
A versão do produto. |
|
%AC_FileVersion% |
A versão do arquivo. |
| %AC_ProductName% |
O nome do produto. |
| %AC_CompanyName% |
O nome da empresa. |
| %AC_Vendor% |
O nome do signatário do certificado. |
| %AC_FileDescription% |
A descrição do arquivo. |
| %AC_ParentProcess% |
O nome do processo que o iniciou. |
| %AC_DecidingRule% |
O nome da regra de permissão na configuração do App Control. |
| %AC_FileOwner% |
O proprietário do arquivo. |
| %AC_ClientName% |
O nome do dispositivo de conexão. |
|
%AC_PortNumber% |
O nome da porta de rede, somente se aplicável. Se o número da porta não for 0, ele será exibido no final do endereço IP bloqueado. |
Configurações avançadas
Configurações da política
Defina configurações gerais, de validação e de funcionalidade a serem aplicadas a todas as solicitações de execução de aplicativos.
Recursos gerais
- Negar arquivos em compartilhamentos de rede: a configuração padrão para compartilhamentos de rede é negar tudo, a menos que especificado em uma regra de permissão. Quando essa configuração está desabilitada, tudo no compartilhamento de rede é permitido, exceto se reprovado na verificação de propriedade confiável ou especificado em uma regra de negação.
Validação
- Validar pacotes MSI (Windows Installer): arquivos MSI são o método padrão para instalar aplicativos do Windows. É recomendado que o usuário não tenha permissão para instalar livremente aplicativos MSI.
Quando habilitada (configuração padrão), a execução do msiexec.exe é negada, e todos os MSIs ficam sujeitos à validação de regras.
Quando essa configuração está desabilitada, o msiexec.exe não é bloqueado, e os arquivos MSIs podem ser executados, sujeitos à validação de regras. - Validar scripts do PowerShell: quando habilitada, a execução de powershell.exe e powershellise.exe é negada. Entretanto, se um script do PowerShell (arquivo PS1) for encontrado na linha de comando, será submetido a uma validação de regra.
Quando desabilitada (configuração padrão), powershell.exe e powershell.ise.exe não ficam mais bloqueados, e os arquivos PS1 não são mais submetidos à validação de regras.- Bloquear -Command: quando habilitada (configuração padrão), qualquer linha de comando do PowerShell que inclua -Command será bloqueada.
Para alterar o nível de segurança, você pode desmarcar essa opção para desabilitar o bloqueio de -Command.
Exemplo: no Explorador de Arquivos, clique com o botão direito em um arquivo PS1 e selecione Executar com PowerShell. O Explorador adiciona -Command automaticamente para consultar a política de execução atual e perguntar ao usuário se deseja alterá-la. Para que o App Control avalie os arquivos PS1 executados dessa maneira, e não apenas os bloqueie, desabilite a opção Bloquear -Command.Esteja ciente de que, quando desabilitada, qualquer arquivo confiável PS1 poderá ser modificado com código malicioso, inserido por meio de um argumento -Command, e ser executado, pois o arquivo em si é confiável.
- Bloquear -Command: quando habilitada (configuração padrão), qualquer linha de comando do PowerShell que inclua -Command será bloqueada.
- Permitir CMD para arquivos em lote: espera-se que os administradores proíbam explicitamente o cmd.exe na configuração do App Control.
Quando habilitada (configuração padrão), cmd.exe poderá ser executado. Se uma regra negar explicitamente o cmd.exe, então cmd.exe não poderá ser executado sozinho. No entanto, os arquivos em lote serão executados, sujeitos à validação de regras.
Quando essa configuração estiver desabilitada, cmd.exe não poderá ser executado, e todos os arquivos em lote poderão ser executados. Se uma regra negar cmd.exe explicitamente, todos os arquivos em lote serão bloqueados, sem nem mesmo ser avaliados. - Validar script WSH (Windows Script Host): scripts podem introduzir vírus e códigos maliciosos, portanto, é recomendável validar scripts WSH.
Quando habilitada (configuração padrão), cscript.exe e wscript.exe são negados. Porém, a execução de scripts js ou vb fica sujeita à validação de regras.
Quando essa configuração está desabilitada, cscript.exe e wscript.exe não ficam mais bloqueados por padrão, e os scripts js ou vb não são mais submetidos à validação de regras. - Validar arquivos de registro: quando habilitada (configuração padrão), regedit.exe e regini.exe são negados. A execução de um script .reg fica sujeita à validação de regras.
Quando a configuração está desabilitada, regedit.exe e regini.exe não ficam mais bloqueados por padrão. Além disso, os scripts .reg não ficam mais sujeitos à validação de regras. - Validar arquivos Java: quando habilitada (configuração padrão), java.exe e javaw.exe são negados. Entretanto, se um arquivo Java (arquivo JAR) for encontrado na linha de comando, estará sujeito à validação de regras.
Quando a configuração é desabilitada, java.exe e javaw.exe não ficam mais bloqueados por padrão, e os arquivos JAR não são mais submetidos à validação de regras.
Funcionalidade
- Habilitar controle de acesso a aplicativos: quando habilitada, o controle de acesso é imposto pelas regras de negação da configuração.
Quando a configuração está desabilitada, todas as regras de negação são ignoradas, nenhum acesso a aplicativo é negado, então tudo é permitido. - Habilitar gerenciamento de privilégios do usuário: quando habilitada, os privilégios de usuário são determinados pelas regras de elevação da configuração.
Quando a configuração está desabilitada, todas as regras de elevação são ignoradas, e nenhuma elevação de aplicativo é permitida.
Configurações personalizadas
Defina configurações adicionais a serem aplicadas a pontos de extremidade gerenciados:
- Exclusões de ganchos de driver: selecione para excluir ganchos de driver ao executar o App Control. O App Control injeta uma DLL em todos os processos em execução para ajudar a interceptar e modificar o comportamento do processo, como permitir ou elevar. Essa exclusão faz com que a DLL do App Control não seja injetada.
Insira os nomes de arquivo para criar a lista de exclusão de ganchos do driver; use ponto e vírgula para separar os nomes de arquivo.
Esta configuração personalizada só deve ser usada sob a orientação do Suporte Técnico Ivanti.
- Exclusões de driver do App Control: selecione para impedir o driver do App Control de interceptar a solicitação de início de processo dos processos específicos listados. O App Control tem um driver que impede o início do processo até que sejam executadas verificações, como propriedade confiável ou cumprimento de regras. Essa exclusão impede que o driver intercepte a solicitação de início.
Insira os nomes de arquivo para criar a lista de exclusão do driver de filtro; use ponto e vírgula ou um delimitador de espaço para separar os nomes dos arquivos.Esta configuração requer a reinicialização do agente para entrar em vigor.
- Mostrar mensagem para DLLs bloqueadas: selecione para exibir a mensagem de acesso negado do App Control quando uma DLL for bloqueada.
- Proteção de arquivo de configuração: selecione para impedir que usuários e administradores leiam, copiem, editem e excluam o arquivo de configuração do App Control no ponto de extremidade.
Configurações de auditoria
Defina as configurações gerais para auditoria.
Elevar eventos do App Control para o Log de Eventos de Aplicativo local: selecione para habilitar a auditoria do App Control. Todos os eventos do App Control serão capturados no Log de Eventos de Aplicativo do Windows local.
| ID do evento | Nome | Descrição |
|---|---|---|
| 9018 | Privilégios de usuário do aplicativo alterados | Os privilégios de usuário do aplicativo foram alterados. |
| 9060 | Execução negada (propriedade confiável) | Solicitação de execução negada (propriedade confiável) |
| 9061 | Execução negada (política de regra) | Solicitação de execução negada (política de regra) |
| 9062 | Aplicativo iniciado elevado | Um aplicativo foi iniciado com direitos elevados (administrador total) |