Regra em Script

As regras por script permitem a criação de regras personalizadas usando PowerShell ou VBScript para atender a requisitos complexos. Os aplicativos podem ser permitidos, bloqueados ou elevados dinamicamente com base em uma ampla variedade de condições de script, fornecendo controle poderoso e flexível sobre o comportamento do aplicativo.

As regras por script podem aproveitar qualquer interface acessível via PowerShell ou VBScript, como COM (Component Object Model), e cada script é avaliado nas seguintes circunstâncias:

  • Quando uma nova configuração é implantada no computador

  • Quando um usuário faz login

Configurar regra por script

Você pode configurar regras por script ao configurar as regras de controle do aplicativo na página Quando isso é atribuído?. Para configurar regras por script, siga estas etapas:

  1. Na página Quando isso é atribuído?, selecione a opção Com script na lista suspensa Selecionar uma origem.
    A guia Script aparece.

  2. Especifique um nome para o script.

  3. Na lista suspensa Linguagem de Script, selecione as opções PowerShell ou VBScript de acordo com sua necessidade.
    Para obter mais informações sobre como usar os scripts, consulte as seções a seguir.

    Se o script retornar (encerrar) com o valor 0, o script será aprovado e as regras serão aplicadas. Se algum valor diferente de zero for retornado, o script falhará e as regras não serão aplicadas.

    Cada script do PowerShell é executado em uma instância do PowerShell.exe e, como tal, o Application Control não impõe nem adiciona nenhuma sintaxe específica. Todos os PowerShell formados corretamente funcionarão.

    O PowerShell deve ser instalado em todos os pontos de extremidade que usarão o script.

    Cada script é executado em um mecanismo de script hospedado, permitindo maior controle sobre a execução do script, ao mesmo tempo que proporciona um alto grau de controle de entrada e saída.

    • Nenhum arquivo VBS é usado.

    • Nenhum processo separado é gerado.

    Um script deve ser gravado como uma função e pode conter muitas funções, mas uma função de início principal deve ser especificada. A função de inicialização é executada pelo agente de Application Control e pode ser usada para chamar outras funções.

    O objeto AMScriptRule COM é integrado ao mecanismo de script e fornece acesso aos seguintes métodos:

    • strUsername = AMScriptRule.UserName

    • strUserdomain = AMScriptRule.UserDomain

    • strSessionid = AMScriptRule.SessionID

    • strStationname = AMScriptRule.WinStation

    O padrão da Microsoft, neste caso, significa que o WinStation retorna o valor do nome da sessão dos Serviços de Terminal, que é determinado pelo tipo de sessão, sendo os valores típicos 'Console' ou 'RDP-Tcp#34', em vez do nome da Window Station, que normalmente é WinSta0.

    O objeto AMScriptRule COM também inclui os seguintes métodos:

    • strLog = AMScriptRule.Log "Minha instrução de log"

      Permite gerar registros de log no arquivo de log do agente para uso na depuração de regras de script.

    • strEnvironmentvar = AMScriptRule.ExpandEnvironment ("%MyEnvironmentVariables%")

      Expande as variáveis de ambiente do usuário executando o script.

    Usando WScript. O comando `shell` para expandir variáveis de ambiente retorna apenas variáveis SYSTEM.

  4. Na lista suspensa Função de entrada, selecione Regra por script.

    A opção Função de Entrada só está disponível para VBScript.

  5. No campo Script, adicione um script PowerShell ou VBScript.

  6. Acesse a guia Opções para configurar a execução do script e o tempo limite.

  7. Na guia Opções, selecione o método de execução do script na lista suspensa Tipo de execução, conforme mostrado abaixo:

    • Por sessão como usuário: especifica que o script é executado para cada usuário que faz logon. As configurações são aplicadas apenas durante a sessão do usuário. Observe que o script também será executado se a área de trabalho estiver desbloqueada.

    • Por sessão como sistema: especifica que o script é executado com permissões de conta do sistema uma vez para cada usuário que faz login. As configurações são aplicadas apenas durante a sessão do usuário.

    • Por computador como sistema: especifica que o script é executado com permissão de conta do sistema uma vez na inicialização do computador. As configurações são aplicadas a todas as sessões do usuário até que o computador seja reiniciado, o agente de Application Control seja reiniciado ou haja uma alteração na configuração.

  8. Habilite as opções Não executar script até que o logon do usuário esteja completo para impedir que o script seja executado até que o logon do usuário esteja concluído.

  9. Especifique um tempo em Segundos para aguardar ou tempo limite de script para permitir que um script continue sendo executado antes que o tempo limite do script se esgote. Uma configuração de zero (0) segundos impede o tempo limite do script. Se ocorrer um tempo limite, o resultado será falha e as configurações não poderão ser aplicadas.

  10. Clique em Adicionar.