Настройки конфигурации
Вы можете определить настройки сообщений и расширенные настройки для каждой конфигурации.
Настройки сообщений
Настройки сообщений используются для определения отображения окон сообщений пользователям, а также для указания содержания сообщений, когда пользователи попытаются запустить приложения по правилам конфигурации.
Вы можете определить следующие сообщения пользователей:
- Доступ запрещен: Укажите сообщение, которое будет отображаться после запрета выполнения приложения.
Вы можете отменить отображение этого сообщения пользователю для каждого элемента правила запрещения на панели Настройки элементов правил > вкладка Свойства > раздел Параметры.
- Напоминания повышения: Укажите сообщения, которые будут отображаться, когда для выполнения приложения потребуются повышенные права:
- Укажите сообщение, которое будет отображаться, когда для выполнения приложения потребуются повышенные права.
Это сообщение-может быть включено для каждого элемента правила повышения прав на панели Настройки элемента правил > вкладка Свойства > раздел Политика. - Укажите сообщение, которое будет отображаться, когда для выполнения приложения потребуются повышенные права и предоставлена причина.
Это сообщение-может быть включено для каждого элемента правила повышения прав на панели Настройки элемента правил > вкладка Свойства > раздел Политика.
- Укажите сообщение, которое будет отображаться, когда для выполнения приложения потребуются повышенные права.
Для каждого типа сообщений укажите следующее:
- Описание: Текст, отображаемый в верхней части сообщения. Например, можно изменить описание по умолчанию App Control - пользователь не знает о вмешательстве приложения App Control.
- Баннер: Введите текст для отображения на цветном баннере. Для удаления цветного баннера из окна сообщения просто очистите это поле.
- Текст сообщения: Введите текст, отображаемый в теле сообщения.
- Ширина: Укажите ширину диалога сообщения. Ширина измеряется в пикселях и применяется для всех сообщений.
- Высота: Укажите высоту диалога сообщения. Высота измеряется в пикселях и применяется для всех сообщений.
Советы для сообщений
Во время конфигурации сообщений учитывайте следующее:
- Переменные среды могут использоваться в описании, баннере и тексте сообщений.
- При использовании гиперссылок в теле сообщения необходимо ввести полный тег атрибута HREF.
- Если в теле сообщения должны отображаться угловые скобки "меньше" или "больше", используйте соответственно < и >. JavaScript не поддерживается.
Переменные среды окна сообщений
В сообщениях могут использоваться системные и особые переменные среды, а также следующие переменные, определенные приложением App Control:
|
Переменная среды |
Описание |
|---|---|
| %ExecutableName% | Имя запрещенного приложения. |
| %FullPathName% | Полный путь запрещенного приложения. |
| %DirectoryName% | Каталог, в котором находится запрещенное приложение. |
| %NetworkLocation% | Обнаруженный IP-адрес для указанного имени хоста. |
| %AC_Hash% | Хэш файла. |
| %AC_FileSize% | Размер файла. |
|
%AC_ProductVersion% |
Версия программного продукта. |
|
%AC_FileVersion% |
Версия файла. |
| %AC_ProductName% |
Название продукта. |
| %AC_CompanyName% |
Название компании. |
| %AC_Vendor% |
Имя подписавшего сертификат. |
| %AC_FileDescription% |
Описание файла. |
| %AC_ParentProcess% |
Имя процесса-инициатора. |
| %AC_DecidingRule% |
Имя правила разрешения в конфигурации приложения App Control. |
| %AC_FileOwner% |
Владелец файла. |
| %AC_ClientName% |
Имя подключаемого устройства. |
|
%AC_PortNumber% |
Имя сетевого порта, если применимо. Если номер порта не равен 0, он будет отображаться в конце блокированного IP-адреса. |
Дополнительные настройки
Настройки политики
Сконфигурируйте общие настройки, настройки проверки и функциональности политики, которые будут использоваться для всех запросов выполнения приложений.
Общие функции
- Запретить файлы сетевых ресурсов: В конфигурации по умолчанию для сетевых ресурсов все запрещено, если иное не будет указано в правиле разрешения. Если этот параметр выключен, все на сетевом ресурсе будет разрешено, если только оно не будет проходить проверку доверенного владельца или не будет указано в правиле запрета.
Проверка
- Проверять пакеты MSI (установщик Windows): Файлы MSI представляют собой стандартный способ установки приложений Windows. Рекомендуется запретить пользователям свободно устанавливать приложения MSI.
Если этот параметр установлен, запуск файла msiexec.exe запрещен, и все MSI-файлы подлежат проверке правилом.
Если этот параметр не установлен, файлы msiexec.exe не будут блокированы, и запуск MSI-файлов будет разрешен на условии проверки правилом. - Проверять сценарии PowerShell: Если этот параметр установлен, запуск файлов powershell.exe и powershell_ise.exe запрещен. Если в командной строке будет обнаружен сценарий PowerShell (файл PS1), будет выполнена проверка правила.
Если этот параметр не установлен, файлы powershell.exe и powershell.ise.exe не блокируются, а файлы PS1 больше не подвергаются проверке правилами.- Block -Command: Если этот параметр установлен (настройка по умолчанию), любая команда PowerShell, содержащая -Command, будет блокирована.
Для изменения уровня безопасности можно отменить установку параметра -Command.
Пример: В Проводнике нажмите правой кнопкой мыши файл PS1 и выберите Выполнить в PowerShell. Проводник автоматически добавит -Command в запрос текущей политики выполнения и запросит у пользователя, нужно ли изменить ее. Для оценки приложением App Control файлов PS1, которые запускаются таким образом, а не просто блокируются, отмените установку параметра Block -Command.Если параметр не установлен, имейте в виду, что любой доверенный файл PS1 может быть изменен вредоносным кодом с помощью аргумента -Command, и будет запущен, так как сам файл является доверенным.
- Block -Command: Если этот параметр установлен (настройка по умолчанию), любая команда PowerShell, содержащая -Command, будет блокирована.
- Разрешить CMD для командных файлов: Ожидается, что администраторы смогут явно запрещать выполнение файла cmd.exe в конфигурациях приложения App Control.
Если параметр установлен (настройка по умолчанию), выполнение файла cmd.exe будет разрешено. Если правило явно запрещает файл cmd.exe, он не сможет запускаться самостоятельно, однако командные файлы смогут запускаться с проверкой правилами.
Если этот параметр не установлен, запуск файла cmd.exe запрещен, а всех командных файлов разрешен. Если правило явно запрещает файл cmd.exe, все командные файлы будут блокированы и не оцениваются. - Проверять сценарий WSH (Windows Script Host): Сценарии WSH могут содержать вирусы и вредоносный код, поэтому рекомендуется проверять их.
Если параметр установлен (настройка по умолчанию), выполнение файлов cscript.exe и wscript.exe запрещено. Однако запуск сценариев js или vb должен проверяться на соответствие правилам.
Если этот параметр не установлен, файлы cscript.exe и wscript.exe не блокируются по умолчанию, а сценарии js или vb не подвергаются проверке правилами. - Проверять файлы реестра: Если параметр установлен (настройка по умолчанию), выполнение файлов regedit.exe и regini.exe запрещено. Выполнение сценариев .reg подлежит проверке на соответствие правилам.
Когда этот параметр не установлен, файлы regedit.exe и regini.exe не блокируются по умолчанию. Кроме того, сценарии .reg не подлежат проверке на соответствие правилам. - Проверять архивы Java: Если параметр установлен (настройка по умолчанию), выполнение файлов java.exe и javaw.exe запрещено. Однако, если архив Java (файл JAR) будет обнаружен в командной строке (файл JAR), будет выполнена проверка правилом.
Если этот параметр выключен, файлы java.exe и javaw.exe не блокируются по умолчанию, а файлы JAR не подвергаются проверке правилами.
Функциональность
- Включить управление доступом приложений: Когда этого параметр установлен, управление доступом осуществляется с помощью правил запрета использования конфигурации.
Если этот параметр не установлен, все правила запрещения будут игнорированы, а выполнение всех приложений разрешено. - Включить управление привилегиями пользователей: Когда этого параметр установлен, привилегии пользователей определяются правилами повышения привилегий конфигурации.
Если этот параметр не установлен, все правила повышения привилегий будут игнорированы, а повышение привилегий для приложений запрещено.
Особые настройки
Сконфигурируйте дополнительные настройки для применения на управляемых конечных системах:
- Исключения перехвата драйверов: Выберите для указания исключений перехвата драйверов во время запуска приложения App Control. Приложение App Control внедряет модули DLL во все запущенные процессы для перехвата и изменения поведения процессов, например, разрешения или повышения привилегий. Это исключение означает отмену внедрения модулей DLL приложения App Control.
Введите имена файлов для создания списка исключений перехвата драйверов - используйте точку с запятой для разделения имен файлов.
Эта особая настройка должна использоваться только под управлением специалистов службы технической поддержки Ivanti.
- Исключения драйвера приложения App Control: Установите этот параметр для исключения перехвата драйвером App Control запросов на запуск определенных процессов. Приложение App Control содержит драйвер, который может предотвращать запуск процессов до выполнения действий, таких как проверки соответствия правилам или доверенного владения. Это исключение не позволяет драйверу выполнить перехват запросов запуска.
Введите имена файлов для создания списка исключений фильтра драйвера - используйте точку с запятой или пробел для разделения имен файлов.Для активации этой настройки необходима перезагрузка агента.
- Показывать сообщение для блокированных DLL: Выберите для отображения сообщения о запрете доступа в случае блокировки DLL приложением App Control.
- Защита файла конфигурации: Выберите для запрета пользователям и администраторам читать, копировать, редактировать и удалять файл конфигурации App Control на конечных системах.
Настройки аудита
Сконфигурируйте общие настройки аудита.
Запись событий App Control в локальный журнал событий приложений: Выберите для включения аудита приложением App Control. Все события App Control будут записываться в локальный журнал событий приложений Windows.
| ИД события | Имя | Описание |
|---|---|---|
| 9018 | Привилегии пользователя приложения изменены | Привилегии пользователя приложения были изменены. |
| 9060 | Запрещенное выполнение (доверенное владение) | Запрещенный запрос выполнения (доверенное владение) |
| 9061 | Запрещенное выполнение (правило политики) | Запрещенный запрос выполнения (правило политики) |
| 9062 | Приложение запущено с повышенными правами | Приложение запущено с повышенными правами (полный администратор). |