配置设置

您可以为每个配置定义消息设置和高级设置。

消息设置

“消息设置”用于定义用户看到的消息框显示样式,并指定用户尝试启动符合配置规则的应用程序时会看到的消息内容。

您可以定义以下用户消息:

  • 访问被拒绝:定义应用程序执行被拒绝时显示的消息。

    • 您可以在规则项设置面板 > 属性选项卡 > 选项部分中,针对每个拒绝规则项目禁用向用户显示此消息的功能。

  • 提升权限提示:定义需要提升权限才能执行应用程序时显示的消息:
    • 定义需要提升权限才能运行应用程序时显示的消息。
      用户可以在规则项目设置面板 > 属性选项卡 > 策略部分中,针对每个提升规则项目启用此消息提示。
    • 定义需要提升权限并提供理由才能运行应用程序时显示的消息。
      用户可以在规则项目设置面板 > 属性选项卡 > 策略部分中,针对每个提升规则项目启用此消息提示。
  • 自行提升:定义用户尝试自行提升项目时要求提供理由的消息。

对于每种类型的消息,请定义以下内容:

  • 标题:消息顶部显示的文本。 例如,您可以更改默认标题“App Control”,这样一来用户便不会意识到 App Control 已进行干预。
  • 横幅:输入要在彩色横幅中显示的文本。 如需从消息框中删除彩色横幅,只需清除此字段,使其为空。
  • 消息正文:输入消息正文显示的文本。
  • 宽度:指定消息对话框的宽度。 宽度以像素为单位,适用于所有消息。
  • 高度:指定消息对话框的高度。 高度以像素为单位,适用于所有消息。

消息提示

配置消息时,请考虑到以下几点:

  • 标题、横幅和消息均支持环境变量
  • 在消息正文中使用超链接时,必须输入完整的 HREF 属性标签。
  • 如果要在消息正文中显示小于或大于尖括号,请分别使用 &lt 和 &gt。 不支持 JavaScript。

消息框环境变量

消息支持系统和用户环境变量以及以下 App Control 定义的变量:

环境变量

描述
%ExecutableName% 被拒绝应用程序的名称。
%FullPathName% 被拒绝应用程序的完整路径。
%DirectoryName% 被拒绝应用程序所在的目录。
%NetworkLocation% 给定主机名的已解析 IP 地址。
%AC_Hash% 文件哈希。
%AC_FileSize% 文件大小。

%AC_ProductVersion%

产品版本。

%AC_FileVersion%

文件版本。
%AC_ProductName%

产品名称。
%AC_CompanyName%

公司名称。
%AC_Vendor%

证书签名者姓名。
%AC_FileDescription%

文件说明。
%AC_ParentProcess%

启动它的进程的名称。
%AC_DecidingRule%

App Control 配置中允许规则的名称。
%AC_FileOwner%

文件所有者。
%AC_ClientName%

连接设备的名称。

%AC_PortNumber%

网络端口的名称(仅适用时)。 如果端口编号不是 0,则会显示在被阻止 IP 地址的末尾。

高级设置

策略设置

配置常规、验证和功能策略设置以应用于所有应用程序执行请求。

一般功能

  • 拒绝网络共享上的文件:配置会默认拒绝网络共享中的所有内容,允许规则中指定的除外。 禁用此设置即可允许网络共享中的所有内容,可信所有权检查失败或拒绝规则指定的除外。

验证

  • 验证 MSI(Windows 安装程序)程序包:MSI 文件是安装 Windows 应用程序的标准方法。 建议不允许用户随意安装 MSI 应用程序。
    启用后,默认设置将是拒绝运行 msiexec.exe,并且所有 MSI 都需要经过规则验证。
    禁用此设置后,将不再阻止 msiexec.exe,也允许运行 MSI 文件,但须经过规则验证。
  • 验证 PowerShell 脚本:启用后,将拒绝运行 powershell.exe 和 powershell_ise.exe。 但是,如果在命令行中发现 PowerShell 脚本(PS1 文件),则需要对其进行规则验证。
    禁用后,默认设置将不再阻止 powershell.exe 和 powershell.ise.exe,PS1 文件也不再受规则验证所限。
    • 阻止 -Command:启用后,默认设置将阻止任何包含 -Command 的 PowerShell 命令行。
      要更改安全级别,您可能需要取消选择此选项,以便禁用阻止 -Command 的功能。
      示例:在文件资源管理器中,右键点击 PS1 文件,然后选择使用 PowerShell 运行。 资源管理器自动添加 -Command 来查询当前执行策略并通过提示询问用户是否要进行更改。 为了让 App Control 评估以此方式运行的 PS1 文件,而不是直接阻止,请禁用阻止 -Command 选项。

      请注意,禁用后,通过 -command 参数插入的恶意代码将能修改并运行任何 PS1 可信文件,因为文件本身是可信的。

  • 允许 CMD 执行批处理文件:预期情况下,管理员将在其 App Control 配置中明确禁止 cmd.exe。
    启用后,默认设置将允许运行 cmd.exe。 如果规则明确拒绝 cmd.exe,则不允许 cmd.exe 自行运行,而是否运行批处理文件将取决于规则验证。
    禁用此设置后,不允许运行 cmd.exe,但允许运行所有批处理文件。 如果规则明确拒绝 cmd.exe,则所有批处理文件都会被阻止,甚至不会进行评估。
  • 验证 WSH(Windows 脚本主机)脚本:脚本可能会引入病毒和恶意代码,因此建议验证 WSH 脚本。
    启用后,默认设置将拒绝 cscript.exe 和 wscript.exe。 但是否运行 js 或 vb 脚本将取决于规则验证。
    禁用此设置后,默认不再阻止 cscript.exe 和 wscript.exe,并且 js 或 vb 脚本不再受规则验证所限。
  • 验证注册表文件:启用后,默认设置将拒绝 regedit.exe 和 regini.exe。 运行 .reg 脚本需要经过规则验证。
    禁用此设置后,默认不再阻止 regedit.exe 和 regini.exe。 此外,.reg 脚本不再受规则验证所限。
  • 验证 Java 存档:启用后,默认设置将拒绝 java.exe 和 javaw.exe。 但是,如果在命令行中发现 Java 存档(JAR 文件),则需要对其进行规则验证。
    禁用此设置后,默认不再阻止 java.exe 和 javaw.exe,并且 JAR 文件不再受规则验证所限。

功能

  • 允许和拒绝规则:启用后,配置拒绝规则将强制执行访问控制。
    禁用此设置后,所有拒绝规则都将被忽略,不会拒绝任何应用程序访问,因此允许一切。
  • 提升规则:启用后,用户权限由配置提升规则决定。
    禁用此设置后,所有提升规则都将被忽略,并且不允许任何应用程序权限提升。
  • 网络连接规则:启用后,网络连接的允许和拒绝规则将有效运行。
    如果禁用,规则不起作用,并且不会在 App Control > 概览中生成事件。
  • URL 规则:如果启用,URL 的允许和拒绝规则将有效发挥作用。
    如果禁用,规则不起作用,并且不会在 App Control > 概览中生成事件。

自定义设置

配置要应用于托管端点的其他设置:

  • 驱动程序挂钩排除:选择此选项可在运行 App Control 时排除驱动程序挂钩。 App Control 将 DLL 注入所有正在运行的进程,以此助其拦截和修改进程行为,例如允许或提升。 此处的排除是指不会注入 App Control DLL。
    输入用于创建驱动程序挂钩排除列表的文件名,请使用分号分隔文件名。

    • 此自定义设置应仅在 Ivanti 技术支持人员的指导下使用。

  • App Control 驱动程序排除:选择此选项可禁止 App Control 驱动程序拦截所列特定进程的进程启动请求。 App Control 设有一个驱动程序,可阻止进程启动,直到检查运行完成,例如规则匹配或可信所有权。 此排除选项可防止驱动程序拦截启动请求。
    输入用于创建筛选器驱动程序排除列表的文件名,请使用分号或空间分隔符来分隔文件名。

    此设置需要重新启动代理才能生效。

  • DLL 被阻止时显示消息:选择此选项可在 DLL 被阻止时显示 App Control 访问被拒绝消息。
  • 配置文件保护:选择此选项可防止用户和管理员读取、复制、编辑和删除端点上的 App Control 配置文件。
  • 应用 URL 规则的安全级别:选择此选项可使 URL 规则遵守配置安全级别。
    取消选择此选项将应用 URL 规则,而不考虑配置安全级别为何。

“自行提升”设置

配置要应用于自行提升功能的设置。

  • 将项目设为允许:将规则项目设为允许,并覆盖所有关联的允许项目。
    • 即使项目未由可信所有者拥有,也允许项目运行:只有选中将项目设为允许时,此选项才可用。 选择此选项后,无论所有者是否受信任,都会执行所有规则项目。
  • 应用到子进程:默认情况下,应用于规则项目的自行提升策略不会由子进程继承。 选择此选项可将策略应用于父进程的直接子项。
  • 应用到常用对话框:在文件或文件夹得到提升时,提升对于 Windows 菜单选项打开文件保存文件的访问权限。 如果所选用户可以使用管理权限修改文件系统,则应谨慎使用此设置。
  • 作为可信所有者安装:选择此选项可将本地管理员设为定义应用程序创建的所有文件的所有者。 此选项不适用于常规应用程序,仅适用于安装程序包。
  • 隐藏自行提升项目的“以管理员身份运行”Windows 选项:选择此选项可隐藏 Windows 上下文菜单中的以管理员身份运行选项。
  • 显示需要用户给出自行提升理由的消息框:选择此选项可显示消息,要求最终用户输入自行提升的理由。
    配置 > 设置 > 消息设置 > 自行提升中配置消息设置。
  • 设置“自行提升”上下文菜单项目的名称:输入要在 Windows 上下文菜单中显示的 App Control 自行提升选项的名称。

可信所有者设置

配置设置以应用于可信所有者功能。

  • 启用受信任的所有权检查:选择此项可对文件启用受信任所有权检查,以匹配已批准的可信所有者列表。
  • 覆盖或重命名文件时,更改文件的所有权:选择此项可将文件的所有者更改为启动覆盖或重命名的用户的所有者。

策略更改请求设置

配置设置以应用于策略更改请求功能。 要配置策略更改请求设置,请参阅配置 ServiceNow

审核设置

配置审核的一般设置。

将 App Control 事件提交到本地应用程序事件日志:选择此选项可启用 App Control 审核并在本地捕获所有事件。 您可以根据需要选择 Ivanti 事件日志应用程序事件日志选项来捕获所有 App Control 事件。

事件 ID 名称 描述
9013 网络项目被拒绝 拒绝网络项目请求
9018 应用程序用户权限已更改 应用程序的用户权限已更改。
9023 允许自行提升 自行提升请求
9024 URL 重定向 已发生 URL 重定向
9053 用户请求允许 允许的策略更改请求应用程序已启动
9054 用户请求提升 已启动提升的策略更改请求
9060 拒绝的执行(可信所有权) 拒绝的执行请求(可信所有权)
9061 拒绝的执行(规则策略) 拒绝的执行请求(规则策略)
9062 应用程序启动已提升 已使用提升后的权限(完全管理员权限)启动应用程序