配置设置
您可以根据每个配置定义消息设置和高级设置。
阶段设置
消息设置用于定义消息框如何向用户显示,并根据配置规则指定用户尝试启动应用程序时的消息内容。
您可以定义以下用户消息:
- 提升权限提示:定义在执行应用程序需要提升权限时显示的消息:
- 定义当需要提升权限才能运行应用程序时显示的消息。
可以在 规则项设置 面板 > 属性 选项卡 > 策略 部分中为每个提升规则项启用此消息提示。 - 定义当需要提升权限且必须提供运行应用程序的理由时显示的消息。
可以在 规则项设置 面板 > 属性 选项卡 > 策略 部分中为每个提升规则项启用此消息提示。
- 定义当需要提升权限才能运行应用程序时显示的消息。
对于每种类型的消息,定义以下内容:
- 标题:显示在消息顶部的文本。 例如,您可以更改默认标题:应用程序控制,这样用户就不会意识到应用程序控制已经进行了干预。
- 横幅:输入在彩色横幅中显示的文本。 要从消息框中删除彩色横幅,只需清除此字段使其保持为空。
- 消息正文:输入要在消息正文中显示的文本。
- 宽度:指定消息对话框的宽度。 宽度以像素为单位,适用于所有消息。
- 高度:指定消息对话框的高度。 高度以像素为单位,适用于所有消息。
留言提示
配置消息时,请考虑以下事项:
- 标题、横幅和消息支持环境变量 。
- 在邮件正文中使用超链接时,必须输入完整的 HREF 属性标记。
- 如果要在邮件正文中显示小于或大于尖括号,请分别使用 lt 和 gt。 不支持 JavaScript。
消息框环境变量
消息支持系统和用户环境变量以及以下应用程序控制定义的变量:
|
环境变量 |
描述 |
|---|---|
| %可执行文件名称% | 被拒绝的申请的名称。 |
| %完整路径名% | 被拒绝的应用程序的完整路径。 |
| %目录名称% | 被拒绝的应用程序所在的目录。 |
| %网络位置% | 给定主机名的解析 IP 地址。 |
| 哈希值% | 文件哈希。 |
| 文件大小% | 文件的大小。 |
|
产品版本% |
产品的版本。 |
|
文件版本% |
文件的版本。 |
| 产品名称% |
产品的名称。 |
| 公司名称% |
公司的名称。 |
| 小贩% |
证书签名者的姓名。 |
| 文件描述% |
文件的描述。 |
| 父进程% |
启动该进程的进程名称。 |
| 判定规则% |
应用程序控制配置中允许规则的名称。 |
| 文件所有者% |
文件的所有者。 |
| 客户名称% |
连接设备的名称。 |
|
端口号% |
网络端口的名称(仅当适用时)。 如果端口号不为0,则会显示在被阻止的IP地址的末尾。 |
高级设置
策略设置
配置常规、验证和功能策略设置以应用于所有应用程序执行请求。
一般特征
- 拒绝网络共享上的文件:网络共享的配置默认是拒绝所有内容,除非在允许规则中指定。 当禁用此设置时,允许网络共享上的所有内容,除非未通过受信任的所有权检查或在拒绝规则中指定。
验证
- 验证 MSI(Windows 安装程序)包:MSI 文件是安装 Windows 应用程序的标准方法。 建议用户不要随意安装MSI应用程序。
启用后,默认设置是拒绝运行 msiexec.exe,并且所有 MSI 都需要经过规则验证。
禁用此设置时,msiexec.exe 不会被阻止,并且 MSI 文件将被允许运行,但须经过规则验证。 - 验证 PowerShell 脚本:启用后,拒绝运行 powershell.exe 和 powershellise.exe。 但是,如果在命令行上发现 PowerShell 脚本(PS1 文件),则需要对其进行规则验证。
禁用后,默认设置 powershell.exe 和 powershell.ise.exe 不再被阻止,并且 PS1 文件不再受到规则验证。- 阻止 -Command:启用时,默认设置,任何包含 -Command 的 PowerShell 命令行都将被阻止。
要更改安全级别,您可能需要取消选择此选项,以禁用“-Command”的阻止。
示例:在文件资源管理器中,右键单击 PS1 文件,然后选择 使用 PowerShell 运行。 Explorer 自动添加 -Command 来查询当前执行策略并提示用户询问他们是否要更改它。 为了让应用程序控制评估以此方式运行的 PS1 文件,而不仅仅是阻止它们,请禁用 Block -Command 选项。请注意,禁用后,任何 PS1 受信任文件都可以通过 -Command 参数插入恶意代码进行修改,并且会运行,因为文件本身是受信任的。
- 阻止 -Command:启用时,默认设置,任何包含 -Command 的 PowerShell 命令行都将被阻止。
- 允许 CMD 执行批处理文件:预计管理员将在其应用程序控制配置中明确禁止 cmd.exe。
启用后,默认设置将允许运行 cmd.exe。 如果规则明确拒绝 cmd.exe,则不允许 cmd.exe 自行运行,但是批处理文件将根据规则验证运行。
当禁用此设置时,不允许运行 cmd.exe,但允许运行所有批处理文件。 如果规则明确拒绝 cmd.exe,则所有批处理文件都会被阻止,甚至不会被评估。 - 验证 WSH(Windows 脚本宿主)脚本:脚本可能会引入病毒和恶意代码,因此建议验证 WSH 脚本。
启用后,默认设置将拒绝 cscript.exe 和 wscript.exe。 但是运行js或者vb脚本需要经过规则验证。
当禁用此设置时,cscript.exe 和 wscript.exe 不再默认被阻止,并且 js 或 vb 脚本不再受到规则验证。 - 验证注册表文件:启用后,默认设置将拒绝 regedit.exe 和 regini.exe。 运行 .reg 脚本需要经过规则验证。
当禁用此设置时,regedit.exe 和 regini.exe 不再默认被阻止。 此外,.reg 脚本不再受到规则验证。 - 验证 Java 档案:启用后,默认设置将拒绝 java.exe 和 javaw.exe。 但是,如果在命令行上找到 Java 档案(JAR 文件),则需要进行规则验证。
当禁用此设置时,java.exe 和 javaw.exe 不再默认被阻止,并且 JAR 文件不再受到规则验证。
功能
- 启用应用程序访问控制:启用后,访问控制由配置拒绝规则强制执行。
禁用此设置时,所有拒绝规则都将被忽略,不会拒绝任何应用程序访问,因此一切都被允许。 - 启用用户权限管理:启用后,用户权限由配置提升规则决定。
禁用此设置时,所有提升规则都将被忽略,并且不允许任何应用程序提升。
自定义设置
配置要应用于受管端点的其他设置:
- 驱动程序挂钩排除:选择在运行应用程序控制时排除驱动程序挂钩。 应用程序控制将 DLL 注入所有正在运行的进程,以帮助其拦截和修改进程行为,例如允许或提升。 此排除意味着不会注入应用程序控制 DLL。
输入要创建的驱动程序挂钩排除列表的文件名,使用分号分隔文件名。
此自定义设置仅应在 Ivanti 技术支持的指导下使用。
- 应用程序控制驱动程序排除:选择排除应用程序控制驱动程序拦截列出的特定进程的进程启动请求。 应用程序控制有一个驱动程序,它可以阻止进程启动,直到运行完检查(例如规则匹配或受信任的所有权)。 此排除可防止驱动程序拦截启动请求。
输入要创建的过滤驱动程序排除列表的文件名,使用分号或空格分隔符分隔文件名。此设置需要重新启动代理才能生效。
- 显示被阻止的 DLL 的消息:选择在 DLL 被阻止时显示应用程序控制访问被拒绝消息。
- 配置文件保护:选择此选项可防止用户和管理员读取、复制、编辑和删除端点上的应用程序控制配置文件。
审计设置
配置审计的常规设置。
将应用程序控制事件提升到本地应用程序事件日志:选择以启用应用程序控制审核。 所有应用程序控制事件都将捕获到本地 Windows 应用程序事件日志中。
| 事件 ID | 名称 | 描述 |
|---|---|---|
| 9018 | 应用程序用户权限已更改 | 应用程序的用户权限已发生改变。 |
| 9060 | 拒绝执行(受信任的所有权) | 拒绝执行请求(受信任的所有权) |
| 9061 | 拒绝执行(规则策略) | 拒绝执行请求(规则策略) |
| 9062 | 申请开始提升 | 以提升的(完全管理员)权限启动的应用程序 |