配置设置
您可以为每个配置定义消息设置和高级设置。
消息设置
“消息设置”用于定义用户看到的消息框显示样式,并指定用户尝试启动符合配置规则的应用程序时会看到的消息内容。
您可以定义以下用户消息:
- 提升权限提示:定义需要提升权限才能执行应用程序时显示的消息:
- 定义需要提升权限才能运行应用程序时显示的消息。
您可以在规则项目设置面板 > 属性选项卡 > 策略部分中,针对每个提升规则项目启用此消息提示。 - 定义需要提升权限并提供理由才能运行应用程序时显示的消息。
您可以在规则项目设置面板 > 属性选项卡 > 策略部分中,针对每个提升规则项目启用此消息提示。
- 定义需要提升权限才能运行应用程序时显示的消息。
对于每种类型的消息,请定义以下内容:
- 标题:消息顶部显示的文本。 例如,您可以更改默认标题“App Control”,这样一来用户便不会意识到 App Control 已进行干预。
- 横幅:输入要在彩色横幅中显示的文本。 如需从消息框中删除彩色横幅,只需清除此字段,使其为空。
- 消息正文:输入消息正文显示的文本。
- 宽度:指定消息对话框的宽度。 宽度以像素为单位,适用于所有消息。
- 高度:指定消息对话框的高度。 高度以像素为单位,适用于所有消息。
消息提示
配置消息时,请考虑到以下几点:
- 标题、横幅和消息均支持环境变量。
- 在消息正文中使用超链接时,必须输入完整的 HREF 属性标签。
- 如果要在消息正文中显示小于或大于尖括号,请分别使用 < 和 >。 不支持 JavaScript。
消息框环境变量
消息支持系统和用户环境变量以及以下 App Control 定义的变量:
|
环境变量 |
描述 |
|---|---|
| %ExecutableName% | 被拒绝应用程序的名称。 |
| %FullPathName% | 被拒绝应用程序的完整路径。 |
| %DirectoryName% | 被拒绝应用程序所在的目录。 |
| %NetworkLocation% | 给定主机名的已解析 IP 地址。 |
| %AC_Hash% | 文件哈希。 |
| %AC_FileSize% | 文件大小。 |
|
%AC_ProductVersion% |
产品版本。 |
|
%AC_FileVersion% |
文件版本。 |
| %AC_ProductName% |
产品名称。 |
| %AC_CompanyName% |
公司名称。 |
| %AC_Vendor% |
证书签名者姓名。 |
| %AC_FileDescription% |
文件说明。 |
| %AC_ParentProcess% |
启动它的进程的名称。 |
| %AC_DecidingRule% |
App Control 配置中允许规则的名称。 |
| %AC_FileOwner% |
文件所有者。 |
| %AC_ClientName% |
连接设备的名称。 |
|
%AC_PortNumber% |
网络端口的名称(仅适用时)。 如果端口编号不是 0,则会显示在被阻止 IP 地址的末尾。 |
高级设置
策略设置
配置常规、验证和功能策略设置以应用于所有应用程序执行请求。
一般功能
- 拒绝网络共享上的文件:配置会默认拒绝网络共享中的所有内容,允许规则中指定的除外。 禁用此设置即可允许网络共享中的所有内容,可信所有权检查失败或拒绝规则指定的除外。
验证
- 验证 MSI(Windows 安装程序)程序包:MSI 文件是安装 Windows 应用程序的标准方法。 建议不允许用户随意安装 MSI 应用程序。
启用后,默认设置将是拒绝运行 msiexec.exe,并且所有 MSI 都需要经过规则验证。
禁用此设置后,将不再阻止 msiexec.exe,也允许运行 MSI 文件,但须经过规则验证。 - 验证 PowerShell 脚本:启用后,将拒绝运行 powershell.exe 和 powershell_ise.exe。 但是,如果在命令行中发现 PowerShell 脚本(PS1 文件),则需要对其进行规则验证。
禁用后,默认设置将不再阻止 powershell.exe 和 powershell.ise.exe,PS1 文件也不再受规则验证所限。- 阻止 -Command:启用后,默认设置将阻止任何包含 -Command 的 PowerShell 命令行。
要更改安全级别,您可能需要取消选择此选项,以便禁用阻止 -Command 的功能。
示例:在文件资源管理器中,右键点击 PS1 文件,然后选择使用 PowerShell 运行。 资源管理器自动添加 -Command 来查询当前执行策略并通过提示询问用户是否要进行更改。 为了让 App Control 评估以此方式运行的 PS1 文件,而不是直接阻止,请禁用阻止 -Command 选项。请注意,禁用后,通过 -command 参数插入的恶意代码将能修改并运行任何 PS1 可信文件,因为文件本身是可信的。
- 阻止 -Command:启用后,默认设置将阻止任何包含 -Command 的 PowerShell 命令行。
- 允许 CMD 执行批处理文件:预期情况下,管理员将在其 App Control 配置中明确禁止 cmd.exe。
启用后,默认设置将允许运行 cmd.exe。 如果规则明确拒绝 cmd.exe,则不允许 cmd.exe 自行运行,而是否运行批处理文件将取决于规则验证。
禁用此设置后,不允许运行 cmd.exe,但允许运行所有批处理文件。 如果规则明确拒绝 cmd.exe,则所有批处理文件都会被阻止,甚至不会进行评估。 - 验证 WSH(Windows 脚本主机)脚本:脚本可能会引入病毒和恶意代码,因此建议验证 WSH 脚本。
启用后,默认设置将拒绝 cscript.exe 和 wscript.exe。 但是否运行 js 或 vb 脚本将取决于规则验证。
禁用此设置后,默认不再阻止 cscript.exe 和 wscript.exe,并且 js 或 vb 脚本不再受规则验证所限。 - 验证注册表文件:启用后,默认设置将拒绝 regedit.exe 和 regini.exe。 运行 .reg 脚本需要经过规则验证。
禁用此设置后,默认不再阻止 regedit.exe 和 regini.exe。 此外,.reg 脚本不再受规则验证所限。 - 验证 Java 存档:启用后,默认设置将拒绝 java.exe 和 javaw.exe。 但是,如果在命令行中发现 Java 存档(JAR 文件),则需要对其进行规则验证。
禁用此设置后,默认不再阻止 java.exe 和 javaw.exe,并且 JAR 文件不再受规则验证所限。
功能
- 启用应用程序访问控制:启用后,配置拒绝规则将强制执行访问控制。
禁用此设置后,所有拒绝规则都将被忽略,不会拒绝任何应用程序访问,因此允许一切。 - 启用用户权限管理:启用后,用户权限由配置提升规则决定。
禁用此设置后,所有提升规则都将被忽略,并且不允许任何应用程序权限提升。
自定义设置
配置要应用于托管端点的其他设置:
- 驱动程序挂钩排除:选择此选项可在运行 App Control 时排除驱动程序挂钩。 App Control 将 DLL 注入所有正在运行的进程,以此助其拦截和修改进程行为,例如允许或提升。 此处的排除是指不会注入 App Control DLL。
输入用于创建驱动程序挂钩排除列表的文件名,请使用分号分隔文件名。
此自定义设置应仅在 Ivanti 技术支持人员的指导下使用。
- App Control 驱动程序排除:选择此选项可禁止 App Control 驱动程序拦截所列特定进程的进程启动请求。 App Control 设有一个驱动程序,可阻止进程启动,直到检查运行完成,例如规则匹配或可信所有权。 此排除选项可防止驱动程序拦截启动请求。
输入用于创建筛选器驱动程序排除列表的文件名,请使用分号或空间分隔符来分隔文件名。此设置需要重新启动代理才能生效。
- DLL 被阻止时显示消息:选择此选项可在 DLL 被阻止时显示 App Control 访问被拒绝消息。
- 配置文件保护:选择此选项可防止用户和管理员读取、复制、编辑和删除端点上的 App Control 配置文件。
审核设置
配置审核的一般设置。
将 App Control 事件提交到本地应用程序事件日志:选择此选项可启用 App Control 审核。 所有 App Control 事件都将捕获到本地 Windows 应用程序事件日志中。
| 事件 ID | 名称 | 描述 |
|---|---|---|
| 9018 | 应用程序用户权限已更改 | 应用程序的用户权限已更改。 |
| 9060 | 拒绝的执行(可信所有权) | 拒绝的执行请求(可信所有权) |
| 9061 | 拒绝的执行(规则策略) | 拒绝的执行请求(规则策略) |
| 9062 | 应用程序启动已提升 | 已使用提升后的权限(完全管理员权限)启动应用程序 |