組態設定
您可以為每個組態定義訊息設定和進階設定。
訊息設定
「訊息設定」用於定義訊息方塊的顯示方式,並根據組態規則,指定在使用者嘗試啟動應用程式時顯示的訊息內容。
您可以定義以下使用者訊息:
- 提高權限提示: 定義需要提高權限才能執行應用程式時顯示的訊息:
- 定義需要提高權限才能執行應用程式時顯示的訊息。
您可以在規則項目設定面板 > 屬性索引標籤 > 原則區段中,根據提升規則項目,啟用此訊息提示。 - 定義需要提高權限並提供原因才能執行應用程式時顯示的訊息。
您可以在規則項目設定面板 > 屬性索引標籤 > 原則區段中,根據提升規則項目,啟用此訊息提示。
- 定義需要提高權限才能執行應用程式時顯示的訊息。
針對各項訊息類型,定義如下:
- 標題: 要顯示在訊息最上方的文字。 例如,您可以變更預設標題: App Control,這樣使用者便不會意識到 App Control 已介入其中。
- 橫幅: 輸入要顯示在彩色橫幅中的文字。 若要移除訊息方塊的彩色橫幅,只需清除此欄位,使其維持空白。
- 訊息本文: 輸入要顯示在訊息本文中的文字。
- 寬度: 指定訊息對話方塊的寬度。 寬度的測量單位是像素,適用於全部訊息。
- 高度: 指定訊息對話方塊的高度。 高度的測量單位是像素,適用於全部訊息。
訊息提示
在設定訊息時,請務必考量下列因素:
- 標題、橫幅與訊息均支援環境變數。
- 在訊息本文中使用超連結時,必須輸入完整 HREF 屬性標籤。
- 若要在訊息本文中顯示小於或大於角括號,請分別使用 < 和 >。 不支援 JavaScript。
訊息方塊環境變數
訊息支援系統和使用者環境變數以及 App Control 定義的以下變數:
|
環境變數 |
說明 |
|---|---|
| %ExecutableName% | 拒絕的應用程式的名稱。 |
| %FullPathName% | 拒絕的應用程式的完整路徑。 |
| %DirectoryName% | 拒絕的應用程式所在的目錄。 |
| %NetworkLocation% | 指定的主機名稱的解析 IP 位址。 |
| %AC_Hash% | 檔案雜湊。 |
| %AC_FileSize% | 檔案的大小。 |
|
%AC_ProductVersion% |
產品的版本。 |
|
%AC_FileVersion% |
檔案的版本。 |
| %AC_ProductName% |
產品的名稱。 |
| %AC_CompanyName% |
公司的名稱。 |
| %AC_Vendor% |
憑證簽署者的名稱。 |
| %AC_FileDescription% |
檔案的說明。 |
| %AC_ParentProcess% |
將其啟動之處理序的名稱。 |
| %AC_DecidingRule% |
App Control 組態內允許規則的名稱。 |
| %AC_FileOwner% |
檔案擁有者。 |
| %AC_ClientName% |
連線裝置的名稱。 |
|
%AC_PortNumber% |
網路連接埠的名稱 (僅在適用情況下)。 如果連接埠號碼不為 0,則會顯示於已封鎖 IP 位址的結尾。 |
進階設定
原則設定
設定一般、驗證和功能原則設定以套用至所有應用程式執行要求。
一般功能
- 拒絕網路共用中的檔案: 網路共用的預設組態是拒絕所有項目,但允許規則中指定的項目除外。 停用此設定時,表示允許網路共用內的所有項目,但未通過受信任擁有權檢查,或是在拒絕規則中指定的項目除外。
驗證
- 驗證 MSI (Windows 安裝程式) 套件: MSI 檔案是安裝 Windows 應用程式的標準方式。 建議禁止使用者自由安裝 MSI 應用程式。
啟用後,預設設定將拒絕執行 msiexec.exe,而且所有 MSI 都將接受規則驗證。
停用此設定後,不會封鎖 msiexec.exe,而且將允許執行 MSI 檔案,但需要經過規則驗證。 - 驗證 PowerShell 指令碼: 啟用後,將拒絕執行 powershell.exe 和 powershell_ise.exe。 但是,如果在命令列上找到 PowerShell 指令碼 (PS1 檔案),則需進行規則驗證。
停用後,預設設定將不再封鎖 powershell.exe 和 powershell.ise.exe,而且 PS1 檔案不需要再接受規則驗證。- 封鎖 -Command: 啟用後,預設設定將封鎖包含 -Command 的任何 PowerShell 命令列。
若要變更安全性層級,您可能需要取消選取此選項,以停用 -Command 的封鎖。
範例: 在檔案總管中,以滑鼠右鍵按一下 PS1 檔案,然後選取使用 PowerShell 執行。 檔案總管會自動新增 -Command 來查詢目前的執行原則,並在提示中詢問使用者是否要變更。 若要讓 App Control 評估以這種方式執行的 PS1 檔案,而不是直接封鎖它們,請停用封鎖 -Command 選項。請注意,停用後,可使用透過 -Command 引數插入的惡意程式碼來修改並執行任何 PS1 受信任檔案,因為該檔案本身是受信任的。
- 封鎖 -Command: 啟用後,預設設定將封鎖包含 -Command 的任何 PowerShell 命令列。
- 允許 CMD 執行批次檔: 預期的狀況是,管理員將在其 App Control 組態中明確禁止 cmd.exe。
啟用後,預設設定將允許執行 cmd.exe。 如果某個規則明確拒絕 cmd.exe,則不允許 cmd.exe 自行執行,但是批次檔可在經過規則驗證後執行。
停用此設定後,將不允許執行 cmd.exe,但允許執行所有批次檔。 如果某個規則明確拒絕 cmd.exe,則所有批次檔都將遭到封鎖,甚至不會對其進行評估。 - 驗證 WSH (Windows Script Host) 指令碼: 指令碼可能會引入病毒和惡意程式碼,因此建議驗證 WSH 指令碼。
啟用後,預設設定將拒絕 cscript.exe 和 wscript.exe。 但是,執行 js 或 vb 指令碼需要經過規則驗證。
停用此設定後,預設不再封鎖 cscript.exe 和 wscript.exe,而且 js 或 vb 指令碼不需要再接受規則驗證。 - 驗證登錄檔案: 啟用後,預設設定將拒絕 regedit.exe 和 regini.exe。 執行 .reg 指令碼需要經過規則驗證。
停用此選項後,預設不再封鎖 regedit.exe 和 regini.exe。 此外,.reg 指令碼不需要再接受規則驗證。 - 驗證 Java 封存: 啟用後,預設設定將拒絕 java.exe 和 javaw.exe。 但是,如果在命令列上找到 Java 封存 (JAR 檔案),則需進行規則驗證。
停用此設定後,預設不再封鎖 java.exe 和 javaw.exe,而且 JAR 檔案不需要再接受規則驗證。
功能
- 啟用應用程式存取控制: 啟用後,組態拒絕規則將強制執行存取控制。
停用此設定後,將忽略所有拒絕規則,不會拒絕任何應用程式存取,因此允許所有項目。 - 啟用使用者權限管理: 啟用後,使用者權限取決於組態提高權限規則。
停用此設定後,將忽略所有提高權限規則,而且不允許應用程式提高權限。
自訂設定
設定其他設定以套用至受管理的端點:
- 驅動程式勾點排除: 選取此選項可在執行 App Control 時排除驅動程式勾點。 App Control 會將 DLL 插入所有執行中的處理序中,以協助其攔截和修改處理序行為,例如允許或提高權限。 此排除意味著將不會插入 App Control DLL。
輸入檔案名稱以建立驅動程式勾點排除清單,並使用分號分隔檔案名稱。
此自訂設定應僅在 Ivanti 技術支援人員的指引之下使用。
- App Control 驅動程式排除: 選取此選項可禁止 App Control 驅動程式攔截所列特定處理序的處理序啟動要求。 App Control 有一個驅動程式,可以阻止處理序在執行檢查 (例如規則比對或受信任擁有權) 之前啟動。 此排除可防止驅動程式攔截啟動要求。
輸入檔案名稱以建立篩選器驅動程式排除清單,並使用分號或空格分隔符號分隔檔案名稱。此設定需要代理程式重新啟動才能生效。
- 封鎖 DLL 時顯示訊息: 選取此選項可在 DLL 遭到封鎖時顯示 App Control 存取遭拒的訊息。
- 組態檔保護: 選取此選項可防止使用者和管理員讀取、複製、編輯和刪除端點上的 App Control 組態檔。
稽核設定
設定稽核的一般設定。
將 App Control 事件送至本機應用程式事件記錄: 選取此選項可啟用 App Control 稽核。 所有 App Control 事件都將擷取至本機 Windows 應用程式事件記錄。
| 事件 ID | 名稱 | 說明 |
|---|---|---|
| 9018 | 應用程式使用者權限已變更 | 應用程式的使用者權限已變更。 |
| 9060 | 拒絕的執行 (受信任擁有權) | 拒絕的執行要求 (受信任擁有權) |
| 9061 | 拒絕的執行 (規則原則) | 拒絕的執行要求 (規則原則) |
| 9062 | 已提高權限以啟動應用程式 | 已使用提高權限 (完整管理員權限) 啟動應用程式 |