Configuración avanzada

En esta sección:

La configuración avanzada le permite configurar ajustes adicionales que se aplicarán en puntos terminales administrados cuando se despliegue una configuración de Control de aplicaciones. Si se despliega una nueva configuración que contenga una configuración avanzada nueva, se eliminará cualquier configuración avanzada anterior del punto terminal.

Gestionar la configuración avanzada

  1. Abrir una configuración de Control de aplicaciones.
  2. Acceda a la pestaña Ajustes de configuración > Configuración avanzada.
  3. Haga clic con el botón derecho y seleccione Agregar para mostrar el diálogo Agregar configuración avanzada.
  4. Seleccione los ajustes que desee configurar y haga clic en Aceptar. Puede seleccionar varios ajustes.
  5. Los ajustes seleccionados se agregan a la pestaña Configuración avanzada.
  6. Ajuste los valores como sea necesario. Si selecciona un ajuste, puede ver una descripción bajo la tabla.
  7. Haga clic en Guardar.

La configuración se aplica cuando se despliega la configuración en los puntos terminales administrados.

Configuración avanzada disponible

Security Controls Control de aplicaciones contiene los siguientes ajustes configurables avanzados:

Ajuste Tipo de datos Descripción

ADComputerGroupMembershipTimeoutSecs

Numérico

Tiempo de espera, en segundos, para búsquedas de grupos de equipos anidados. La configuración predeterminada es 120 segundos y ajustar este valor a 0 deshabilita el tiempo de espera.

ADQueriesEnabled

Numérico

Este ajuste controla los tipos de consultas AD que se usan para determinar el Nombre distintivo del sistema y la membresía del grupo de equipos.

Un valor de 0 deshabilita las consultas que se realizan en AD y el uso de los grupos de equipos y OU en la configuración.

El valor predeterminado 1 hace que el agente lleve a cabo las consultas de Nombre distintivo y AD de grupo de equipos (no anidados) directos. Se ignoran los grupos de equipos anidados en la configuración.

El valor 2 hace que el agente lleve a cabo las consultas de Nombre distintivo y AD de grupo de equipos directos y anidados. Este ajuste puede provocar problemas de rendimiento en el DC debido a un alto uso de la CPU.

AlternateTOCheck

Numérico

Las comprobaciones de la Propiedad de confianza han provocado, ocasionalmente, un uso excesivo de CPU en el proceso del SISTEMA cuando los controladores de filtros de terceros se instalan en el sistema. Habilitar este ajuste, usar un valor de 1, provoca que Control de aplicaciones utilice un método alternativo de búsqueda de Propiedad de confianza, que, en algunos casos, mitiga este problema.

AMFileSystemFilterFailSafe

Numérico

Este ajuste configura si el controlador de filtros del sistema de archivos opera en un modo a prueba de errores o en modo seguro. Si hay un problema con el Agente y éste deja de responder, el controlador se desconecta en modo a prueba de errores y no intercepta más solicitudes. Un valor de 1 indica A prueba de errores y 0 indica Seguro. El modo a prueba de errores es el que se usa por defecto. Cambiar este ajuste requiere que un Agente reinicie para que surta efecto.

AppHookDelayLoad

Texto

Este ajuste hace que AmAppHook Dll se cargue después de retraso (ms) de milisegundos configurable. Este ajuste se configura por nombre de archivo. El formato es <filename+extension>,<delay>. El nombre y la extensión del archivo puede contener comodines. Cada par está delimitado por punto y coma. Por ejemplo 'calc.exe,2000;note*.exe,6000'

AppHookEx Texto

Control de aplicaciones utiliza un gancho de Windows como parte de la función de Control de acceso a la red de la aplicación (ANAC, por sus siglas en inglés). En casos excepcionales, las aplicaciones pueden mostrar un comportamiento inesperado cuando se enganchan. Este ajuste es una lista de aplicaciones en las que las funciones específicas de ANAC no se enganchan y, por tanto, no están sujetas a las reglas de ANAC.

Si una aplicación se nombra en AppHookEx y en UrmHookEx, la AmAppHook.dll no se cargará. Múltiples entradas se delimitan con un punto y coma (;).

AppInitDllPosition

Numérico

Utilice este ajuste para especificar si el controlador AsModLdr o la clave de registro Appinit se utilizan para inyectar el gancho Control de aplicaciones. Este ajuste también se usa para determinar la posición de AMLdrAppinit.dll en el valor de registro de AppInit_DLL.

Ajuste uno de los siguientes valores:

  • 0: posiciona el AMLdrAppInit.dll al principio de la lista de AppInit_DLLs.
  • 1: posiciona el AMLdrAppInit.dll al final de la lista de AppInit_DLLs.
  • -1: excluye el AMLdrAppInit.dll de las listas AppInit_DLLs y ASModLdr. Cuando se ejecuta el AMLdrAppInit.dll desde ambas listas, no se producirá ninguna inyección automática.
  • 2: agrega el AMLdrAppInit.dll a la lista de ASModLdr de dlls a inyectar. Es el valor predeterminado.

Este ajuste solo se debe utilizar bajo la guía del Equipo de apoyo de Ivanti.

AssumeActiveSetupDespiteCitrix

Con los clientes de Citrix usando aplicaciones publicadas, la configuración de Windows Active no se ejecuta como parte del inicio de sesión del cliente de Citrix. Por defecto, Control de aplicaciones detecta que el cliente utiliza un protovolo de Citrix y luego asume la configuración activa que se excluye para que las aplicaciones bloqueadas no se permitan nunca, bajo ninguna circunstancia que pueda parecer una configuración activa. Además, y como opción, Control de aplicaciones puede imponer una comprobación más estricta de Citrix: ajuste el valor de esta configuración como 1 para que Control de aplicaciones imponga una comprobación más estricta si parece que una aplicación denegada se va a permitir en estas circunstancias. Ajuste el valor como 2 para evitar que Control de aplicaciones pueda hacer estas comprobaciones de 'Citrix' si las aplicaciones parecen bloqueadas durante la configuración activa real.

 

BrowserAppStorePort Numérico Introduzca el puerto que se utiliza para permitir la instalación de la extensión de Chrome para el control del navegador.
BrowserCommsPort Numérico Introduzca el puerto que se utilizará para las comunicaciones desde las extensiones del navegador al agente.
BrowserExtensionInstallHive Numérico

Este ajuste de ingeniería permite al administrador elegir en qué hive del registro se instalará la extensión del navegador de Chrome Control de aplicaciones. Las opciones son:

  • 0: extensión no instalada
  • 1: instalar en HKLM
  • 2: instalar en HKCU.

0 es donde el administrador debe configurar manualmente su propiea appstore de empresa para deplegar la extensión de Chrome Control de aplicaciones. El comportamiento predeterminado es 2 - para instalar la extensión de chrome en HKCU.

BrowserHookEx

Texto

El valor se puede ajustar como 'Chrome.exe' para evitar que el gancho del navegador de Control de aplicaciones (BrowserHook.dll) se inyecte. El gancho del navegador evita todas las comunicaciones de red hasta que la Extensión de Chrome establece una conexión con el Agente de control de aplicaciones.

Ninguna función central se ve afectada por este ajuste personalizado.

BrowserNavigateEx

Texto

Una lista de navegación de URL delimitada por líneas verticales (|) que omite el proceso de los eventos de navegación. Las URL de esta lista no están sujetas a la redirección de URL.

ComputerOUThrottle

Numérico

Este ajuste limita un búsqueda de Active Directory por cliente de la conexión, para comprobar la pertenencia a la Unidad organizativa, limitando el número de consultas simultáneas. Esta limitación ayuda a reducir la cantidad de tráfico por consulta en un dominio si se gestionan un gran volumen de clientes que se conectan. Ajuste este valor entre 0 y 65535.

DFSLinkMatching

Numérico

Las rutas de enlace DFS se pueden agregar a las reglas. Los enlaces DFS y los objetivos DFS se tratan como elementos independientes separados que se deben combinar. No hay conversión de Enlace a Objetivo antes de aplicar las reglas. Ajuste este valor como 1 para habilitar la combinación de enlace DFS.

DirectHookNames

Texto

Control de aplicacionesel gancho de Windows se carga en todos los procesos para cargar user32.dll por defecto. Las aplicaciones que no cargan este DLL no se enganchan. Las aplicaciones que no carguen user32.dll se deberán incluir en esta configuración como parte de una lista de rutas completas o nombres de archivos delimitada por puntos y coma.

DisableAppV5AppCheck

Numérico

Por defecto, cualquier aplicación que se inicie utilizando AppV5 queda exenta de la comprobación de Propiedad de confianza. Utilice este ajuste para deshabilitar este comportamiento con un valor 1.

DisableSESecondDesktop Numérico Por defecto, el diálogo de auditoría para la autoelevación se muestra en un segundo escritorio. Ajuste 1 para mostrar el diálogo en el escritorio principal.

DoNotWalkTree

Numérico

Por defecto, las reglas del proceso comprueban toda la clave principal en busca de coincidencias. Este ajuste indica a las reglas del proceso que solo deben mirar al pariente directo del proceso y no comprobar todo el árbol. Un valor de 1 habilita este ajuste.

DriverHookEx

Texto

Una lista de aplicacoines limitada por punto y coma que no tendrá inyectado el gancho (AMAppHook.Dll) de Control de aplicaciones. Control de aplicaciones requiere que el gancho se cargue para que funcionen determinadas funciones. Este ajuste personalizado solo se debe utilizar bajo la guía del Equipo de apoyo de Ivanti.

EnableScriptPreCheck

Numérico

Mientras que las secuencias de las reglas secuenciadas se procesan, se tratan como si se hubieran transformado en un valor falso. El tiempo que duran las secuencias varía según su contenido. Este ajuste proporciona el mejor rendimiento durante el inicio del equipo y el inicio de sesión del usuario, porque todo lo que depende del resultado de una secuencia no se verá retrasado. Ajuste el valor a 1 para que los procesos esperen hasta que haya terminado la secuencia relevante. Esto puede ralentizar significativamente el inicio del equipo y del usuario.

Control de aplicaciones no espera indefinidamente los resultados de las secuencias: se aplica un tiempo de espera de 30 segundos.

EnableSignatureOptimization

Numérico

Esta configuración mejora el rendimiento de la conexión de reglas, cuando se usan firmas. Los archivos que no coinciden con la ruta completa no tienen hash, ya que se asume que no son el mismo archivo. Ajustar a 1 para habilitar.

Habilitar este ajuste y ExtendedAuditInfo no mostrará el nombre de los archivos con hash en los metadatos de auditoría.

ExplicitShellProgram

Texto

Esta configuración se utiliza para el Control de acceso de aplicaciones (AAC, por sus siglas en inglés). Control de aplicaciones trata el inicio del programa shell (por defecto explorer.exe) como el desencadenante de la sesión que se va a considerar inicio de sesión. Distintos entornos y tecnologías pueden cambiar la aplicación shell y el agente en ocasión no puede detectar lo que es el programa shell. Control de aplicaciones usa las aplicaciones de esta lista (además de las aplicaciones shell predeterminadas) para determinar cuándo se considera que una sesión ha iniciado sesión. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos.

ExProcessNames

Texto

Una lista de nombres de archivos separados por espacios que se deberá excluir del controlador de filtros.

Cambiar este ajuste requiere que un Agente reinicie para que surta efecto.

ExtendedAuditInfo

Numérico

Esta configuración amplía la información del archivo para eventos de auditoría. Infomar del hash del Algoritmo de hash segurod 1 (SHA-1, por sus siglas en inglés), tamaño del archivo, versión del archivo y del producto, descripción del archivo, proveedor, nombre de empresa y nombre del producto para cada archivo de sus eventos de auditoría. La información se agrega inmediatamente después del nombre del archivo en el registro de eventos. Esta configuración está activa por defecto. Para desactivarla, introduzca un valor 0.

La generación de un hash o de una suma de comprobación se deshabilita cuando se habilita la configuración de EnableSignatureOptimization.

ForestRootDNQuery

Numérico

Ajuste el valor a 1 para habilitar el Agente de control de aplicaciones para llevar a cabo una consulta raíz de bosque. La consulta incluye seguir las referencias para determinar el Nombre distintivo de los dispositivos que se van a conectar para la membresía de OU y del Grupo de equipos en las Reglas del dispositivos.

ImageHijackDetectionInclude Texto

Una lista de nombres de procesos con la que se verifican todos los procesos hijos para garantizar que la imagen hija se ejecuta sin corrupción o modificación y que coincide con la que se solicitó inicialmente. Si no se verifica el proceso hijo, se terminará. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos.

OwnershipChange

Numérico

Control de aplicaciones detecta si un propietario sin confianza cambia un archivo de confianza. En tal caso, el propietario del archivo se cambia al usuario sin confianza y se bloquean las solicitudes de ejecución. Algunas aplicaciones reemplazan los archivos de manera que Control de aplicaciones no lo detecta por defecto, por lo que el propietario del archivo no se cambiar. Cuando se habilita, Control de aplicaciones lleva a cabo comprobaciones adicionales para captar todos los cambios y reemplazos de archivos. Ajustar a 1 para habilitar.

RemoveDFSCheckOne

Numérico

Cuando los archivos se guardan en una unidad DFS, el agente de Control de aplicaciones utiliza una serie de estrategias para evaluar la ruta UNC correcta. Una de estas estrategias puede provocar retrasos durante el inicio de sesión cuando se guardan muchas secuencias y ejecutables y Active Directory lo replica. Ajustar un valor de uno para habilitarlo hace que Control de aplicaciones ignore esta estrategia y aumenta el rendimiento en esta situación.

SECancelButtonText

Texto

El texto que se muestra con el botón cancelar en el diálogo de Autoelevación.

SelfElevatePropertiesEnabled

Numérico

Ajustar este valor a '1' para habilitar la autoelevación de las propiedades. Esta función está deshabilitada por defecto.

SelfElevatePropertiesMenuText

Texto

El texto de la opción del menú contextual para las autoelevación de propiedades.

SEOkButtonText

Texto

El texto que se muestra con el botón Aceptar en el diálogo de Autoelevación.

ShowMessageForBlockedDLLs

Ajustar el valor a 1 para mostrar el cuadro de mensaje de acceso denegado de Control de aplicaciones para los DLL denegados.

 

UrlRedirectionSecPolicy

Numérico

Por defecto, la función de Redirección de URL ignora la política de seguridad. Este ajuste de ingeniería permite al administrador forzar la Redirección de URL para que siga la política de seguridad configurada. Ajustar a 1 para habilitar.

La autorización propia no es compatible.

UrmForceMediumIntegrityLevel

Texto

Una configuración personalizada de Gestión de privilegios de usuarios (UPM, por sus siglas en inglés) que se utiliza para reemplazar el nivel de integridad cuando los privilegios de usuarios son aplicaciones elevadas, que, por defecto, establece el nivel de integridad como alto. Cuando se usa este ajuste, el nivel se reduce a medio. Este valor debe ser una lista delimitada con punto y coma de nombres de archivos.

UrmHookEx

Texto

Control de aplicaciones utiliza un gancho de Windows como parte de la función Gestión de privilegios de usuarios. En casos excepcionales, las aplicaciones muestran un comportamiento inesperado cuando se enganchan. Este ajuste lista las aplicaciones donde no se enganchan las funciones específicas de Gestión de privilegios de usuarios.

Si una aplicación se denomina en AppHookEx y en UrmHookEx, el AmAppHook.dll no se carga y múltiples entradas se delimitan mediante punto y coma.

UrmPauseConsoleExit

Texto

Usado por la función Gestión de privilegios de usuarios. Cuando se eleva una aplicación de la consola, puede aparecer una nueva aplicación en una nueva ventana de la consola. La aplicación se ejecuta hasta el final y se cierra. Esto supone un problema si el usuario quiere ver los resultados del programa. Esta configuración hace que la aplicación permanezca hasta que se pulse una clave. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos.

UrmSecPolicy

Numérico

Por defecto, la función Gestión de privilegios de usuarios ignora la política de seguridad. Las reglas de Gestión de privilegios de usuarios se aplican en todos los casos, menos cuando se selecciona el modo Solo auditoría. Este ajuste personalizado permite a los administradores forzar la Gestión de privilegios de usuarios para que siga la política de seguridad configurada. Para niveles de seguridad sin restringir y de autorización propia, no se aplican las reglas de Gestión de privilegios de usuarios. Para niveles de seguridad restringidos y de autorización propia, se aplican las reglas de Gestión de privilegios de usuarios.

Ajuste un valor de 1 para habilita este ajuste.

UseLegacyDriver

Numérico

La versión 2019.2 usa la plataforma de Kernel como tecnología de controlador predeterminada. Este ajuste proporciona una opción para usar los controladores legados asociados con Control de aplicaciones en caso de que se produzca algún problema con los controladores de filtros de la plataforma Kernel.