Configuración avanzada

Tiempo de espera, en segundos, para búsquedas de grupos de equipos anidados. La configuración predeterminada es 120 segundos y ajustar este valor a 0 deshabilita el tiempo de espera.

Este ajuste controla los tipos de consultas AD que se usan para determinar el Nombre distintivo del sistema y la membresía del grupo de equipos.

Un valor de 0 deshabilita las consultas que se realizan en AD y el uso de los grupos de equipos y OU en la configuración.

El valor predeterminado 1 hace que el agente lleve a cabo las consultas de Nombre distintivo y AD de grupo de equipos (no anidados) directos. Se ignoran los grupos de equipos anidados en la configuración.

El valor 2 hace que el agente lleve a cabo las consultas de Nombre distintivo y AD de grupo de equipos directos y anidados. Este ajuste puede provocar problemas de rendimiento en el DC debido a un alto uso de la CPU.

Las comprobaciones de la Propiedad de confianza han provocado, ocasionalmente, un uso excesivo de CPU en el proceso del SISTEMA cuando los controladores de filtros de terceros se instalan en el sistema. Habilitar este ajuste, usar un valor de 1, provoca que Control de aplicaciones utilice un método alternativo de búsqueda de Propiedad de confianza, que, en algunos casos, mitiga este problema.

Este ajuste configura si el controlador de filtros del sistema de archivos opera en un modo a prueba de errores o en modo seguro. Si hay un problema con el Agente y éste deja de responder, el controlador se desconecta en modo a prueba de errores y no intercepta más solicitudes. Un valor de 1 indica A prueba de errores y 0 indica Seguro. El modo a prueba de errores es el que se usa por defecto. Cambiar este ajuste requiere que un Agente reinicie para que surta efecto.

Este ajuste hace que AmAppHook Dll se cargue después de retraso (ms) de milisegundos configurable. Este ajuste se configura por nombre de archivo. El formato es <filename+extension>,<delay>. El nombre y la extensión del archivo puede contener comodines. Cada par está delimitado por punto y coma. Por ejemplo 'calc.exe,2000;note*.exe,6000'

Control de aplicaciones utiliza un gancho de Windows como parte de la función de Control de acceso a la red de la aplicación (ANAC, por sus siglas en inglés). En casos excepcionales, las aplicaciones pueden mostrar un comportamiento inesperado cuando se enganchan. Este ajuste es una lista de aplicaciones en las que las funciones específicas de ANAC no se enganchan y, por tanto, no están sujetas a las reglas de ANAC.

Si una aplicación se nombra en AppHookEx y en UrmHookEx, la AmAppHook.dll no se cargará. Múltiples entradas se delimitan con un punto y coma (;).

Utilice este ajuste para especificar si el controlador AsModLdr o la clave de registro Appinit se utilizan para inyectar el gancho Control de aplicaciones. Este ajuste también se usa para determinar la posición de AMLdrAppinit.dll en el valor de registro de AppInit_DLL.

Ajuste uno de los siguientes valores:

• 0: posiciona el AMLdrAppInit.dll al principio de la lista de AppInit_DLLs.
• 1: posiciona el AMLdrAppInit.dll al final de la lista de AppInit_DLLs.
• -1: excluye el AMLdrAppInit.dll de las listas AppInit_DLLs y ASModLdr. Cuando se ejecuta el AMLdrAppInit.dll desde ambas listas, no se producirá ninguna inyección automática.
• 2: agrega el AMLdrAppInit.dll a la lista de ASModLdr de dlls a inyectar. Es el valor predeterminado.

Este ajuste solo se debe utilizar bajo la guía del Equipo de apoyo de Ivanti.

Este ajuste de ingeniería permite al administrador elegir en qué hive del registro se instalará la extensión del navegador de Chrome Control de aplicaciones. Las opciones son:

• 0: extensión no instalada
• 1: instalar en HKLM
• 2: instalar en HKCU.

0 es donde el administrador debe configurar manualmente su propiea appstore de empresa para deplegar la extensión de Chrome Control de aplicaciones. El comportamiento predeterminado es 2 - para instalar la extensión de chrome en HKCU.

El valor se puede ajustar como 'Chrome.exe' para evitar que el gancho del navegador de Control de aplicaciones (BrowserHook.dll) se inyecte. El gancho del navegador evita todas las comunicaciones de red hasta que la Extensión de Chrome establece una conexión con el Agente de control de aplicaciones.

Ninguna función central se ve afectada por este ajuste personalizado.

Una lista de navegación de URL delimitada por líneas verticales (|) que omite el proceso de los eventos de navegación. Las URL de esta lista no están sujetas a la redirección de URL.

Este ajuste limita un búsqueda de Active Directory por cliente de la conexión, para comprobar la pertenencia a la Unidad organizativa, limitando el número de consultas simultáneas. Esta limitación ayuda a reducir la cantidad de tráfico por consulta en un dominio si se gestionan un gran volumen de clientes que se conectan. Ajuste este valor entre 0 y 65535.

Las rutas de enlace DFS se pueden agregar a las reglas. Los enlaces DFS y los objetivos DFS se tratan como elementos independientes separados que se deben combinar. No hay conversión de Enlace a Objetivo antes de aplicar las reglas. Ajuste este valor como 1 para habilitar la combinación de enlace DFS.

Control de aplicacionesel gancho de Windows se carga en todos los procesos para cargar user32.dll por defecto. Las aplicaciones que no cargan este DLL no se enganchan. Las aplicaciones que no carguen user32.dll se deberán incluir en esta configuración como parte de una lista de rutas completas o nombres de archivos delimitada por puntos y coma.

Por defecto, cualquier aplicación que se inicie utilizando AppV5 queda exenta de la comprobación de Propiedad de confianza. Utilice este ajuste para deshabilitar este comportamiento con un valor 1.

Por defecto, las reglas del proceso comprueban toda la clave principal en busca de coincidencias. Este ajuste indica a las reglas del proceso que solo deben mirar al pariente directo del proceso y no comprobar todo el árbol. Un valor de 1 habilita este ajuste.

Una lista de aplicacoines limitada por punto y coma que no tendrá inyectado el gancho (AMAppHook.Dll) de Control de aplicaciones. Control de aplicaciones requiere que el gancho se cargue para que funcionen determinadas funciones. Este ajuste personalizado solo se debe utilizar bajo la guía del Equipo de apoyo de Ivanti.

Mientras que las secuencias de las reglas secuenciadas se procesan, se tratan como si se hubieran transformado en un valor falso. El tiempo que duran las secuencias varía según su contenido. Este ajuste proporciona el mejor rendimiento durante el inicio del equipo y el inicio de sesión del usuario, porque todo lo que depende del resultado de una secuencia no se verá retrasado. Ajuste el valor a 1 para que los procesos esperen hasta que haya terminado la secuencia relevante. Esto puede ralentizar significativamente el inicio del equipo y del usuario.

Control de aplicaciones no espera indefinidamente los resultados de las secuencias: se aplica un tiempo de espera de 30 segundos.

Esta configuración mejora el rendimiento de la conexión de reglas, cuando se usan firmas. Los archivos que no coinciden con la ruta completa no tienen hash, ya que se asume que no son el mismo archivo. Ajustar a 1 para habilitar.

Habilitar este ajuste y ExtendedAuditInfo no mostrará el nombre de los archivos con hash en los metadatos de auditoría.

Esta configuración se utiliza para el Control de acceso de aplicaciones (AAC, por sus siglas en inglés). Control de aplicaciones trata el inicio del programa shell (por defecto explorer.exe) como el desencadenante de la sesión que se va a considerar inicio de sesión. Distintos entornos y tecnologías pueden cambiar la aplicación shell y el agente en ocasión no puede detectar lo que es el programa shell. Control de aplicaciones usa las aplicaciones de esta lista (además de las aplicaciones shell predeterminadas) para determinar cuándo se considera que una sesión ha iniciado sesión. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos.

Una lista de nombres de archivos separados por espacios que se deberá excluir del controlador de filtros.

Cambiar este ajuste requiere que un Agente reinicie para que surta efecto.

Esta configuración amplía la información del archivo para eventos de auditoría. Infomar del hash del Algoritmo de hash segurod 1 (SHA-1, por sus siglas en inglés), tamaño del archivo, versión del archivo y del producto, descripción del archivo, proveedor, nombre de empresa y nombre del producto para cada archivo de sus eventos de auditoría. La información se agrega inmediatamente después del nombre del archivo en el registro de eventos. Esta configuración está activa por defecto. Para desactivarla, introduzca un valor 0.

La generación de un hash o de una suma de comprobación se deshabilita cuando se habilita la configuración de EnableSignatureOptimization.

Ajuste el valor a 1 para habilitar el Agente de control de aplicaciones para llevar a cabo una consulta raíz de bosque. La consulta incluye seguir las referencias para determinar el Nombre distintivo de los dispositivos que se van a conectar para la membresía de OU y del Grupo de equipos en las Reglas del dispositivos.

Una lista de nombres de procesos con la que se verifican todos los procesos hijos para garantizar que la imagen hija se ejecuta sin corrupción o modificación y que coincide con la que se solicitó inicialmente. Si no se verifica el proceso hijo, se terminará. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos.

Control de aplicaciones detecta si un propietario sin confianza cambia un archivo de confianza. En tal caso, el propietario del archivo se cambia al usuario sin confianza y se bloquean las solicitudes de ejecución. Algunas aplicaciones reemplazan los archivos de manera que Control de aplicaciones no lo detecta por defecto, por lo que el propietario del archivo no se cambiar. Cuando se habilita, Control de aplicaciones lleva a cabo comprobaciones adicionales para captar todos los cambios y reemplazos de archivos. Ajustar a 1 para habilitar.

Cuando los archivos se guardan en una unidad DFS, el agente de Control de aplicaciones utiliza una serie de estrategias para evaluar la ruta UNC correcta. Una de estas estrategias puede provocar retrasos durante el inicio de sesión cuando se guardan muchas secuencias y ejecutables y Active Directory lo replica. Ajustar un valor de uno para habilitarlo hace que Control de aplicaciones ignore esta estrategia y aumenta el rendimiento en esta situación.

El texto que se muestra con el botón cancelar en el diálogo de Autoelevación.

Ajustar este valor a '1' para habilitar la autoelevación de las propiedades. Esta función está deshabilitada por defecto.

El texto de la opción del menú contextual para las autoelevación de propiedades.

El texto que se muestra con el botón Aceptar en el diálogo de Autoelevación.

Por defecto, la función de Redirección de URL ignora la política de seguridad. Este ajuste de ingeniería permite al administrador forzar la Redirección de URL para que siga la política de seguridad configurada. Ajustar a 1 para habilitar.

La autorización propia no es compatible.

Una configuración personalizada de Gestión de privilegios de usuarios (UPM, por sus siglas en inglés) que se utiliza para reemplazar el nivel de integridad cuando los privilegios de usuarios son aplicaciones elevadas, que, por defecto, establece el nivel de integridad como alto. Cuando se usa este ajuste, el nivel se reduce a medio. Este valor debe ser una lista delimitada con punto y coma de nombres de archivos.

Control de aplicaciones utiliza un gancho de Windows como parte de la función Gestión de privilegios de usuarios. En casos excepcionales, las aplicaciones muestran un comportamiento inesperado cuando se enganchan. Este ajuste lista las aplicaciones donde no se enganchan las funciones específicas de Gestión de privilegios de usuarios.

Si una aplicación se denomina en AppHookEx y en UrmHookEx, el AmAppHook.dll no se carga y múltiples entradas se delimitan mediante punto y coma.

Usado por la función Gestión de privilegios de usuarios. Cuando se eleva una aplicación de la consola, puede aparecer una nueva aplicación en una nueva ventana de la consola. La aplicación se ejecuta hasta el final y se cierra. Esto supone un problema si el usuario quiere ver los resultados del programa. Esta configuración hace que la aplicación permanezca hasta que se pulse una clave. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos.

Por defecto, la función Gestión de privilegios de usuarios ignora la política de seguridad. Las reglas de Gestión de privilegios de usuarios se aplican en todos los casos, menos cuando se selecciona el modo Solo auditoría. Este ajuste personalizado permite a los administradores forzar la Gestión de privilegios de usuarios para que siga la política de seguridad configurada. Para niveles de seguridad sin restringir y de autorización propia, no se aplican las reglas de Gestión de privilegios de usuarios. Para niveles de seguridad restringidos y de autorización propia, se aplican las reglas de Gestión de privilegios de usuarios.

Ajuste un valor de 1 para habilita este ajuste.