Paramètres avancés

Délai en secondes alloué pour la recherche de groupes d'ordinateurs imbriqués. La valeur par défaut est 120 secondes et la valeur 0 désactive la temporisation.

Ce paramètre contrôle le type des requêtes AD utilisées pour déterminer le nom distinctif (DN) du système et les groupes auxquels l'ordinateur appartient.

La valeur 0 désactive les requêtes adressées à AD, ainsi que l'utilisation de groupes d'ordinateurs et d'OU dans la configuration.

La valeur 1 demande à l'agent d'exécuter à la fois des requêtes AD par nom distinctif et des requêtes de groupe d'ordinateurs direct (non imbriqué). Les groupes d'ordinateurs imbriqués figurant dans la configuration sont ignorés.

La valeur 2 demande à l'agent d'exécuter des requêtes AD par nom distinctif, de groupe d'ordinateurs direct et de groupe d'ordinateurs imbriqué. Ce paramètre peut générer des problèmes de performances du contrôleur de domaine (DC) en raison de la forte consommation d'UC.

Les vérifications Trusted Ownership provoquent parfois une utilisation excessive des ressources d'UC dans le processus SYSTEM si des pilotes de filtre tiers sont installés sur le système. En activant ce paramètre avec la valeur 1, vous demandez à Contrôle des applications d'utiliser une autre méthode pour la vérification Trusted Ownership, ce qui limite parfois ce phénomène.

Ce paramètre indique si le pilote de filtre système fonctionne en mode Tolérance de pannes ou en mode Sécurité intégrée. Si l'agent connaît un problème et cesse de répondre, le pilote se déconnecte en mode Tolérance de pannes et n'intercepte plus aucune demande. La valeur 1 correspond à Tolérance de pannes, 0 à Sécurité intégrée. Tolérance de pannes est l'option par défaut. Si vous modifiez ce paramètre, un redémarrage de l'agent est nécessaire pour qu'il prenne effet.

Ce paramètre demande à la DLL AmAppHook de se charger après un délai en millisecondes (ms) que vous pouvez configurer. Vous configurez ce paramètre pour chaque nom de fichier. Le format est <filename+extension>,<delay>. Le nom de fichier et l'extension peuvent contenir des caractères génériques. Chaque paire est séparée par le caractère point-virgule. Par exemple, « calc.exe,2000;note*.exe,6000 ».

Contrôle des applications utilise un hook Windows pour la fonction Application Network Access Control (ANAC). Dans de rares situations, les applications peuvent avoir un comportement inattendu en présence d'un hook. Ce paramètre est composé de la liste des applications dans lesquelles les fonctions propres à ANAC ne portent pas de hook et, par conséquent, ne sont pas soumises aux règles ANAC.

Si une application est citée à la fois dans AppHookEx et UrmHookEx, le fichier AmAppHook.dll n'est pas chargé. Les différentes entrées sont séparées par un point-virgule (;).

Utilisez ce paramètre pour spécifier si le pilote AsModLdr ou la clé de registre Appinit doit servir à injecter le hook Contrôle des applications. Ce paramètre permet également de déterminer la position d'AMLdrAppinit.dll dans la valeur de registre AppInit_DLL.

Définissez l'une des valeurs suivantes :

• 0 - Place AMLdrAppInit.dll au début de la liste AppInit_DLLs.
• 1 - Place AMLdrAppInit.dll à la fin de la liste AppInit_DLLs.
• -1 - Exclut AMLdrAppInit.dll des listes AppInit_DLLs et ASModLdr. Si AMLdrAppInit.dll est exclu des deux listes, aucune injection automatique ne se produit.
• 2 - Ajoute AMLdrAppInit.dll à la liste ASModLdr des DLL à injecter. Il s'agit du paramètre par défaut.

Vous ne devez utiliser ce paramètre que sous la supervision de l'équipe de support Ivanti.

Ce paramètre d'ingénierie permet à l'administrateur de choisir la ruche de registre dans laquelle installer l'extension de navigateur Contrôle des applications pour Chrome. Options disponibles :

• 0 - Extension non installée
• 1 - Installer dans HKLM
• 2 - Installer dans HKCU.

Avec la valeur 0, l'administrateur doit configurer manuellement son propre App Store d'entreprise pour déployer l'extension Contrôle des applications pour Chrome. Le comportement par défaut correspond à 2 : l'extension Chrome est installée dans HKCU.

Vous pouvez choisir la valeur « Chrome.exe » pour empêcher l'injection du hook de navigateur Application Control (BrowserHook.dll) dans Chrome. Le hook de navigateur interdit toutes les communications réseau jusqu'à ce que l'extension Chrome ait établi une connexion avec l'agent Application Control.

Aucune des fonctions essentielles n'est affectée par ce paramètre personnalisé.

Liste délimitée par le caractère pipe (|) qui indique les URL de navigation qui passent outre au traitement des événements de navigation. Les URL de cette liste ne sont pas soumises à la redirection d'URL.

Ce paramètre limite la recherche Active Directory pour chaque client qui se connecte pour vérifier l'appartenance aux unités organisationnelles (OU), en limitant le nombre de requêtes simultanées. Cet étranglement réduit le volume du trafic de requête dans un domaine lorsqu'il s'agit de gérer un gros volume de clients connectés. Choisissez une valeur entre 0 et 65535.

Chemins de lien DFS pouvant être ajoutés aux règles. Les liens DFS et les cibles DFS sont considérés comme des éléments indépendants à faire correspondre. Aucune conversion des liens en cibles n'est effectuée avant l'application des règles. Définissez cette valeur sur 1 pour activer la mise en correspondance des liens DFS.

Par défaut, le hook Windows Contrôle des applications est chargé dans tous les processus qui chargent user32.dll. Les applications qui ne chargent pas cette DLL ne reçoivent pas de hook. Les applications qui ne chargent pas user32.dll doivent être incluses dans ce paramètre, sous forme d'une liste délimitée par des points-virgules de chemins complets ou de noms de fichier.

Par défaut, toutes les applications lancées avec AppV5 sont exonérées de la vérification Trusted Ownership. Utilisez ce paramètre pour désactiver ce comportement (avec la valeur 1).

Par défaut, les règles de processus vérifient l'intégralité de la clé parent pour trouver une correspondance. Ce paramètre demande aux règles de processus de contrôler uniquement le parent direct du processus concerné, au lieu de consulter l'ensemble de l'arborescence. La valeur 1 active ce paramètre.

Liste délimitée par des points-virgules indiquant les applications où le hook Contrôle des applications (AMAppHook.Dll) ne sera pas injecté. Contrôle des applications a besoin que le hook soit chargé pour que certaines fonctions soient opérationnelles. Vous ne devez utiliser ce paramètre que sous la supervision de l'équipe de support Ivanti.

Pendant le traitement des scripts dans les règles scriptées, ces scripts sont traités comme s'ils avaient renvoyé la valeur false (faux). La durée d'exécution des scripts dépend de leur contenu. Ce paramètre assure des performances optimales au démarrage de l'ordinateur et lors de la connexion de l'utilisateur, car aucun élément dépendant du résultat d'un script n'est retardé. Définissez la valeur sur 1 pour que les processus attendent jusqu'à la fin du script concerné. Cela peut sensiblement ralentir le démarrage de l'ordinateur et la connexion de l'utilisateur.

Contrôle des applications n'attend pas indéfiniment les résultats des scripts : une temporisation de 30 secondes est appliquée.

Ce paramètre améliore les performances de la vérification des règles en présence de signatures. Les fichiers ne correspondant pas au chemin complet ne reçoivent pas de hachage car le système considère qu'il s'agit d'un fichier différent. Utilisez 1 pour activer cette option.

Si vous activez ce paramètre et ExtendedAuditInfo, le nom du fichier avec hachage ne figure pas dans les métadonnées d'audit.

Ce paramètre est utilisé par Application Access Control (AAC). Contrôle des applications traite le lancement du programme de Shell (par défaut, explorer.exe) comme étant le déclencheur qui détermine si cette session est considérée comme connectée. Selon les environnements et les technologies, l'application de Shell change et, parfois, l'agent n'arrive pas à reconnaître ce programme de Shell. Contrôle des applications utilise les applications de cette liste (en plus des applications de Shell par défaut) pour déterminer le moment où une session est considérée comme connectée. Il s'agit d'une liste de chemins complets ou de noms de fichier séparés par un point-virgule.

Liste délimitée par des espaces indiquant le nom des fichiers à exclure du pilote de filtre.

Si vous modifiez ce paramètre, un redémarrage de l'agent est nécessaire pour qu'il prenne effet.

Ce paramètre étend les informations de fichier utilisées pour les événements audités. Il indique le hachage Secure Hash Algorithm 1 (SHA-1), la taille du fichier, la version du fichier et celle du produit, la description du fichier, le fournisseur, le nom de l'entreprise et le nom du produit, pour chaque fichier des événements audités. Ces informations sont ajoutées immédiatement après le nom du fichier dans le journal des événements. Ce paramètre est activé par défaut. Pour le désactiver, entrez la valeur 0.

La génération du hachage ou de la somme de contrôle est désactivée si vous activez le paramètre EnableSignatureOptimization.

Utilisez la valeur 1 pour autoriser l'agent Application Control à exécuter une requête de racine de forêt. Cette requête inclut une recherche des références d'authentification, afin de déterminer le nom distinctif des périphériques qui se connectent, en vue de connaître l'appartenance aux OU et groupes d'ordinateurs dans les règles de périphérique.

Liste des noms de processus auxquels tous les processus enfant sont comparés pour garantir que l'image enfant s'exécute sans corruption ni modification, et correspond bien à celle initialement demandée. Si la vérification du processus enfant échoue, ce dernier est arrêté. Il s'agit d'une liste de chemins complets ou de noms de fichier séparés par un point-virgule.

Contrôle des applications détecte si un fichier de confiance est modifié par un propriétaire non marqué De confiance. Dans ce cas, le propriétaire du fichier est remplacé par l'utilisateur non marqué De confiance, et toutes les demandes d'exécution sont bloquées. Certaines applications écrasent les fichiers d'une façon qui empêche Contrôle des applications de le détecter par défaut, si bien que le propriétaire du fichier ne change pas. Si vous activez ce paramètre, Contrôle des applications effectue des vérifications supplémentaires pour repérer tous les changements dans les fichiers, et les écrasements devraient être repérés. Utilisez la valeur 1 pour activer cette option.

Lorsque vous stockez des fichiers sur un lecteur DFS, l'agent Contrôle des applications utilise différentes stratégies pour évaluer le chemin UNC correct. L'une de ces approches peut provoquer des retards à la connexion si de nombreux scripts et exécutables sont stockés et répliqués dans Active Directory. Utilisez la valeur 1 pour activer ce paramètre afin de demander à Contrôle des applications d'ignorer cette stratégie et d'améliorer les performances dans cette situation.

Texte affiché sur le bouton Annuler de la boîte de dialogue Auto-élévation.

Utilisez la valeur 1 pour autoriser l'auto-élévation des propriétés. Par défaut, cette fonction est désactivée.

Texte de l'option de menu contextuel pour l'auto-élévation des propriétés.

Texte affiché sur le bouton OK de la boîte de dialogue Auto-élévation.

Par défaut, la fonction Redirection d'URL ignore la stratégie de sécurité. Ce paramètre d'ingénierie permet à l'administrateur de forcer la fonction Redirection d'URL à respecter la stratégie de sécurité configurée. Utilisez la valeur 1 pour activer cette option.

La fonction Auto-autorisation n'est pas prise en charge.

Paramètre personnalisé de gestion des privilèges utilisateur (User Privilege Management - UPM) servant à remplacer le niveau d'intégrité si les privilèges utilisateur ont été élevés pour une application (car cela définit, par défaut, le niveau d'intégrité sur Élevé). Lorsque vous utilisez ce paramètre, le niveau est abaissé à Moyen. La valeur doit être une liste de noms de fichier séparés par un point-virgule.

Contrôle des applications utilise un hook Windows dans le cadre de la fonction UPM (Gestion des privilèges utilisateur). Dans de rares situations, les applications montrent un comportement inattendu en présence d'un hook. Ce paramètre répertorie les applications où les fonctions propres à User Privilege Management (Gestion des privilèges utilisateur) ne portent pas de hook.

Si une application apparaît à la fois dans AppHookEx et dans UrmHookEx, le fichier AmAppHook.dll n'est pas chargé. Les différentes entrées sont séparées par un point-virgule.

Utilisé par la fonction UPM (User Privilege Management - Gestion des privilèges utilisateur). Lorsqu'une application de console voit ses droits élevés, une nouvelle application peut s'afficher dans une nouvelle fenêtre de console. Cette application s'exécute jusqu'à la fin, puis se ferme. C'est un problème si l'utilisateur souhaite voir la sortie du programme. Avec ce paramètre, l'application reste ouverte jusqu'à ce que l'utilisateur appuie sur une touche. Il s'agit d'une liste de chemins complets ou de noms de fichier séparés par un point-virgule.

Par défaut, la fonction UPM (User Privilege Management - Gestion des privilèges utilisateur) ignore pratiquement la stratégie de sécurité. Les règles de gestion des privilèges utilisateur sont appliquées dans tous les cas, sauf si vous sélectionnez le mode Audit uniquement. Ce paramètre personnalisé permet aux administrateurs de forcer la fonction User Privilege Management à respecter la stratégie de sécurité configurée. Pour les niveaux de sécurité Non restreint et Auto-autorisation, les règles User Privilege Management ne sont pas appliquées. Pour le niveau Restreint, les règles User Privilege Management s'appliquent.

Utilisez la valeur 1 pour activer ce paramètre.