Impostazioni avanzate

In questa sezione:

Gestione delle impostazioni avanzate

Impostazioni avanzate disponibili

Impostazioni avanzate consente di configurare impostazioni aggiuntive che verranno applicate agli endpoint gestiti quando viene distribuita una configurazione di Controllo applicazioni. Se viene distribuita una nuova configurazione contenente nuove impostazioni avanzate, qualsiasi impostazione avanzata preesistente presente sull'endpoint verrà eliminata.

Gestione delle impostazioni avanzate

  1. Aprire una configurazione di Controllo applicazioni.
  2. Navigare fino alla scheda Impostazioni di configurazione > Impostazioni avanzate.

  3. Fare clic con il pulsante destro del mouse e selezionare Aggiungi per visualizzare la finestra di dialogo Aggiungi impostazioni avanzate.
  4. Selezionare le impostazioni che si desidera configurare e fare clic su OK. È possibile selezionare più impostazioni.

  5. Le impostazioni selezionate vengono aggiunte nella scheda Impostazioni avanzate.

  6. Impostare i valori come richiesto. Se si seleziona un'impostazione sarà possibile visualizzare una descrizione sotto la tabella.
  7. Fare clic su Salva.

Le impostazioni vengono applicate quando la configurazione viene distribuita ai propri endpoint gestiti.

Impostazioni avanzate disponibili

Security Controls Controllo applicazioni contiene le seguenti impostazioni avanzate configurabili:

Impostazione Tipo di dati Descrizione
ADComputerGroupMembershipTimeoutSecs Numerico Timeout, in secondi, per le ricerche di gruppi di computer nidificati. L'impostazione predefinita è 120 secondi e l'impostazione di questo valore a 0 disattiva il timeout.
ADQueriesEnabled Numerico Questa impostazione controlla il tipo di query AD utilizzate per determinare il Nome distinto del sistema e l'appartenenza a un gruppo di computer.

Un valore di 0 disabilita le query effettuate in AD e l'utilizzo di gruppi di computer e unità organizzative nella configurazione.

Il valore predefinito di 1 fa sì che l'agente esegua le query Nome distinto e AD gruppi di computer diretti (non nidificati). I gruppi di computer nidificati nella configurazione vengono ignorati.

Un valore di 2 fa sì che l'agente esegua le query Nome distinto, AD gruppi di computer diretti e nidificati. Questa impostazione potrebbe causare problemi di prestazioni sul controller di dominio a causa dell'utilizzo elevato della CPU.

AlternateTOCheck Numerico I controlli di Proprietà attendibile hanno occasionalmente causato un utilizzo eccessivo della CPU nel processo di SISTEMA quando driver di filtri di terze parti risultano installati sul sistema. L'abilitazione di questa impostazione, utilizzando un valore di 1, causa l'utilizzo da parte di (Undefined variable: Primary.AM) di un metodo alternativo per ricercare la Proprietà attendibile, che in alcuni casi mitiga questo problema.
AMFileSystemFilterFailSafe Numerico Questa impostazione configura se il driver del filtro del file system operi in modalità Fail Safe o Fail Secure. Se l'Agente presenta un problema e smette di rispondere, il driver si disconnette in modalità Fail Safe e non intercetta ulteriori richieste. Un valore di 1 indica Fail Safe, 0 indica Fail Secure. Fail Safe rappresenta l'impostazione predefinita. La modifica di questa impostazione richiede un riavvio Agente affinché abbia effetto.
AppHookDelayLoad Testo Questa impostazione fa sì che la dll AmAppHook si carichi una volta trascorso un numero configurabile di millisecond (ms). Questa impostazione è stata configurata in base al singolo nome del file. Il formato è <filename+extension>,<delay>. Il nome file e l'estensione possono contenere caratteri jolly. Ciascuna coppia è delimitata da un punto e virgola. Ad esempio 'calc.exe,2000;note*.exe,6000'
AppHookEx Testo (Undefined variable: Primary.AM) utilizza un hook Windows come parte della funzionalità Application Network Access Control (ANAC). In rari casi, le applicazioni possono mostrare un comportamento imprevisto se associate. Questa impostazione è un elenco di applicazioni in cui le funzioni specifiche ANAC non sono sottoposte a hook e pertanto non sono soggette alle regole ANAC.

Se un'applicazione viene nominata sia in AppHookEx sia in UrmHookEx, il file AmAppHook.dll non viene caricato. Più voci vengono delimitate da un punto e virgola (;).

AppInitDllPosition Numerico Utilizzare questa impostazione per specificare se utilizzare il driver AsModLdr o la chiave del registro di sistema Appinit per iniettare l'hook (Undefined variable: Primary.AM). Questa impostazione viene utilizzata anche per determinare la posizione del file AMLdrAppinit.dll nel valore del registro di sistema AppInit_DLL.

Impostare uno dei seguenti valori:

  • 0 - Posiziona AMLdrAppInit.dll all'inizio dell'elenco AppInit_DLLs.
  • 1 - Posiziona AMLdrAppInit.dll alla fine dell'elenco AppInit_DLLs.
  • -1 - Esclude AMLdrAppInit.dll dagli elenchi AppInit_DLLs and ASModLdr. Quando il file AMLdrAppInit.dll viene escluso da entrambi gli elenchi, non avverrà alcuna iniezione automatica.
  • 2 - Aggiunge AMLdrAppInit.dll all'elenco ASModLdr di dll da iniettare. Si tratta dell'impostazione predefinita.

Questa impostazione deve essere utilizzata solo sotto la guida del team di supporto di Ivanti.

AssumeActiveSetupDespiteCitrix

Con i client Citrix che utilizzano le applicazioni pubblicate, la Configurazione di Windows Active non viene eseguita all'interno dell'accesso client Citrix. Per impostazione predefinita Controllo applicazioni rileva che il client sta utilizzando un protocollo Citrix e poi presume che la Configurazione attiva sia esclusa, in modo che le applicazioni bloccate non saranno mai consentite in presenza di circostanze che possono sembrare simili alla Configurazione attiva. In aggiunta, e in via opzionale, Controllo applicazioni può imporre un controllo più stringente che prevede il coinvolgimento di Citrix: regolare il valore di questa impostazione a 1 per far sì che Controllo applicazioni imponga il controllo più stretto se risulta che le applicazioni negate vengono consentite in tali circostanze. Impostare il valore a 2 per impedire a Controllo applicazioni di effettuare tali controlli 'Citrix' se le applicazioni sembrano essere bloccate durante una Configurazione attiva effettiva.

 

BrowserAppStorePort Numerico Inserire la porta utilizzata per consentire l'installazione dell'estensione Chrome di controllo browser.
BrowserCommsPort Numerico Inserire la porta utilizzata per le comunicazioni dalle estensioni del browser all'agente.
BrowserExtensionInstallHive Numerico Questa impostazione di ingegnerizzazione consente all'amministratore di scegliere su quale hive del registro di sistema verrà installata l'estensione per il browser Chrome (Undefined variable: Primary.AM). Le opzioni disponibili sono le seguenti:
  • 0 - Estensione non installata
  • 1 - Installa in HKLM
  • 2 - Installa in HKCU.

0 è dove l'amministratore deve configurare manualmente il proprio appstore aziendale per distribuire l'estensione di Chrome (Undefined variable: Primary.AM). Il comportamento predefinito è 2 - per l'estensione di chrome da installare in HKCU.

BrowserHookEx Testo Il valore può essere impostato in 'Chrome.exe' per impedire all'hook del browser di Controllo applicazioni(BrowserHook.dll) di essere iniettato al suo interno. L'hook browser impedisce ogni comunicazione di rete fino a quando l'estensione Chrome non stabilisce una connessione con l'agente di Controllo applicazioni.

Nessuna funzionalità core risulta interessata da questa impostazione personalizzata.

BrowserNavigateEx Testo Un elenco delimitato da barre verticali (|) di URL di navigazione che bypassano l'elaborazione degli eventi di navigazione. Gli URL in questo elenco non sono soggetti al reindirizzamento URL.
ComputerOUThrottle Numerico Questa impostazione limita una ricerca Active Directory al singolo client in connessione per il controllo dell'appartenenza all'Unità organizzativa mediante la limitazione del numero di query concomitanti. Questa limitazione delle richieste contribuisce a ridurre la quantità di traffico di query su un dominio in caso di gestione di un grande volume di client in connessione. Impostare questo valore tra 0 e 65535.
DFSLinkMatching Numerico I percorsi dei collegamenti DFS possono essere aggiunti alle regole. I collegamenti DFS e le destinazioni DFS sono trattati come elementi indipendenti separati da abbinare. Non esiste alcuna conversione da Collegamento a Destinazione prima di applicare le regole. Impostare questo valore a 1 per abilitare la corrispondenza DFS Link.
DirectHookNames Testo Lo hook per Windows di (Undefined variable: Primary.AM) è caricato in tutti i processi che caricano il file user32.dll per impostazione predefinita. Le applicazioni che non caricano questa DLL non vengono agganciate. Qualsiasi applicazione non in grado di caricare il file user32.dll deve essere inclusa in questa impostazione all'interno di un elenco delimitato da punti e virgola di percorsi completi o nomi di file.
DisableAppV5AppCheck Numerico Per impostazione predefinita, qualsiasi applicazione avviata usando AppV5 è esentata dal controllo Proprietà attendibile. Utilizzare questa impostazione per disabilitare tale comportamento con un valore di 1.
DisableSESecondDesktop Numerico Per impostazione predefinita, la finestra di dialogo di controllo per Elevazione automatica viene visualizzata su un secondo desktop. Impostare a 1 per visualizzare la finestra di dialogo sul desktop primario.
DoNotWalkTree Numerico Per impostazione predefinita, le regole di processo controllano l'intera chiave padre per una corrispondenza. Questa impostazione istruisce le regole di processo a concentrarsi sul padre diretto del processo e a non controllare l'intero albero. Un valore di 1 abilita questa impostazione.
DriverHookEx Testo Un elenco delimitato da punti e virgole di applicazioni che non presenteranno l'hook (Undefined variable: Primary.AM) (AMAppHook.Dll) iniettato. (Undefined variable: Primary.AM) richiede il caricamento dell'hook affinché determinate funzionalità possano funzionare. Tale impostazione personalizzata deve essere utilizzata solo sotto la guida del team di supporto di Ivanti.
EnableScriptPreCheck Numerico Durante l'elaborazione di script all'interno di regole con script, essi vengono trattati come se avessero restituito un valore falso. Il tempo richiesto dagli script varia in base al relativo contenuto. Questa impostazione fornisce le migliori prestazioni durante l'avvio del computer e l'accesso dell'utente dato che ogni elemento che dipende dal risultato di uno script non viene ritardato. Impostare il valore a 1 per mettere i processi in attesa del completamento dello script rilevante. Ciò può rallentare in modo significativo l'avvio del computer e l'accesso dell'utente.

(Undefined variable: Primary.AM) non attende indefinitamente i risultati degli script - si applica un timeout di 30 secondi.

EnableSignatureOptimization Numerico Questa impostazione migliora le prestazioni del controllo regole, in caso di utilizzo di firme. I file che non corrispondono al percorso completo non presentano hash in quanto si presume che non siano lo stesso file. Impostare su 1 per abilitare.

L'abilitazione di questa impostazione e di ExtendedAuditInfo non mostrerà alcun nome file con hash nei metadati di auditing.

ExplicitShellProgram Testo Questa impostazione è utilizzata dall'Application Access Control (AAC). (Undefined variable: Primary.AM) tratta il lancio del programma shell (per impostazione predefinita explorer.exe) come trigger affinché tale sessione possa essere considerata registrata. I vari ambienti e tecnologie possono modificare l'applicazione shell e, qualora ciò accada, l'agente non può rilevare qual è il programma shell. (Undefined variable: Primary.AM) utilizza le applicazioni in questo elenco (in aggiunta alle applicazioni shell predefinite) per determinare se una sessione venga ritenuta come registrata. Questo è un elenco delimitato da punti e virgola di percorsi completi o nomi file.
ExProcessNames Testo Un elenco di nomi di file separati da spazi che dovrebbero essere esclusi dal driver filtro.

La modifica di questa impostazione richiede un riavvio Agente affinché abbia effetto.

ExtendedAuditInfo Numerico Questa impostazione estende le informazioni sui file per gli eventi sottoposti ad audit. Segnala l'hash Secure Hash Algorithm 1 (SHA-1), le dimensioni del file, la versione di file e prodotto, la descrizione del file, il fornitore, la ragione sociale e il nome di prodotto per ciascun file nei propri eventi sottoposti ad audit. Le informazioni vengono aggiunte immediatamente dopo il nome file nel registro eventi. Questa impostazione è attivata per impostazione predefinita. Per disattivare, inserire un valore di 0.

La generazione di un hash o di un checksum viene disabilitata quando viene abilitata l'impostazione EnableSignatureOptimization.

ForestRootDNQuery Numerico Impostare il valore a 1 per abilitare l'Agente controllo applicazioni affinché esegua una query radice foresta. La query include la raccolta di segnalazioni per determinare il Nome distinto dei dispositivi in connessione per le finalità di appartenenza alle Unità organizzative e ai Gruppi di computer nelle Regole dispositivo.
ImageHijackDetectionInclude Testo Un elenco di nomi di processo rispetto ai quali tutti i processi figlio vengono verificati per assicurare che l'immagine figlio venga eseguita senza danneggiamenti né modifiche e risulti essere una corrispondenza per l'immagine inizialmente richiesta. Se il processo figlio non viene verificato, viene terminato. Questo è un elenco delimitato da punti e virgola di percorsi completi o nomi file.
Cambio di proprietà Numerico (Undefined variable: Primary.AM) rileva se un file attendibile viene modificato da un proprietario non attendibile. In tale situazione, il proprietario del file passa all'utente non attendibile e qualsiasi richiesta di esecuzione verrà bloccata. Alcune applicazioni sovrascrivono i file in modo tale da impedire a (Undefined variable: Primary.AM) di rilevarli per impostazione predefinita, pertanto il proprietario del file non viene modificato. Se abilitato, (Undefined variable: Primary.AM) esegue controlli aggiuntivi per rilevare tutte le modifiche ai file, inoltre dovrebbero essere rilevate anche le sovrascritture. Impostare a un valore di 1 per abilitare.
RemoveDFSCheckOne Numerico Quando i file vengono archiviati in un'unità DFS, l'agente (Undefined variable: Primary.AM) utilizza una serie di strategie per valutare il percorso UNC corretto. Una di queste strategie può causare ritardi durante l'accesso se viene archiviato e replicato da Active Directory un gran numero di script ed eseguibili. Impostare a un valore di uno per abilitare, in modo che (Undefined variable: Primary.AM) ignori tale strategia e incrementi le prestazioni in questa situazione.
SECancelButtonText Testo Il testo visualizzato dal pulsante annulla sulla finestra di dialogo Elevazione automatica.
Proprietà elevazione automatica abilitate Numerico Impostare questo valore a '1' per abilitare l'elevazione automatica delle proprietà. Questa funzionalità è disabilitata per impostazione predefinita.
Testo menu proprietà elevazione automatica Testo Il testo nell'opzione di menu di scelta rapida per l'elevazione automatica delle proprietà.
SEOkButtonText Testo Il testo visualizzato dal pulsante OK sulla finestra di dialogo Elevazione automatica.

ShowMessageForBlockedDLLs

Impostare il valore a 1 per visualizzare la casella di messaggi con accesso negato Controllo applicazioni per le DLL negate.

 

UrlRedirectionSecPolicy Numerico Per impostazione predefinita, il criterio di sicurezza viene ignorato dalla funzione di Reindirizzamento URL. Questa impostazione di ingegnerizzazione consente all'amministratore di forzare il Reindirizzamento URL per seguire il criterio di protezione configurato. Impostare a un valore di 1 per abilitare.

L'Autorizzazione automatica non è supportata.

UrmForceMediumIntegrityLevel Testo Un'impostazione personalizzata User Privilege Management (UPM) utilizzata per sostituire il livello di integrità quando i privilegi utente sono applicazioni elevate, che per impostazione predefinita imposta il livello di integrità su elevato. Quando viene utilizzata questa impostazione, il livello viene ridotto a medio. Questo valore deve essere un elenco delimitato da punti e virgola di nomi file.
UrmHookEx Testo (Undefined variable: Primary.AM) utilizza un hook Windows come parte della funzionalità User Privilege Management. In rari casi, le applicazioni mostreranno un comportamento imprevisto se associate. Questa impostazione elenca le applicazioni in cui le funzioni specifiche di Gestione privilegio utenti non presentano alcun hook.

Se un'applicazione viene nominata sia in AppHookEx sia in UrmHookEx, il file AmAppHook.dll non viene caricato. Più voci sono delimitate da un punto e virgola.

UrmPauseConsoleExit Testo Utilizzato dalla funzionalità Gestione privilegi utente. Quando viene elevata l'applicazione di una console, una nuova applicazione può apparire in una nuova finestra della console. L'applicazione viene eseguita fino al completamento, dopodiché si chiude. Questo è un problema se l'utente desidera visualizzare l'output del programma. Questa impostazione mantiene l'applicazione fino alla pressione di un tasto. Questo è un elenco delimitato da punti e virgola di percorsi completi o nomi file.
UrmSecPolicy Numerico Per impostazione predefinita, il criterio di sicurezza viene in gran parte ignorato dalla funzione Gestione privilegi utente. Le regole Gestione privilegi utente vengono applicate in tutti i casi, tranne quando viene selezionata la modalità Solo audit. Tale impostazione personalizzata consente agli amministratori di forzare la Gestione privilegi utente per seguire il criterio di protezione configurato. Per i livelli di sicurezza senza restrizioni e con autorizzazione automatica, le regole Gestione privilegi utenti non vengono applicate. Per il Livello limitato, vengono applicate le regole di gestione dei privilegi utente.

Impostare a un valore di 1 per abilitare questa impostazione.

UseLegacyDriver Numerico La versione 2019.2 utilizza la Kernel Platform come tecnologia driver predefinita. Questa impostazione fornisce un'opzione per utilizzare i driver legacy associati a Controllo applicazioni nel caso ci siano problemi con i driver del filtro Kernel Platform.