Impostazioni di Configurazione controllo applicazioni
La configurazione della funzionalità Controllo applicazioni avviene all'interno dell'Editor configurazione Controllo applicazioni. È possibile accedere a tale Editor da poche postazioni all'interno della console Security Controls.
- Nuovo >Configurazione Controllo applicazioni
- Configurazioni Controllo applicazioni fare clic con il pulsante destro del mouse su Nuova configurazione Controllo applicazioni
- Nuovo > Criterio agenti > Controllo applicazioni > Nuovo.
Notare che in questo modo verrà assegnata la configurazione al criterio, una volta salvato.
Il nodo di Impostazioni configurazione di livello superiore presenta tre schede:
Caratteristiche
Selezionare per abilitare la seguente funzionalità di Controllo applicazioni per questa configurazione:
Controllo eseguibili
Controllo eseguibili copre la seguente funzionalità all'interno della configurazione:
- Proprietà attendibile - Durante il processo associato alle regole, il controllo Proprietà attendibile viene eseguito su file e cartelle per garantire che la proprietà degli elementi venga corrisposta con l'elenco di proprietari attendibili specificato nella configurazione delle regole predefinite.
- Livelli di sicurezza - specificare i livelli di limitazioni per l'esecuzione di file non autorizzati.
- Elementi consentiti e negati - concede o nega l'accesso ad elementi specifici applicabili a un set di regole.
Gestione dei privilegi
Gestione privilegi consente di creare criteri di gestione dei privilegi riutilizzabili associabili a qualsiasi set di regole, inoltre può elevare o limitare l'accesso a file, cartelle, unità, hash file e componenti del Pannello di controllo. Un livello di controllo più granulare consente di assegnare privilegi specifici per il debug o l'installazione di software, oppure per impostare livelli di integrità per la gestione dell'interoperabilità tra più prodotti, come Microsoft Outlook e Microsoft Word.
Gestione privilegi contiene quattro funzioni primarie:
- Elevazione della gestione dei privilegi per le applicazioni.
- Elevazione della gestione dei privilegi per i componenti del Pannello di controllo e gli Snap-in di gestione.
- Riduzione della gestione dei privilegi per le applicazioni.
- Riduzione della gestione dei privilegi per i componenti del Pannello di controllo e gli Snap-in di gestione.
Controllo browser
Utilizzare questa funzione per il reindirizzamento automatico degli utenti quando cercano di accedere a un URL specificato. Definendo un elenco di URL vietati, si reindirizza qualsiasi utente che cerca di accedere a un URL elencato in una pagina di avviso predefinita o una pagina web personalizzata. È inoltre possibile selezionare per consentire determinati URL i quali, se utilizzati insieme ai reindirizzamenti, forniscono un'ulteriore flessibilità e controllo e consentono di creare un'allowlist dei siti web.
Prima di poter configurare questa funzionalità per Internet Explorer, è necessario abilitare le estensioni per browser di terze parti utilizzando le Opzioni internet per ciascuno dei propri endpoint. In alternativa, ciò può essere applicato mediante Criterio di gruppo.
Il Reindirizzamento URL è compatibile con Internet Explorer 8, 9, 10 e 11. Quando si utilizza Chrome, tutti gli endpoint gestiti devono essere parte di un dominio.
Algoritmo hash
L'Hash File fornisce un modo per identificare accuratamente un file in base ai contenuti effettivi del file stesso. Ciascun file viene esaminato e, in base al proprio contenuto, viene prodotto un hash digitale, associabile a un'impronta digitale. Controllo applicazioni utilizza gli hash SHA-1, SHA-256 e Adler-32, standard del settore. Se il file viene alterato in qualsiasi modo, viene alterato anche l'hash.
L'hash digitale viene visto come il metodo di sicurezza definitivo, dato che risulta accurato. Identifica ciascun file in modo indipendente da tutti gli altri fattori diversi dal file stesso. Ad esempio, un amministratore prende un hash digitale di tutti i file eseguibili su un sistema informatico e li registra. Un utente cerca quindi di eseguire un'applicazione. L'hash digitale dell'applicazione viene calcolato e quindi confrontato con i valori registrati. In presenza di una corrispondenza, all'applicazione viene consentita l'esecuzione, altrimenti viene negata. Tale metodologia fornisce inoltre una protezione zero-day, dato che non solo impedisce l'introduzione di nuove applicazioni, ma blocca anche qualsiasi applicazione infettata da malware.
Nonostante l'hashing dei file fornisca una protezione simile a Proprietà attendibile, è inoltre necessario considerare l'ora e la gestione coinvolte relativamente al mantenimento dei sistemi di sicurezza in corso. Le applicazioni vengono aggiornate costantemente con livelli di prodotti, fix di bug e patch di vulnerabilità. Ciò significa che tutti i file associati vengono inoltre costantemente aggiornati. Pertanto, se ad esempio un livello di prodotti viene applicato a Microsoft Office, affinché le parti aggiornate funzionino devono essere intrapresi nuovi hash digitali dei file aggiornati. Assicurarsi che siano disponibili quando l'aggiornamento risulta disponibile per eliminare il tempo di inattività. In aggiunta, si raccomanda di rimuovere il vecchio hash.
Impostazioni avanzate
Impostazioni avanzate consente di configurare impostazioni aggiuntive che verranno applicate agli endpoint gestiti quando viene distribuita una configurazione di Controllo applicazioni. Se viene distribuita una nuova configurazione contenente nuove impostazioni avanzate, qualsiasi impostazione avanzata preesistente presente sull'endpoint verrà eliminata.
Sulla scheda Impostazioni avanzate, fare clic con il pulsante destro del mouse nell'area di lavoro e selezionare Aggiungi per visualizzare l'elenco di Impostazioni avanzate disponibili. Le impostazioni vengono applicate quando la configurazione viene distribuita ai propri endpoint gestiti.
Impostazioni avanzate disponibili
| Impostazione | Tipo di dati | Descrizione |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | Numerico | Timeout, in secondi, per le ricerche di gruppi di computer nidificati. L'impostazione predefinita è 120 secondi e l'impostazione di questo valore a 0 disattiva il timeout. |
| ADQueriesEnabled | Numerico | Questa impostazione controlla il tipo di query AD utilizzate per determinare il Nome distinto del sistema e l'appartenenza a un gruppo di computer. Un valore di 0 disabilita le query effettuate in AD e l'utilizzo di gruppi di computer e unità organizzative nella configurazione. Il valore predefinito di 1 fa sì che l'agente esegua le query Nome distinto e AD gruppi di computer diretti (non nidificati). I gruppi di computer nidificati nella configurazione vengono ignorati. Un valore di 2 fa sì che l'agente esegua le query Nome distinto, AD gruppi di computer diretti e nidificati. Questa impostazione potrebbe causare problemi di prestazioni sul controller di dominio a causa dell'utilizzo elevato della CPU. |
| AlternateTOCheck | Numerico | I controlli di Proprietà attendibile hanno occasionalmente causato un utilizzo eccessivo della CPU nel processo di SISTEMA quando driver di filtri di terze parti risultano installati sul sistema. L'abilitazione di questa impostazione, utilizzando un valore di 1, causa l'utilizzo da parte di Controllo applicazioni di un metodo alternativo per ricercare la Proprietà attendibile, che in alcuni casi mitiga questo problema. |
| AMFileSystemFilterFailSafe | Numerico | Questa impostazione configura se il driver del filtro del file system operi in modalità Fail Safe o Fail Secure. Se l'Agente presenta un problema e smette di rispondere, il driver si disconnette in modalità Fail Safe e non intercetta ulteriori richieste. Un valore di 1 indica Fail Safe, 0 indica Fail Secure. Fail Safe rappresenta l'impostazione predefinita. La modifica di questa impostazione richiede un riavvio Agente affinché abbia effetto. |
| AppHookDelayLoad | Testo | Questa impostazione fa sì che la dll AmAppHook si carichi una volta trascorso un numero configurabile di millisecond (ms). Questa impostazione è stata configurata in base al singolo nome del file. Il formato è <filename+extension>,<delay>. Il nome file e l'estensione possono contenere caratteri jolly. Ciascuna coppia è delimitata da un punto e virgola. Ad esempio 'calc.exe,2000;note*.exe,6000' |
| AppHookEx | Testo | Controllo applicazioni utilizza un hook Windows come parte della funzionalità Application Network Access Control (ANAC). In rari casi, le applicazioni possono mostrare un comportamento imprevisto se associate. Questa impostazione è un elenco di applicazioni in cui le funzioni specifiche ANAC non sono sottoposte a hook e pertanto non sono soggette alle regole ANAC. Se un'applicazione viene nominata sia in AppHookEx sia in UrmHookEx, il file AmAppHook.dll non viene caricato. Più voci vengono delimitate da un punto e virgola (;). |
| AppInitDllPosition | Numerico | Utilizzare questa impostazione per specificare se utilizzare il driver AsModLdr o la chiave del registro di sistema Appinit per iniettare l'hook Controllo applicazioni. Questa impostazione viene utilizzata anche per determinare la posizione del file AMLdrAppinit.dll nel valore del registro di sistema AppInit_DLL. Impostare uno dei seguenti valori:
Questa impostazione deve essere utilizzata solo sotto la guida del team di supporto di Ivanti. |
|
AssumeActiveSetupDespiteCitrix |
Con i client Citrix che utilizzano le applicazioni pubblicate, la Configurazione di Windows Active non viene eseguita all'interno dell'accesso client Citrix. Per impostazione predefinita Controllo applicazioni rileva che il client sta utilizzando un protocollo Citrix e poi presume che la Configurazione attiva sia esclusa, in modo che le applicazioni bloccate non saranno mai consentite in presenza di circostanze che possono sembrare simili alla Configurazione attiva. In aggiunta, e in via opzionale, Controllo applicazioni può imporre un controllo più stringente che prevede il coinvolgimento di Citrix: regolare il valore di questa impostazione a 1 per far sì che Controllo applicazioni imponga il controllo più stretto se risulta che le applicazioni negate vengono consentite in tali circostanze. Impostare il valore a 2 per impedire a Controllo applicazioni di effettuare tali controlli 'Citrix' se le applicazioni sembrano essere bloccate durante una Configurazione attiva effettiva. |
|
| BrowserAppStorePort | Numerico | Inserire la porta utilizzata per consentire l'installazione dell'estensione Chrome di controllo browser. |
| BrowserCommsPort | Numerico | Inserire la porta utilizzata per le comunicazioni dalle estensioni del browser all'agente. |
| BrowserExtensionInstallHive | Numerico | Questa impostazione di ingegnerizzazione consente all'amministratore di scegliere su quale hive del registro di sistema verrà installata l'estensione per il browser Chrome Controllo applicazioni. Le opzioni disponibili sono le seguenti:
0 è dove l'amministratore deve configurare manualmente il proprio appstore aziendale per distribuire l'estensione di Chrome Controllo applicazioni. Il comportamento predefinito è 2 - per l'estensione di chrome da installare in HKCU. |
| BrowserHookEx | Testo | Il valore può essere impostato in 'Chrome.exe' per impedire all'hook del browser di Controllo applicazioni(BrowserHook.dll) di essere iniettato al suo interno. L'hook browser impedisce ogni comunicazione di rete fino a quando l'estensione Chrome non stabilisce una connessione con l'agente di Controllo applicazioni. Nessuna funzionalità core risulta interessata da questa impostazione personalizzata. |
| BrowserNavigateEx | Testo | Un elenco delimitato da barre verticali (|) di URL di navigazione che bypassano l'elaborazione degli eventi di navigazione. Gli URL in questo elenco non sono soggetti al reindirizzamento URL. |
| ComputerOUThrottle | Numerico | Questa impostazione limita una ricerca Active Directory al singolo client in connessione per il controllo dell'appartenenza all'Unità organizzativa mediante la limitazione del numero di query concomitanti. Questa limitazione delle richieste contribuisce a ridurre la quantità di traffico di query su un dominio in caso di gestione di un grande volume di client in connessione. Impostare questo valore tra 0 e 65535. |
| DFSLinkMatching | Numerico | I percorsi dei collegamenti DFS possono essere aggiunti alle regole. I collegamenti DFS e le destinazioni DFS sono trattati come elementi indipendenti separati da abbinare. Non esiste alcuna conversione da Collegamento a Destinazione prima di applicare le regole. Impostare questo valore a 1 per abilitare la corrispondenza DFS Link. |
| DirectHookNames | Testo | Lo hook per Windows di Controllo applicazioni è caricato in tutti i processi che caricano il file user32.dll per impostazione predefinita. Le applicazioni che non caricano questa DLL non vengono agganciate. Qualsiasi applicazione non in grado di caricare il file user32.dll deve essere inclusa in questa impostazione all'interno di un elenco delimitato da punti e virgola di percorsi completi o nomi di file. |
| DisableAppV5AppCheck | Numerico | Per impostazione predefinita, qualsiasi applicazione avviata usando AppV5 è esentata dal controllo Proprietà attendibile. Utilizzare questa impostazione per disabilitare tale comportamento con un valore di 1. |
| DisableSESecondDesktop | Numerico | Per impostazione predefinita, la finestra di dialogo di controllo per Elevazione automatica viene visualizzata su un secondo desktop. Impostare a 1 per visualizzare la finestra di dialogo sul desktop primario. |
| DoNotWalkTree | Numerico | Per impostazione predefinita, le regole di processo controllano l'intera chiave padre per una corrispondenza. Questa impostazione istruisce le regole di processo a concentrarsi sul padre diretto del processo e a non controllare l'intero albero. Un valore di 1 abilita questa impostazione. |
| DriverHookEx | Testo | Un elenco delimitato da punti e virgole di applicazioni che non presenteranno l'hook Controllo applicazioni (AMAppHook.Dll) iniettato. Controllo applicazioni richiede il caricamento dell'hook affinché determinate funzionalità possano funzionare. Tale impostazione personalizzata deve essere utilizzata solo sotto la guida del team di supporto di Ivanti. |
| EnableScriptPreCheck | Numerico | Durante l'elaborazione di script all'interno di regole con script, essi vengono trattati come se avessero restituito un valore falso. Il tempo richiesto dagli script varia in base al relativo contenuto. Questa impostazione fornisce le migliori prestazioni durante l'avvio del computer e l'accesso dell'utente dato che ogni elemento che dipende dal risultato di uno script non viene ritardato. Impostare il valore a 1 per mettere i processi in attesa del completamento dello script rilevante. Ciò può rallentare in modo significativo l'avvio del computer e l'accesso dell'utente. Controllo applicazioni non attende indefinitamente i risultati degli script - si applica un timeout di 30 secondi. |
| EnableSignatureOptimization | Numerico | Questa impostazione migliora le prestazioni del controllo regole, in caso di utilizzo di firme. I file che non corrispondono al percorso completo non presentano hash in quanto si presume che non siano lo stesso file. Impostare su 1 per abilitare. L'abilitazione di questa impostazione e di ExtendedAuditInfo non mostrerà alcun nome file con hash nei metadati di auditing. |
| ExplicitShellProgram | Testo | Questa impostazione è utilizzata dall'Application Access Control (AAC). Controllo applicazioni tratta il lancio del programma shell (per impostazione predefinita explorer.exe) come trigger affinché tale sessione possa essere considerata registrata. I vari ambienti e tecnologie possono modificare l'applicazione shell e, qualora ciò accada, l'agente non può rilevare qual è il programma shell. Controllo applicazioni utilizza le applicazioni in questo elenco (in aggiunta alle applicazioni shell predefinite) per determinare se una sessione venga ritenuta come registrata. Questo è un elenco delimitato da punti e virgola di percorsi completi o nomi file. |
| ExProcessNames | Testo | Un elenco di nomi di file separati da spazi che dovrebbero essere esclusi dal driver filtro. La modifica di questa impostazione richiede un riavvio Agente affinché abbia effetto. |
| ExtendedAuditInfo | Numerico | Questa impostazione estende le informazioni sui file per gli eventi sottoposti ad audit. Segnala l'hash Secure Hash Algorithm 1 (SHA-1), le dimensioni del file, la versione di file e prodotto, la descrizione del file, il fornitore, la ragione sociale e il nome di prodotto per ciascun file nei propri eventi sottoposti ad audit. Le informazioni vengono aggiunte immediatamente dopo il nome file nel registro eventi. Questa impostazione è attivata per impostazione predefinita. Per disattivare, inserire un valore di 0. La generazione di un hash o di un checksum viene disabilitata quando viene abilitata l'impostazione EnableSignatureOptimization. |
| ForestRootDNQuery | Numerico | Impostare il valore a 1 per abilitare l'Agente controllo applicazioni affinché esegua una query radice foresta. La query include la raccolta di segnalazioni per determinare il Nome distinto dei dispositivi in connessione per le finalità di appartenenza alle Unità organizzative e ai Gruppi di computer nelle Regole dispositivo. |
| ImageHijackDetectionInclude | Testo | Un elenco di nomi di processo rispetto ai quali tutti i processi figlio vengono verificati per assicurare che l'immagine figlio venga eseguita senza danneggiamenti né modifiche e risulti essere una corrispondenza per l'immagine inizialmente richiesta. Se il processo figlio non viene verificato, viene terminato. Questo è un elenco delimitato da punti e virgola di percorsi completi o nomi file. |
| Cambio di proprietà | Numerico | Controllo applicazioni rileva se un file attendibile viene modificato da un proprietario non attendibile. In tale situazione, il proprietario del file passa all'utente non attendibile e qualsiasi richiesta di esecuzione verrà bloccata. Alcune applicazioni sovrascrivono i file in modo tale da impedire a Controllo applicazioni di rilevarli per impostazione predefinita, pertanto il proprietario del file non viene modificato. Se abilitato, Controllo applicazioni esegue controlli aggiuntivi per rilevare tutte le modifiche ai file, inoltre dovrebbero essere rilevate anche le sovrascritture. Impostare a un valore di 1 per abilitare. |
| RemoveDFSCheckOne | Numerico | Quando i file vengono archiviati in un'unità DFS, l'agente Controllo applicazioni utilizza una serie di strategie per valutare il percorso UNC corretto. Una di queste strategie può causare ritardi durante l'accesso se viene archiviato e replicato da Active Directory un gran numero di script ed eseguibili. Impostare a un valore di uno per abilitare, in modo che Controllo applicazioni ignori tale strategia e incrementi le prestazioni in questa situazione. |
| SECancelButtonText | Testo | Il testo visualizzato dal pulsante annulla sulla finestra di dialogo Elevazione automatica. |
| Proprietà elevazione automatica abilitate | Numerico | Impostare questo valore a '1' per abilitare l'elevazione automatica delle proprietà. Questa funzionalità è disabilitata per impostazione predefinita. |
| Testo menu proprietà elevazione automatica | Testo | Il testo nell'opzione di menu di scelta rapida per l'elevazione automatica delle proprietà. |
| SEOkButtonText | Testo | Il testo visualizzato dal pulsante OK sulla finestra di dialogo Elevazione automatica. |
|
ShowMessageForBlockedDLLs |
Impostare il valore a 1 per visualizzare la casella di messaggi con accesso negato Controllo applicazioni per le DLL negate. |
|
| UrlRedirectionSecPolicy | Numerico | Per impostazione predefinita, il criterio di sicurezza viene ignorato dalla funzione di Reindirizzamento URL. Questa impostazione di ingegnerizzazione consente all'amministratore di forzare il Reindirizzamento URL per seguire il criterio di protezione configurato. Impostare a un valore di 1 per abilitare. L'Autorizzazione automatica non è supportata. |
| UrmForceMediumIntegrityLevel | Testo | Un'impostazione personalizzata User Privilege Management (UPM) utilizzata per sostituire il livello di integrità quando i privilegi utente sono applicazioni elevate, che per impostazione predefinita imposta il livello di integrità su elevato. Quando viene utilizzata questa impostazione, il livello viene ridotto a medio. Questo valore deve essere un elenco delimitato da punti e virgola di nomi file. |
| UrmHookEx | Testo | Controllo applicazioni utilizza un hook Windows come parte della funzionalità User Privilege Management. In rari casi, le applicazioni mostreranno un comportamento imprevisto se associate. Questa impostazione elenca le applicazioni in cui le funzioni specifiche di Gestione privilegio utenti non presentano alcun hook. Se un'applicazione viene nominata sia in AppHookEx sia in UrmHookEx, il file AmAppHook.dll non viene caricato. Più voci sono delimitate da un punto e virgola. |
| UrmPauseConsoleExit | Testo | Utilizzato dalla funzionalità Gestione privilegi utente. Quando viene elevata l'applicazione di una console, una nuova applicazione può apparire in una nuova finestra della console. L'applicazione viene eseguita fino al completamento, dopodiché si chiude. Questo è un problema se l'utente desidera visualizzare l'output del programma. Questa impostazione mantiene l'applicazione fino alla pressione di un tasto. Questo è un elenco delimitato da punti e virgola di percorsi completi o nomi file. |
| UrmSecPolicy | Numerico | Per impostazione predefinita, il criterio di sicurezza viene in gran parte ignorato dalla funzione Gestione privilegi utente. Le regole Gestione privilegi utente vengono applicate in tutti i casi, tranne quando viene selezionata la modalità Solo audit. Tale impostazione personalizzata consente agli amministratori di forzare la Gestione privilegi utente per seguire il criterio di protezione configurato. Per i livelli di sicurezza senza restrizioni e con autorizzazione automatica, le regole Gestione privilegi utenti non vengono applicate. Per il Livello limitato, vengono applicate le regole di gestione dei privilegi utente. Impostare a un valore di 1 per abilitare questa impostazione. |
Argomenti correlati
Informazioni su Controllo eseguibili
Informazioni sul Controllo browser
Controllo eseguibile impostazioni di configurazione
Gestione privilegi impostazioni di configurazione