Configurações do Controle de Aplicativos
Você configura a funcionalidade Controle de Aplicativos no Editor de Configuração do Controle de Aplicativos. Ele pode ser acessado a partir de alguns locais no console do Security Controls.
- Novo > Configuração do Controle de Aplicativos
- Configurações do Controle de Aplicativos clicar com o botão direito Nova Configuração do Controle de Aplicativos
- Novo > Política de Agente > Controle de Aplicativos > Novo.
Observe que isso atribuirá a configuração à política depois de salva.
O nó superior Definições de Configuração tem três guias:
Recursos
Selecione as seguintes funcionalidades do Controle de Aplicativos para habilitá-las nessa configuração:
Controle de Executável
O Controle de Executável abrange as seguintes funcionalidades em toda a configuração:
- Propriedade confiável - durante o processamento da regra, realiza-se uma verificação de propriedade confiável em arquivos e pastas para garantir que a propriedade dos itens coincida com a lista de proprietários confiáveis especificada na configuração.
- Níveis de segurança - especifique os níveis de restrições para executar arquivos não autorizados.
- Itens permitidos e negados - conceda ou negue acesso a itens específicos aplicáveis a um conjunto de regras.
Gerenciamento de Privilégios
O Gerenciamento de Privilégios permite criar políticas reutilizáveis que podem ser associadas a conjuntos de regras para elevar ou restringir o acesso a arquivos, pastas, unidades, hashes de arquivos e componentes do Painel de Controle. Um nível mais granular de controle lhe permite atribuir privilégios específicos para depurar ou instalar software ou definir níveis de integridade no gerenciamento de interoperabilidade entre produtos diferentes, tais como Microsoft Outlook e Microsoft Word.
O Gerenciamento de Privilégios contém quatro funções principais:
- Elevação do gerenciamento de privilégios para aplicativos.
- Elevação do gerenciamento de privilégios para componentes do Painel de Controle e Snap-ins de Gerenciamento
- Redução do gerenciamento de privilégios para aplicativos
- Redução do gerenciamento de privilégios para componentes do Painel de Controle e Snap-ins de Gerenciamento
Controle de Navegador
Use esse recurso para redirecionar automaticamente os usuários quando eles tentarem acessar um URL especificado. Definindo-se uma lista de URLs proibidos, é possível redirecionar, para uma página de aviso padronizada ou página personalizada na internet, os usuários que tentam acessar o URL listado. Você também tem a opção de permitir determinados URLs, o que, quando usado em conjunto com os redirecionamentos, lhe dá mais flexibilidade e controle e permite criar uma lista de permissão de sites.
Antes de configurar esse recurso para o Internet Explorer, você deve habilitar as extensões de terceiros no navegador usando as Opções da Internet em cada um dos pontos de extremidade. Como alternativa, essa aplicação pode ser feita via Política de Grupo.
O redirecionamento de URL é compatível com o Internet Explorer 8, 9, 10 e 11. Ao usar o Chrome, todos os pontos de extremidade gerenciados devem fazer parte de um domínio.
Algoritmo de Hash
O hash fornece um meio de identificar precisamente um arquivo, segundo o conteúdo real do próprio arquivo. Cada arquivo é examinado e, de acordo com seu conteúdo, produz-se um hash digital, que pode ser comparado a uma impressão digital. Controle de Aplicativos utiliza os hashes SHA-1, SHA256 e Adler-32, padrões da indústria. Se o arquivo for alterado de alguma forma, o hash também será alterado.
Devido à sua precisão, o hash digital é considerado o melhor método de segurança. Ele identifica cada arquivo levando em conta apenas o arquivo em si, independentemente de outros fatores. Por exemplo, um administrador cria e grava os hashes digitais de todos os executáveis existentes em um sistema de computador. Em seguida, um usuário tenta executar um aplicativo. O hash digital do aplicativo é calculado e depois comparado com os valores registrados. Se houver correspondência, concede-se ao aplicativo permissão de execução, caso contrário, ela é negada. Essa metodologia também oferece proteção de dia zero, pois além de impedir que novos aplicativos sejam introduzidos, também bloqueia todos os aplicativos que foram infectados por malware.
Embora a criação de hashes de arquivo forneça proteção semelhante à da Propriedade Confiável, você também deve considerar o tempo e o gerenciamento envolvidos quanto à manutenção dos sistemas de segurança em vigor. Os aplicativos são constantemente atualizados com níveis de produto, reparos de bugs e correções de vulnerabilidade. Isso significa que todos os arquivos associados também são constantemente atualizados. Portanto, se, por exemplo, um nível de produto for aplicado ao Microsoft Office, será necessário criar novos hashes dos arquivos atualizados para que as partes atualizadas funcionem. Trate de para garantir que eles estejam disponíveis quando a atualização for disponibilizada, a fim de eliminar o tempo de inatividade. Além disso, recomenda-se que você remova o hash antigo.
Configurações Avançadas
As configurações avançadas permitem definir os parâmetros adicionais que serão aplicados nos pontos de extremidade gerenciados quando uma configuração do Controle de Aplicativos for implantada. Se for implantada uma configuração contendo novas configurações avançadas, todas as configurações avançadas pré-existentes no ponto de extremidade serão excluídas.
Na guia Configurações Avançadas, clique com o botão direito na área de trabalho e selecione Adicionar para exibir a lista das configurações avançadas disponíveis. As definições são aplicadas quando a configuração é implantada nos pontos de extremidade gerenciados.
Configurações Avançadas Disponíveis
| Parâmetro | Tipo de Dado | Descrição |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | Numérico | Tempo limite, em segundos, para pesquisas de grupos de computadores aninhados. A configuração padrão é 120 segundos, e definir o valor como 0 desativa o tempo limite. |
| ADQueriesEnabled | Numérico | Este parâmetro controla os tipos de consultas ao AD usadas para determinar o Nome Diferenciado do sistema e a associação ao grupo de computadores. O valor 0 desabilita as consultas feitas ao AD e o uso de grupos de computadores e UOs na configuração. O valor padrão 1 faz com que o agente do Controle de Aplicativos execute consultas de Nome Diferenciado e de grupos de computadores diretos (não aninhados). Grupos de computadores aninhados na configuração são ignorados. Um valor igual a 2 faz com que o agente execute consultas de Nome Diferenciado e de grupos de computadores diretos e aninhados. Esta configuração pode causar problemas de desempenho no DC devido ao alto uso de CPU. |
| AlternateTOCheck | Numérico | As verificações de Propriedade Confiável ocasionalmente causam uso excessivo de CPU no processo SYSTEM quando drivers de filtro de terceiros estão instalados no sistema. Habilitar essa configuração com valor 1 faz o Controle de Aplicativos usar um método alternativo para pesquisar a Propriedade Confiável, o que mitiga esse problema em alguns casos. |
| AMFileSystemFilterFailSafe | Numérico | Esta configuração define se o driver de filtro do sistema de arquivos opera em modo Fail Safe ou Fail Secure. Se houver algum problema com o agente do Controle de Aplicativos e ele parar de responder, o driver se desconectará em modo Fail Safe e não interceptará mais as solicitações. O valor 1 indica Fail Safe, 0 indica Fail Secure. Fail Safe é o padrão. É necessário reiniciar o agente para que a alteração desta configuração entre em vigor. |
| AppHookDelayLoad | Texto | Esta configuração faz com que a Dll AmAppHook seja carregada após um atraso configurável em milissegundos (ms). A configuração é definida com base em nomes de arquivo. O formato é <filename+extension>,<delay>. O nome do arquivo e a extensão podem conter curingas. Cada par é delimitado por ponto-e-vírgula. Por exemplo, "calc.exe,2000;note*.exe,6000". |
| AppHookEx | Texto | Controle de Aplicativos utiliza um gancho do Windows como parte do recurso Controle de Acesso de Rede de Aplicativos (ANAC). Em casos raros, os aplicativos podem exibir comportamento inesperado quando conectados. Esta configuração é uma lista dos aplicativos nos quais as funções específicas do ANAC não são conectadas e, portanto, não ficam sujeitas às regras do ANAC. Se um arquivo é referido tanto em AppHookEx como em UrmHookEx, AmAppHook.dll não é carregado. Entradas múltiplas são delimitadas por ponto-e-vírgula (;). |
| AppInitDllPosition | Numérico | Use esta configuração para especificar se o driver AsModLdr ou a chave de registro Appinit são uados para injetar o gancho do Controle de Aplicativos. Esta configuração também é usada para determinar a posição de AMLdrAppinit.dll no valor AppInit_DLL do registro. Defina um dos seguintes valores:
Esta configuração só deve ser usada sob orientação da Equipe de Suporte da Ivanti. |
|
AssumeActiveSetupDespiteCitrix |
Com clientes Citrix usando aplicativos publicados, o Active Setup do Windows não é executado como parte do logon do cliente Citrix. Por padrão, o Controle de Aplicativos detecta se o cliente está usando um protocolo Citrix e presume que o Active Setup está excluído, de modo que os aplicativos bloqueados nunca serão permitidos em circunstâncias que possam se parecer com o Active Setup. Além disso, como opção, o Controle de Aplicativos pode impor uma verificação mais rigorosa para o Citrix que está envolvido: defina o valor desta configuração como 1 para que o Controle de Aplicativos imponha uma verificação mais rigorosa se parecer que aplicativos negados estão sendo permitidos nessas circunstâncias. Defina o valor como 2 para que o Controle de Aplicativos pare completamente de fazer essas verificações "Citrix" se os aplicativos parecerem estar bloqueados durante um Active Setup real. |
|
| BrowserAppStorePort | Numérico | Insira a porta usada para permitir que a extensão para Chrome do Controle de Navegador seja instalada. |
| BrowserCommsPort | Numérico | Insira a porta usada para comunicações feitas das extensões do navegador para o agente. |
| BrowserExtensionInstallHive | Numérico | Esta configuração de engenharia permite que o administrador escolha em qual hive do registro a extensão do Controle de Aplicativos para o navegador Chrome será instalada. As opções são:
0 é quando o administrador deve configurar manualmente sua própria loja de aplicativos corporativos para implantar a extensão do Controle de Aplicativos para Chrome. O comportamento padrão é 2, ou seja, a extensão do Chrome ser instalada em HKCU. |
| BrowserHookEx | Texto | O valor pode ser definido como "Chrome.exe" para impedir que o gancho de navegador do Controle de Aplicativos (BrowserHook.dll) seja injetado nele. O gancho do navegador impede todas as comunicações de rede até que a extensão do Chrome estabeleça conexão com o agente do Controle de Aplicativos. Nenhuma funcionalidade principal é afetada por esta configuração personalizada. |
| BrowserNavigateEx | Texto | Uma lista delimitada por barras verticais (|) contendo URLs de navegação que ignoram o processamento dos eventos de navegação. Os URLs nessa lista não estão sujeitos a redirecionamento de URL. |
| ComputerOUThrottle | Numérico | Esta configuração limita a pesquisa do Active Directory por cliente conectado, para verificar a associação à Unidade Organizacional, limitando o número de consultas simultâneas. Essa limitação ajuda a reduzir o volume do tráfego de consulta em um domínio, se estiver lidando com um grande volume de clientes conectados. Configure este valor entre 0 e 65535. |
| DFSLinkMatching | Numérico | Caminhos de Link DFS podem ser adicionados às regras. Links e Destinos DFS são tratados com itens separados e independentes a serem correspondidos. Não há conversão de Link em Destino antes da aplicação das regras. Defina este valor como 1 para habilitar a correspondência de Links DFS. |
| DirectHookNames | Texto | Controle de Aplicativos– seu gancho do Windows é carregado por padrão em todos os processos que carregam user32.dll. Aplicativos que não carregam essa DLL não são conectados. Todos os aplicativos que não carregam user32.dll devem ser incluídos nesta configuração, numa lista de nomes de arquivo ou caminhos completos delimitados por ponto-e-vírgula. |
| DisableAppV5AppCheck | Numérico | Por padrão, qualquer aplicativo iniciado com uso do AppV5 está isento da verificação de Propriedade Confiável. Use esta configuração com o valor 1 para desabilitar esse comportamento. |
| DisableSESecondDesktop | Numérico | Por padrão, o diálogo de auditoria da Autoelevação é exibido em um segundo desktop. Defina como 1 para exibi-lo no desktop principal. |
| DoNotWalkTree | Numérico | Por padrão, as regras de processo verificam a chave pai inteira em busca de uma correspondência. Esta configuração instrui as regras de processo a examinar apenas o pai direto do processo, e não a árvore inteira. O valor 1 habilita a configuração. |
| DriverHookEx | Texto | Uma lista delimitada por ponto-e-vírgula dos aplicativos que não terão o gancho do Controle de Aplicativos (AMAppHook.Dll) injetado. Controle de Aplicativos requer que o gancho seja carregado para que determinados recursos funcionem. Esta configuração personalizada só deve ser usada sob orientação da Equipe de Suporte da Ivanti. |
| EnableScriptPreCheck | Numérico | Enquanto os scripts dentro das regras estão em processamento, são tratados como se tivessem retornado um valor falso. A duração de tempo dos scripts varia conforme o conteúdo deles. Esta configuração proporciona o melhor desempenho durante a inicialização do computador e o logon do usuário, pois nenhuma operação dependente do resultado de um script é adiada. Defina o valor como 1 para fazer os processos aguardarem o script relevante ser finalizado. Isso pode retardar significativamente a inicialização do computador e o login do usuário. Controle de Aplicativos não aguarda indefinidamente os resultados dos scripts – um tempo limite de 30 segundos é aplicado. |
| EnableSignatureOptimization | Numérico | Esta configuração melhora o desempenho da verificação de regras quando se usam assinaturas. Arquivos que não correspondam ao caminho completo não são transformados em hash, pois supõe-se que não sejam o mesmo arquivo. Defina como 1 para habilitar. Habilitar esta configuração e ExtendedAuditInfo não mostrará nenhum nome de arquivo com hash na auditoria de metadados. |
| ExplicitShellProgram | Texto | Esta configuração é usada pelo Controle de Acesso de Aplicativos (AAC). Controle de Aplicativos trata a inicialização do programa shell (por padrão, explorer.exe) como o gatilho para que a sessão seja considerada logada. Diferentes ambientes e tecnologias podem alterar o aplicativo shell e, às vezes, o agente não consegue detectá-lo. Controle de Aplicativos usa os aplicativos nessa lista (além dos aplicativos shell padrão) para determinar quando uma sessão é considerada logada. A lista contém caminhos completos ou nomes de arquivo delimitados por ponto-e-vírgula. |
| ExProcessNames | Texto | Lista dos nomes de arquivo, separados por espaço, que devem ser excluídos do driver de filtro. É necessário reiniciar o agente para que a alteração desta configuração entre em vigor. |
| ExtendedAuditInfo | Numérico | Esta configuração estende as informações do arquivo para eventos auditados. Informa o hash SHA-1, o tamanho do arquivo, a versão do arquivo e do produto, a descrição do arquivo, o fornecedor, o nome da empresa e o nome do produto de cada arquivo em seus eventos auditados. A informação é adicionada imediatamente após o nome do arquivo no log de eventos. Esta configuração fica ativada por padrão. Para desligar, insira o valor 0. A geração de hash ou soma de verificação é desativada quando o parâmetro EnableSignatureOptimization está habilitado. |
| ForestRootDNQuery | Numérico | Defina o valor como 1 para permitir que o Agente do Controle de Aplicativos execute uma consulta na raiz da floresta. A consulta inclui buscar indicações para determinar o Nome Diferenciado dos dispositivos conectados para fins de associação à UO e ao Grupo de Computadores em Regras de Dispositivo. |
| ImageHijackDetectionInclude | Texto | Uma lista de nomes de processos em relação aos quais todos os processos filho são verificados para garantir que a imagem filha seja executada sem corrupção ou modificação e corresponda àquela que foi inicialmente solicitada. Se o processo filho não é verificado, ele é encerrado. A lista contém caminhos completos ou nomes de arquivo delimitados por ponto-e-vírgula. |
| OwnershipChange | Numérico | Controle de Aplicativos detecta se um arquivo confiável foi alterado por um proprietário não confiável. Num casso assim, o proprietário do arquivo passa a ser o usuário não confiável, e todas as solicitações de execução são bloqueadas. Alguns aplicativos substituem arquivos de um modo que o Controle de Aplicativos não consegue detectar por padrão e, portanto, o proprietário do arquivo não é alterado. Quando habilitado, o Controle de Aplicativos executa verificações adicionais para capturar todas as alterações de arquivo, e as substituições devem ser capturadas. Defina o valor como 1 para habilitar. |
| RemoveDFSCheckOne | Numérico | Quando arquivos são armazenados em uma unidade DFS, o agente do Controle de Aplicativos usa uma série de estratégias para avaliar o caminho UNC correto. Uma dessas estratégias pode causar atrasos durante o login se um grande número de scripts e executáveis for armazenado no Active Directory e replicado por ele. Defina o valor como um para habilitar, fazendo com que o Controle de Aplicativos ignore essa estratégia e aumente o desempenho nessa situação. |
| SECancelButtonText | Texto | O texto exibido pelo botão de cancelar no diálogo de Autoelevação. |
| SelfElevatePropertiesEnabled | Numérico | Defina este valor como "1" para habilitar a autoelevação de propriedades. Este recurso fica desabilitado por padrão. |
| SelfElevatePropertiesMenuText | Texto | O texto na opção do menu de contexto para autoelevação de propriedades. |
| SEOkButtonText | Texto | O texto exibido pelo botão OK no diálogo de Autoelevação. |
|
ShowMessageForBlockedDLLs |
Defina o valor como 1 para exibir a caixa de mensagem de acesso negado do Controle de Aplicativos para DLLs negadas. |
|
| UrlRedirectionSecPolicy | Numérico | Por padrão, a política de segurança é ignorada pelo recurso Redirecionamento de URL. Esta configuração de engenharia permite que o administrador force o Redirecionamento de URL a seguir a política de segurança configurada. Defina o valor como 1 para habilitar. A autoautorização não é suportada. |
| UrmForceMediumIntegrityLevel | Texto | Uma configuração personalizada do Gerenciamento de Privilégios do Usuário (UPM) usada para substituir o nível de integridade quando os privilégios do usuário são aplicativos elevados, o que, por padrão, define o nível de integridade como alto. Quando esta configuração é usada, o nível é reduzido para médio. Este valor deve ser uma lista de nomes delimitados com ponto-e-vírgula. |
| UrmHookEx | Texto | Controle de Aplicativos utiliza um gancho do Windows como parte do recurso de Gerenciamento de Privilégios do Usuário. Em casos raros, os aplicativos exibem comportamento inesperado quando conectados. Este parâmetro lista os aplicativos em que funções específicas do Gerenciamento de Privilégios do Usuário não estão conectadas. Se um arquivo é referido tanto em AppHookEx como em UrmHookEx, o AmAppHook.dll não é carregado. Entradas múltiplas são delimitadas por ponto-e-vírgula. |
| UrmPauseConsoleExit | Texto | Usado pelo recurso Gerenciamento de Privilégios do Usuário. Quando um aplicativo do console é elevado, um novo aplicativo pode aparecer numa nova janela do console. O aplicativo é executado até a conclusão, então é fechado. Isso é um problema se o usuário quiser ver o resultado do programa. Essa configuração faz com que o aplicativo permaneça até que uma tecla seja pressionada. A lista contém caminhos completos ou nomes de arquivo delimitados por ponto-e-vírgula. |
| UrmSecPolicy | Numérico | Por padrão, a política de segurança é predominantemente ignorada pelo recurso Gerenciamento de Privilégios do Usuário. As regras do Gerenciamento de Privilégios do Usuário são aplicadas em todos os casos, exceto quando o modo Apenas Auditoria está selecionado. Esta configuração personalizada permite que os administradores forcem o Redirecionamento de Privilégios do Usuário a seguir a política de segurança configurada. Para os níveis de segurança Irrestrito e Autoautorizar, as regras do Gerenciamento de Privilégios do Usuário não se aplicam. Para o nível Restrito, as regras do Gerenciamento de Privilégios do Usuário são aplicáveis. Defina o valor como 1 para habilitar este parâmetro. |
Tópicos relacionados
Sobre o Controle de Executável
Controle de executável nas definições de configuração
Gerenciamento de privilégios nas definições de configuração