Дополнительные настройки

Тайм-аут (сек) во время поиска вложенных групп компьютеров. Настройка по умолчанию - 120, установка значения равным 0 отключает тайм-аут.

Эта настройка управляет типами запросов AD, используемых для определения различающихся имен и членства систем в группах компьютеров.

Значение 0 выключает запрос, сделанный для AD, и для использования групп компьютеров и организационных подразделений в конфигурации.

Значение по умолчанию, равное 1, приводит к выполнению агентом функции запросов как с использованием различительного имени, так и запроса непосредственной (не вложенной) группы компьютеров AD. Вложенные группы компьютеров в конфигурации игнорируются.

Значение, равное 2, приводит к выполнению запроса с использованием различительного имени, запросов непосредственных и вложенных групп компьютеров AD. Эта настройка может стать причиной проблем производительности DC из-за интенсивного использования ЦП.

Функция доверенного владения проверяет случаи чрезмерного использования процессора в процессе SYSTEM, когда в системе установлены драйверы фильтрации сторонних компаний. Включение этой настройки с помощью значения, равного 1, приведет к использованию Управление приложениями альтернативного метода поиска доверенного владения, которое в некоторых случаях снижает опасность возникновения данной проблемы.

Эта настройка конфигурирует работу драйвера системного фильтра, а именно в отказоустойчивом или в безопасном режиме. Если возникнет проблема с агентом, и он перестает отвечать, драйвер выполнит отключение в отказоустойчивом режиме и более не будет перехватывать запросы. Значение 1 указывает на установку отказоустойчивого режима, а значение 0 на установку безопасного режима. Отказоустойчивый режим установлен по умолчанию. Для изменения и активации этой настройки необходима перезагрузка агента.

Установка этой настройки приводит к загрузке библиотеки Dll, AmAppHook, после настраиваемой задержки в миллисекундах. Эта настройка конфигурируется отдельно для каждого имени файла. Формат: <filename+extension>,<delay>. Имя файла и расширение могут содержать универсальные символы. Каждая пара должна разделяться точкой с запятой. Например, 'calc.exe,2000;note*.exe,6000'

Управление приложениями Использует функцию привязки Windows в качестве функции ANAC (Application Network Access Control). В редких случаях во время подключения приложения могут демонстрировать неожиданное поведение. Эта настройка представляет собой список приложений, в которых не используются определенные функции ANAC, и поэтому они не подчиняются правилам ANAC.

Если имя приложения указано в AppHookEx и в UrmHookEx, библиотека AmAppHook.dll не будет загружена. Несколько значений должны быть разделены точками с запятой (;).

Используйте эту настройку для указания, будет ли драйвер AsModLdr или раздел реестра AppInit использоваться для ввода данных Управление приложениями. Эта настройка также используется для определения позиции AMLdrAppinit.dll в разделе реестра AppInit_DLL.

Укажите одно из следующих значений:

• 0 - помещает AmLdrAppInit.dll в начале списка AppInit_DLLs.
• 1 - помещает AmLdrAppInit.dll в конце списка AppInit_DLLs.
• -1 - исключает AMLdrAppInit.dll из списков AppInit_DLLs, ASModLdr. Если библиотека AMLdrAppInit.dll исключена из обоих списков, автоматическая вставка не выполняется.
• 2 - добавляет AMLdrAppInit.dll в список ASModLdr для дальнейшей вставки. Это значение по умолчанию.

Эта настройка должна использоваться только под руководством специалистов службы поддержки Ivanti.

Эта инженерная настройка дает администратору возможность выбирать, в каком кусте реестра будет установлено расширение браузера Chrome Управление приложениями. Параметры:

• 0 - расширение не установлено
• 1 - установите для HKLM
• 2 - установите для HKCU.

Значение равное 0 предполагает, что администратор должен вручную сконфигурировать собственный корпоративный магазин приложений для развертывания расширений Chrome Управление приложениями. Действие по умолчанию имеет значение 2 - предполагает установку расширения Chrome в раздел HKCU.

Значение может быть установлено для приложения 'Chrome.exe' так, чтобы предотвратить активацию привязки функции управления приложениями (BrowserHook.dll). Ассоциация с браузером предотвращает все сетевое взаимодействие до установления подключения расширения Chrome с агентом функции управления приложениями.

Эта особая настройка не оказывает воздействие ни на одну из основных функциональностей.

Список URL-адресов для навигации, разделенный символами (|), игнорируется во время обработки событий. URL-адреса в этом списке не подчиняются правилам перенаправления URL-адресов.

Эта настройка ограничивает поиск в Active Directory для подключения клиента при проверке членства в организационных подразделениях посредством ограничения количества одновременных запросов. Эта настройка поможет уменьшить трафик запросов в домене в случае наличия большого количества подключений клиентов. Устеновите значение от 0 до 65535.

Пути каналов DFS могут быть добавлены в правила. Ссылки цели DFS обрабатываются как отдельные независимые элементы сравнения. Не существует преобразования данных канала в данные цели перед применением правил. Установите значение равным 1 для включения функции сравнения каналов DFS.

Привязка Windows для Управление приложениями загружается во все процессы, которые по умолчанию загружают user32.dll. Приложения, которые не загружают эту библиотеку DLL, не привязываются. Любые приложения, которые не загружают библиотеку user32.dll, должны быть включены в эту настройку с разделением точками с запятой списка полных путей или имен файлов.

По умолчанию любое приложение, запущенное с помощью AppV5, освобождается от проверки доверенного владения. Используйте эту настройку для запрета выполнения этого действия со значением 1.

По умолчанию правила процесса проверяют весь родительский раздел для поиска совпадений. Эта настройка сообщает правилам процесса только выполнять поиск родительского процесса и не проверять все дерево. Установите значение равным 1 для включения этой настройки.

Разделенный точками с запятой список приложений, которые не будут иметь ассоциации функции Управление приложениями (AMAppHook.dll). Для Управление приложениями необходимо иметь привязку для работы некоторых функций. Эта особая настройка должна использоваться только под руководством специалистов службы поддержки Ivanti.

Хотя сценарии в правилах со сценариями обрабатываются, это выполняется так, будто они возвратили значение false. Продолжительность выполнения сценариев зависит от их содержимого. Это настройка обеспечивает наилучшую производительность во время запуска компьютера и выполнения входа пользователем, поскольку запрещено выполнение всего, что зависит от результатов выполнения сценария. Установите значение 1 для того, чтобы процессы ожидали завершения выполнения соответствующего сценария. Это может существенно замедлить работу компьютера и входа пользователя в систему.

Управление приложениями не ожидает выполнения сценариев бесконечно - используется 30-секундный тайм-аут.

Эта настройка улучшает производительность проверки правил во время использования подписей. Файлы, не соответствующие полному пути, не хэшируются, поскольку они не представляют этот же файл. Для включения функции установите значение равным 1.

Включение этой настройки и функции ExtendedAuditInfo не будет отображать имена хэшированных файлов в метаданных аудита.

Эта настройка используется функцией управления доступом приложений (AAC). Управление приложениями запускает программу оболочки (по умолчанию explorer.exe) в качестве переключателя для данного активного сеанса. Различные среды и технологии могут изменить приложение оболочки и агента, что может привести к проблемам обнаружения. Управление приложениями использует приложения в этом списке (в дополнение к программе оболочки по умолчанию) для определения начала сеанса и занесения его в журнал. Это разделенный точками с запятой список полных путей и имен файлов.

Список разделенных пробелами имен файлов, которые должны быть исключены из драйвера фильтра.

Для изменения и активации этой настройки необходима перезагрузка агента.

Эта настройка расширяет информацию о файле для событий аудита. Он содержит данные хэша SHA-1 (Secure Hash Algorithm 1), размера файла, версию продукта, описания файла, поставщика, названия компании и продукта для каждого файла в его событиях аудита. Информация добавляется сразу после имени файла в журнале событий. Эта настройка включена по умолчанию. Для ее выключения введите значение - 0.

Создание хэша или контрольной суммы выключено, когда установлена настройка EnableSignatureOptimization.

Установите значение равное 1 для включения агента управления приложениями и выполнения запросов в корне леса. Запрос содержит данные для определения различительных имен подключаемых устройств в целях идентификации членства в организационных подразделениях и группах компьютеров для правил устройств.

Список имен процессов и всех дочерних процессов проверяется для обеспечения обработки дочернего образа без повреждений или модификаций, и соответствия запрошенному изначально. Если дочерний процесс не проверен, он будет прекращен. Это разделенный точками с запятой список полных путей и имен файлов.

Управление приложениями определяет, если доверенный файл изменяется владельцем без доверия. В этом случае владелец файла изменяется на пользователя без доверия, и любые запросы на выполнение блокируются. Некоторые приложения перезаписывают файлы таким образом, что не Управление приложениями может это обнаружить по умолчанию, поскольку владелец файла не меняется. Когда параметр установлен, Управление приложениями выполняет дополнительные проверки для обнаружения всех изменений и перезаписей файлов. Для включения функции установите значение равным 1.

Если файлы хранятся на диске DFS, агент Управление приложениями использует ряд стратегий оценки правильности пути UNC. Одна из этих стратегий может вызвать задержки во время входа, если в Active Directory хранится и воспроизводится большое количество сценариев и исполняемых файлов. Установка значения равным 1 приведет к игнорированию Управление приложениями этой стратегии и повышению производительности в данной ситуации.

Текст, отображаемый после нажатия кнопки отмены в диалоге "Повышение доверия".

Установите это значение равным 1 для включения функции свойств самоповышения доверия. Эта функция выключена по умолчанию.

Текст параметра контекстного меню для свойств самоповышения доверия.

Текст, отображаемый после нажатия кнопки "ОК" в диалоге "Повышение доверия"".

По умолчанию политика безопасности игнорируется функцией переназначения URL-адресов. Эта инженерная настройка позволяет администратору исключить переназначение URL-адресов для исполнения сконфигурированной политики безопасности. Для включения функции установите значение равным 1.

Самоавторизация не поддерживается.

Специальная настройка управления привилегиями пользователей используется для изменения уровня целостности, когда повышены привилегии пользователей для приложения, что по умолчанию устанавливает более высокий уровень целостности. Если эта настройка используется, уровень снижается до среднего. Это значение должно содержать список разделенных точками с запятой имен файлов.

Управление приложениями использует привязку Windows в качестве функции управления привилегиями. В редких случаях при подключении приложения демонстрируют неожиданное поведение. Эта настройка используется для перечисления приложений, в которых не используются определенные функции управления привилегиями пользователей.

Если имя приложения указано в AppHookEx и в UrmHookEx, библиотека AmAppHook.dll не будет загружена. Несколько элементов должны быть разделены точкой с запятой.

Используется функцией управления привилегиями пользователей. Когда повышен уровень доверия приложения консоли, приложение может быть открыто в новом окне консоли. Приложение будет выполнено и закрыто. Это может стать проблемой, если пользователю нужно увидеть выходные данные программы. Эта настройка позволяет оставить приложение открытым до нажатия клавиши. Это разделенный точками с запятой список полных путей и имен файлов.

По умолчанию политика безопасности в большинстве случаев игнорируется функцией управления привилегиями пользователей. Правила управления привилегиями пользователей применяются во всех случаях, когда установлен параметр "Только аудит". Это специальная настройка позволяет администраторам применять управление привилегиями пользователей для соответствия требованиям сконфигурированной политики безопасности. Для неограниченных и самоавторизуемых уровней безопасности правила управления привилегиями пользователей не применяются. К разрешенному уровню привилегий применяются правила управления привилегиями пользователей.

Установите значение равным 1 для включения этой настройки.