应用程序控制配置设置
您可以在应用程序控制配置编辑器中配置应用程序控制功能。 此操作可以从 Security Controls 控制台中的多个位置进行。
- 新建 > 应用程序控制配置
- 应用程序控制配置 右键单击新建应用程序控制配置
- 新建 > 代理策略 > 应用程序控制 > 新建。
请注意,此操作将在保存配置后将配置分配给策略。
顶级节点配置设置有三个选项卡:
功能
选择相关选项卡后可为配置启用以下应用程序控制功能:
可执行的控件
可执行控制包含整个配置中的以下功能:
- 受信任的所有权 - 在规则匹配过程中,对文件和文件夹执行“受信任的所有权”检查,确保项目的所有权与配置中指定的可信所有者列表匹配。
- 安全级别 - 指定执行未授权文件的限制级别。
- 允许的和拒绝的项目 - 允许或拒绝访问适用于规则集的特定项目。
权限管理
权限管理 - 可用于创建可重复使用的权限管理策略,该策略可与任何规则集相关联,并可提升或限制对文件、文件夹、驱动器、文件哈希和控制面板组件的访问。 借助更精细的控制级别,您可以分配关于调试或安装软件的特定权限,或设置完整性级别来管理不同产品(如 Microsoft Outlook 和 Microsoft Word)之间的互操作性。
权限管理包含四个主要功能:
- 提升应用程序的权限管理。
- 提升控制面板组件和管理单元的权限管理。
- 降低应用程序的权限管理。
- 降低控制面板组件和管理单元的权限管理。
浏览器控件
使用此功能在用户尝试访问指定的 URL 时自动重定向用户。 通过定义禁止的 URL 列表,您可将任何尝试访问列出的 URL 的用户重定向至默认警告页面或自定义网页。 与重定向结合使用时,还可以选择允许某些 URL,这不仅可以为您提供更出色的灵活性和控制力,还让您能够创建网站允许列表。
为 Internet Explorer 配置此功能之前,您必须使用 Internet 选项为每个端点启用第三方浏览器扩展。 或者,可以通过组策略来应用此功能。
URL 重定向与 Internet Explorer 8、9、10 和 11 兼容。 使用 Chrome,所有托管端点必须为域的一部分。
哈希算法
文件哈希提供了根据文件本身的实际内容准确识别文件的方法。 对每个文件进行检查,并根据其内容生成一个数字哈希(可将其比作指纹)。 应用程序控件 使用行业标准 SHA-1、SHA-256 和 Adler-32 哈希。 如果以任何方式修改文件,那么哈希也将被修改。
数字哈希因其出色的准确性被视为终极安全方法。 它可识别每个文件,且识别方式与除文件本身之外的所有其他因素无关。 例如,管理员获取计算机系统上所有可执行文件的数字哈希并记录它们。 然后用户尝试执行应用程序。 计算应用程序的数字哈希,然后与记录值进行比较。 如果匹配,则允许应用程序执行,否则拒绝执行。 此方法还提供零日保护,因为它不仅阻止引入新应用程序,而且还阻止任何被恶意软件感染的应用程序。
虽然文件哈希为受信任的所有权提供了类似的保护,但还必须考虑维护安全系统所需的时间和管理。 应用程序不断地更新产品等级、缺陷修复和漏洞修补程序。 这意味着所有相关文件也在不断被更新。 例如,如果产品等级应用于 Microsoft Office,那么更新后的部分要发挥作用,就必须使用更新后文件的新数字哈希。 在更新可用时要确保这些可用,以避免停机。 此外,建议删除旧的哈希。
高级设置
自定义设置允许您配置其他设置,这些设置将在部署 应用程序控件 配置时应用于受管端点。 如果部署了包含新高级设置的新配置,则将删除端点上已有的高级设置。
在“高级设置”选项卡上,右键单击工作区,然后选择添加以显示可用高级设置的列表。 当配置部署到托管端点时,将应用这些设置。
可用的高级设置
| 设置 | 数据类型 | 说明 |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | 数字 | 超时,以秒为单位,用于嵌套计算机组查找。 默认设置为 120 秒,并且将此值设置为 0 会禁用超时。 |
| ADQueriesEnabled | 数字 | 此设置对用于确定系统可分辨名称和计算机组成员资格的 AD 查询类型进行控制。 当值为 0 时,将禁用对 AD 的查询以及配置中对计算机组和 OU 的使用。 默认值 1 导致代理同时执行可分辨名称和直接(非嵌套)计算机组 AD 查询。 配置中的嵌套计算机组会被忽略。 默认值 2 导致代理执行可分辨名称、直接和嵌套计算机组 AD 查询。 由于 CPU 使用率较高,此设置会导致有关 DC 的性能问题。 |
| AlternateTOCheck | 数字 | 当系统中安装了第三方筛选器驱动程序时,受信任的所有权检查偶尔会导致系统进程中产生过高的 CPU 使用率。 使用值 1 启用此设置可导致 应用程序控件 使用替换方法来查找受信任的所有权,在某些情况下这可消除此问题。 |
| AMFileSystemFilterFailSafe | 数字 | 此设置配置文件系统筛选器驱动程序是否在故障安全或故障保险模式下运行。 如果代理存在问题并且停止响应,则驱动程序在故障保险模式下会断开,并且不再拦截任意请求。 值 1 表示故障安全,0 表示故障保险。 默认为故障安全。 更改此设置需要重新启动“代理”才能生效。 |
| AppHookDelayLoad | 文本 | 此设置导致 AmAppHook Dll 在延迟可配置的毫秒 (ms) 数后加载。 此设置基于每文件名称进行配置。 格式为 <filename+extension>,<delay>。 文件名和扩展名可以包含通配符。 每个对用分号分隔。 例如 'calc.exe,2000;note*.exe,6000’ |
| AppHookEx | 文本 | 应用程序控件 利用 Windows 挂钩作为应用程序网络访问控制 (ANAC) 功能的一部分。 在极少数情况下,应用程序在挂接时会显示意外行为。 此设置为未在其中挂接 ANAC 特定功能的应用程序的列表,因此不受 ANAC 规则的约束。 如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载。 多个条目以分号 (;) 分隔。 |
| AppInitDllPosition | 数字 | 用于指定 AsModLdr 驱动程序或 Appinit 注册表项是否应该用于注入 应用程序控件 挂钩。 此设置还用于确定 AMLdrAppinit.dll 在 AppInit_DLL 注册表值中的位置。 设置以下值之一:
此设置仅应该在 Ivanti 技术支持团队的指导下使用。 |
|
AssumeActiveSetupDespiteCitrix |
若 Citrix 客户端使用已发布应用程序,则“Windows 智能安装”不会作为 Citrix 客户端登录程序的一部分运行。 在默认情况下,应用程序控件 会检测客户端是否正在使用 Citrix 协议,然后假定将“智能安装”排除在外,这样在出现类似“智能安装”的情况时就能始终拒绝执行受阻的应用程序。 此外,应用程序控件 还可对 Citrix 进行更严格的检查:如果受拒绝的应用程序在上述情况下仍被允许执行,则可将此设置的值设置为 1,以便 应用程序控件 执行更严格的检查。 如果应用程序在真正“智能安装”期间受阻,则可将此值设置为 2,以阻止 应用程序控件 执行这些“Citrix”检查。 |
|
| BrowserAppStorePort | 数字 | 输入用于允许安装 Chrome 浏览器扩展的端口。 |
| BrowserCommsPort | 数字 | 输入用于自浏览器扩展至代理进行通信的端口。 |
| BrowserExtensionInstallHive | 数字 | 此工程设置允许管理员选择安装 应用程序控件 Chrome 浏览器扩展的注册表配置单元。 选项如下:
0 为管理员必须手动配置自己的企业应用程序存储以部署 应用程序控件 Chrome 浏览器扩展的位置。 默认操作为 2 - 适用于安装于 HKCU 中的 chrome 扩展。 |
| BrowserHookEx | 文本 | 该值可以设置为 'Chrome.exe’,以阻止应用程序控制浏览器挂钩 (BrowserHook.dll) 注入到其中。 浏览器挂钩会阻止所有网络通信,直至 Chrome 扩展已建立与应用程序控制代理之间的连接。 此自定义设置不影响核心功能。 |
| BrowserNavigateEx | 文本 | 将忽略导航事件处理的导航 URL 的竖线 (|) 分隔列表。 此列表中的 URL 不受 URL 重定向的约束。 |
| ComputerOUThrottle | 数字 | 此设置用于检查组织单位成员资格时,通过限制并发查找数目限制每个连接客户端的 Active Directory 查找操作。 这种调节有助于处理大量连接客户端时,减少域中的查询流量。 将此值设置为 0 到 65535 之间。 |
| DFSLinkMatching | 数字 | 可将 DFS 链接路径添加至规则中。 DFS 链接和 DFS 目标被视为待匹配的独立项目。 应用规则前不存在从链接到目标的转换。 将此值设置为 1 可启用 DFS 链接匹配。 |
| DirectHookNames | 文本 | 应用程序控件的 Windows hook 被加载到所有进程,这些进程默认加载 user32.dll。 不加载此 DLL 的应用程序未被挂接。 不加载 user32.dll 的任意应用程序应该包含在此设置中,作为以分号分隔的完整路径或文件名列表的一部分。 |
| DisableAppV5AppCheck | 数字 | 默认情况下,使用 AppV5 启动的任意应用程序无需进行受信任的所有权检查。 使用此设置并通过值 1 可禁用此操作。 |
| DisableSESecondDesktop | 数字 | 默认情况下,自行提升的审计对话框显示于备用桌面上。 设置为 1 可将该对话框显示于主桌面上。 |
| DoNotWalkTree | 数字 | 默认情况下,进程规则会检查整个父项是否匹配。 此设置指示进程规则仅查看进程的直接父项,而不检查整个树。 值 1 可启用此设置。 |
| DriverHookEx | 文本 | 不注入 应用程序控件 挂钩 (AMAppHook.Dll) 的应用程序的分号分隔列表。 应用程序控件 要求加载挂钩才能使某些功能起作用。 此自定义设置仅应该在 Ivanti 技术支持团队的指导下使用。 |
| EnableScriptPreCheck | 数字 | 当脚本规则中的脚本正在处理时,它们会被视为返回了一个假值。 脚本所用的时间因其内容而异。 此设置在计算机启动和用户登录期间可提供最佳性能,因为取决于脚本结果的任意进程均不会延迟。 将值设置为 1 可使进程在相关脚本完成之前等待。 这将极大降低计算机启动和用户登录的速度。 应用程序控件 不会无限期等待脚本结果,将应用 30 秒超时。 |
| EnableSignatureOptimization | 数字 | 使用签名时,此设置可改善规则检查的性能。 与完整路径不匹配的文件不会进行哈希处理,因为我们假定它们不是相同的文件。 设置为 1 可启用。 启用此设置和 ExtendedAuditInfo 将不在审计元数据中显示经过哈希处理的任何文件名称。 |
| ExplicitShellProgram | 文本 | 此设置由应用程序访问控制 (AAC) 使用。 应用程序控件 将 Shell 程序的启动(默认情况下为 explorer.exe)视为要登录的会话的触发器。 不同的环境和技术能够改变 Shell 应用程序,并且代理有时无法检测出什么是 Shell 程序。 应用程序控件 使用这个列表中的应用程序(除了默认的 Shell 应用程序之外)来确定何时认为会话已登录。 这是一个以分号分隔的完整路径或文件名列表。 |
| ExProcessNames | 文本 | 应该从筛选器驱动程序排除的空格分隔文件名称的列表。 更改此设置需要重新启动“代理”才能生效。 |
| ExtendedAuditInfo | 数字 | 此设置扩展了审计事件的文件信息。 它在每个文件的审计事件中为其报告安全哈希算法 1 (SHA-1) 哈希、文件大小、文件和产品版本、文件说明、供应商、公司名称和产品名称。 该信息将立即添加在事件日志中的文件名称后面。 此设置默认情况下已开启。 如需关闭,请输入值 0。 启用 EnableSignatureOptimization 设置将禁用哈希或校验和的生成。 |
| ForestRootDNQuery | 数字 | 将值设置为 1 可使应用程序控制代理能够执行森林根查询。 针对设备规则中的 OU 和计算机组成员资格,查询包括追踪引荐以确定连接设备的可分辨名称。 |
| ImageHijackDetectionInclude | 文本 | 确认所有子进程所依据的进程名称的列表,旨在确保子映像在不中断或修改的情况下运行并且匹配初始请求的映像。 如果子进程未得到确认,则它会终止。 这是一个以分号分隔的完整路径或文件名列表。 |
| OwnershipChange | 数字 | 应用程序控件 检测受信任文件是否被不可信所有者更改。 在这种情况出现时,文件所有者会被更改为不可信用户,并且任意执行请求将被阻止。 一些应用程序会覆盖这些文件,使 应用程序控件 默认不检测它,因此文件所有者将不会被更改。 当启用时,应用程序控件 将执行额外的检查以捕获所有符合捕捉条件的文件更改和覆盖。 设置为值 1 可启用。 |
| RemoveDFSCheckOne | 数字 | 当文件存储于 DFS 驱动器上时,应用程序控件 将使用一系列策略来评估正确的 UNC 路径。 如果大量脚本和可执行文件存储于 Active Directory 中并且由其进行复制,则这些策略之一可能会导致登录期间出现延迟。 设置为值 1 可启用,导致 应用程序控件 忽略此策略并在这种情况下提高性能。 |
| SECancelButtonText | 文本 | 点击“自行提升”对话框中的取消按钮显示的文本。 |
| SelfElevatePropertiesEnabled | 数字 | 将此值设置为 '1’ 可启用属性自行提升。 默认情况下禁用此功能。 |
| SelfElevatePropertiesMenuText | 文本 | 用于属性自行提升的“上下文菜单”选项中的文本。 |
| SEOkButtonText | 文本 | 点击“自行提升”对话框中的“确定”按钮显示的文本。 |
|
ShowMessageForBlockedDLLs |
将值设置为 1 可显示已拒绝 DLL 的 应用程序控件 拒绝访问消息框。 |
|
| UrlRedirectionSecPolicy | 数字 | 默认情况下,URL 重定向功能会忽略安全策略。 此工程设置允许管理员强制 URL 重定向,以遵守配置的安全策略。 设置为值 1 可启用。 不支持自授权。 |
| UrmForceMediumIntegrityLevel | 文本 | 权限管理 (UPM) 自定义设置,用于在用户权限是提升的应用程序时覆盖完整性级别,默认情况下完整性级别设置为高。 使用此设置时,级别会降低至中。 此值应该为由分号分隔的文件名称列表。 |
| UrmHookEx | 文本 | 应用程序控件 利用 Windows 挂钩作为用户权限管理功能的一部分。 在极少数情况下,应用程序在挂接时会显示意外行为。 此设置列出了用户权限管理特定功能未挂接的应用程序。 如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载,多个条目以分号 (;) 分隔。 |
| UrmPauseConsoleExit | 文本 | 由用户权限管理功能使用。 当提升控制台应用程序时,新应用程序会出现在新控制台窗口中。 应用程序运行至完成,然后关闭。 如果用户要查看程序的输出,这将成为一个问题。 此设置可使应用程序保留,直至按下按键。 这是一个以分号分隔的完整路径或文件名列表。 |
| UrmSecPolicy | 数字 | 默认情况下,用户权限管理功能通常会忽略安全策略。 用户权限管理规则适用于所有情况(选择仅审计模式除外)。 此自定义设置允许管理员强制用户权限管理,以遵守配置的安全策略。 对于未受限的和自授权的安全级别,不应用用户权限管理规则。 对于限制级别,应用用户权限管理规则。 设置为值 1 可启用此设置。 |