高级设置

超时，以秒为单位，用于嵌套计算机组查找。 默认设置为 120 秒，并且将此值设置为 0 会禁用超时。

此设置对用于确定系统可分辨名称和计算机组成员资格的 AD 查询类型进行控制。

当值为 0 时，将禁用对 AD 的查询，并禁止在配置中使用计算机组和 OU。

默认值 1 导致代理同时执行可分辨名称和直接（非嵌套）计算机组 AD 查询。 配置中的嵌套计算机组会被忽略。

默认值 2 导致代理执行可分辨名称、直接和嵌套计算机组 AD 查询。 由于 CPU 使用率较高，此设置会导致有关 DC 的性能问题。

当系统中安装了第三方筛选器驱动程序时，受信任的所有权检查偶尔会导致系统进程中产生过高的 CPU 使用率。 使用值 1 启用此设置可导致 应用程序控件 使用替换方法来查找受信任的所有权，在某些情况下这可消除此问题。

此设置配置文件系统筛选器驱动程序是否在故障安全或故障保险模式下运行。 如果代理存在问题并且停止响应，则驱动程序在故障保险模式下会断开，并且不再拦截任意请求。 值 1 表示故障安全，0 表示故障保险。 默认为故障安全。 更改此设置需要重新启动“代理”才能生效。

此设置导致 AmAppHook Dll 在延迟可配置的毫秒 (ms) 数后加载。 此设置基于每文件名称进行配置。 格式为 <filename+extension>,<delay>。 文件名和扩展名可以包含通配符。 每个对用分号分隔。 例如 'calc.exe,2000;note*.exe,6000’

应用程序控件 利用 Windows 挂钩作为应用程序网络访问控制 (ANAC) 功能的一部分。 在极少数情况下，应用程序在挂接时会显示意外行为。 此设置为应用程序的列表，这些应用程序中未挂接 ANAC 特定功能，因此它们不受 ANAC 规则的约束。

如果同时在 AppHookEx 和 UrmHookEx 中命名应用程序，则不会加载 AmAppHook.dll。 多个条目以分号 (;) 分隔。

用于指定 AsModLdr 驱动程序或 Appinit 注册表项是否应该用于注入 应用程序控件 挂钩。 此设置还用于确定 AMLdrAppinit.dll 在 AppInit_DLL 注册表值中的位置。

设置以下值之一：

• 0 - 将 AMLdrAppInit.dll 定位于 AppInit_DLL 列表的起始位置。
• 1 - 将 AMLdrAppInit.dll 定位于 AppInit_DLL 列表的末尾位置。
• -1 - 将 AMLdrAppInit.dll 从 AppInit_DLL 和 ASModLdr 列表中排除。 当 AMLdrAppInit.dll 被排除在两个列表之外，不会发生自动插入。
• 2 - 将 AMLdrAppInit.dll 添加至 dll 的 ASModLdr 列表以将其插入。 这是默认设置。

此设置仅应该在 Ivanti 技术支持团队的指导下使用。

此工程设置允许管理员选择安装 应用程序控件 Chrome 浏览器扩展的注册表配置单元。 选项如下：

• 0 - 不安装扩展
• 1 - 安装到 HKLM 中
• 2 - 安装到 HKCU 中。

0 为管理员必须手动配置自己的企业应用程序存储以部署 应用程序控件 Chrome 浏览器扩展的位置。 默认操作为 2 - 适用于安装于 HKCU 中的 chrome 扩展。

该值可以设置为 'Chrome.exe’，以阻止应用程序控制浏览器挂钩 (BrowserHook.dll) 注入到其中。 浏览器挂钩会阻止所有网络通信，直至 Chrome 扩展已建立与应用程序控制代理之间的连接。

此自定义设置不影响核心功能。

将忽略导航事件处理的导航 URL 的竖线 (|) 分隔列表。 此列表中的 URL 不受 URL 重定向的约束。

此设置用于检查组织单位成员资格时，通过限制并发查找数目限制每个连接客户端的 Active Directory 查找操作。 这种调节有助于处理大量连接客户端时，减少域中的查询流量。 将此值设置为 0 到 65535 之间。

可将 DFS 链接路径添加至规则中。 DFS 链接和 DFS 目标被视为待匹配的独立项目。 应用规则前不存在从链接到目标的转换。 将此值设置为 1 可启用 DFS 链接匹配。

应用程序控件的 Windows hook 被加载到所有进程，这些进程默认加载 user32.dll。 不加载此 DLL 的应用程序未被挂接。 不加载 user32.dll 的任意应用程序应该包含在此设置中，作为以分号分隔的完整路径或文件名列表的一部分。

默认情况下，使用 AppV5 启动的任意应用程序无需进行受信任的所有权检查。 使用此设置并通过值 1 可禁用此操作。

默认情况下，进程规则会检查整个父项是否匹配。 此设置指示进程规则仅查看进程的直接父项，而不检查整个树。 值 1 可启用此设置。

不注入 应用程序控件 挂钩 (AMAppHook.Dll) 的应用程序的分号分隔列表。 应用程序控件 要求加载挂钩才能使某些功能起作用。 此自定义设置仅应该在 Ivanti 技术支持团队的指导下使用。

当脚本规则中的脚本正在处理时，它们会被视为返回了一个假值。 脚本所用的时间因其内容而异。 此设置在计算机启动和用户登录期间可提供最佳性能，因为取决于脚本结果的任意进程均不会延迟。 将值设置为 1 可使进程在相关脚本完成之前等待。 这将极大降低计算机启动和用户登录的速度。

应用程序控件 不会无限期等待脚本结果，将应用 30 秒超时。

使用签名时，此设置可改善规则检查的性能。 与完整路径不匹配的文件不会进行哈希处理，因为我们假定它们不是相同的文件。 设置为 1 可启用。

启用此设置和 ExtendedAuditInfo 将不在审计元数据中显示经过哈希处理的任何文件名称。

此设置由应用程序访问控制 (AAC) 使用。 应用程序控件 将 Shell 程序的启动（默认情况下为 explorer.exe）视为要登录的会话的触发器。 不同的环境和技术能够改变 Shell 应用程序，并且代理有时无法检测出什么是 Shell 程序。 应用程序控件 使用这个列表中的应用程序（除了默认的 Shell 应用程序之外）来确定何时认为会话已登录。 这是一个以分号分隔的完整路径或文件名列表。

应该从筛选器驱动程序排除的空格分隔文件名称的列表。

更改此设置需要重新启动“代理”才能生效。

此设置扩展了审计事件的文件信息。 它在每个文件的审计事件中为其报告安全哈希算法 1 (SHA-1) 哈希、文件大小、文件和产品版本、文件说明、供应商、公司名称和产品名称。 该信息将立即添加在事件日志中的文件名称后面。 此设置默认情况下已开启。 如需关闭，请输入值 0。

启用 EnableSignatureOptimization 设置将禁用哈希或校验和的生成。

将值设置为 1 可使应用程序控制代理能够执行森林根查询。 针对设备规则中的 OU 和计算机组成员资格，查询包括追踪引荐以确定连接设备的可分辨名称。

确认所有子进程所依据的进程名称的列表，旨在确保子映像在不中断或修改的情况下运行并且匹配初始请求的映像。 如果子进程未得到确认，则它会终止。 这是一个以分号分隔的完整路径或文件名列表。

应用程序控件 检测受信任文件是否被不可信所有者更改。 在这种情况出现时，文件所有者会被更改为不可信用户，并且任意执行请求将被阻止。 一些应用程序会覆盖这些文件，使 应用程序控件 默认不检测它，因此文件所有者将不会被更改。 当启用时，应用程序控件 将执行额外的检查以捕获所有符合捕捉条件的文件更改和覆盖。 设置为值 1 可启用。

当文件存储于 DFS 驱动器上时，应用程序控件 将使用一系列策略来评估正确的 UNC 路径。 如果大量脚本和可执行文件存储于 Active Directory 中并且由其进行复制，则这些策略之一可能会导致登录期间出现延迟。 设置为值 1 可启用，导致 应用程序控件 忽略此策略并在这种情况下提高性能。

点击“自行提升”对话框中的取消按钮显示的文本。

将此值设置为 '1’ 可启用属性自行提升。 默认情况下禁用此功能。

用于属性自行提升的“上下文菜单”选项中的文本。

点击“自行提升”对话框中的“确定”按钮显示的文本。

默认情况下，URL 重定向功能会忽略安全策略。 此工程设置允许管理员强制 URL 重定向，以遵守配置的安全策略。 设置为值 1 可启用。

不支持自授权。

权限管理 (UPM) 自定义设置，用于在用户权限是提升的应用程序时覆盖完整性级别，默认情况下完整性级别设置为高。 使用此设置时，级别会降低至中。 此值应该为由分号分隔的文件名称列表。

应用程序控件 利用 Windows 挂钩作为用户权限管理功能的一部分。 在极少数情况下，应用程序在挂接时会显示意外行为。 此设置会列出未挂接“用户权限管理”特定功能的应用程序。

如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名，则不会加载 AmAppHook.dll。多个条目会使用分号分隔。

由用户权限管理功能使用。 当提升控制台应用程序时，新应用程序会出现在新控制台窗口中。 应用程序运行至完成，然后关闭。 如果用户要查看程序的输出，这将成为一个问题。 此设置可使应用程序保留，直至按下按键。 这是一个以分号分隔的完整路径或文件名列表。

默认情况下，用户权限管理功能通常会忽略安全策略。 用户权限管理规则适用于所有情况（选择仅审计模式除外）。 此自定义设置允许管理员强制用户权限管理，以遵守配置的安全策略。 对于未受限的和自授权的安全级别，不应用用户权限管理规则。 对于“受限”级别，应用“用户权限管理”规则。

设置为值 1 可启用此设置。