應用程式控制項組態設定
您可以在應用程式控制項組態編輯器中設定應用程式控制項功能。 您可以從 Security Controls 控制台內的幾個位置存取此功能。
- 新增 > 應用程式控制項組態
- 「應用程式控制項組態」以滑鼠右鍵按一下「新增應用程式控制項組態」
- 新增 > 代理程式原則 > 應用程式控制項 > 新增。
請注意,這會將儲存的組態指派至原則。
最上層節點組態設定有三個索引標籤:
功能
選取以針對此組態啟用以下應用程式控制項功能:
可執行檔控制項
可執行檔控制項涵蓋整個組態的以下功能:
- 受信任擁有權 - 在規則程序期間,系統會對檔案和資料夾執行「受信任擁有權」檢查,以確保項目的擁有權符合預設規則組態內指定的受信任所有者清單。
- 安全性層級 - 指定執行未授權檔案的限制層級。
- 允許與拒絕的項目 - 允許或拒絕存取適用於規則集的特定項目。
權限管理
「權限管理」可讓您建立可重複使用的權限原則,它可以與任何規則集相關聯並可針對檔案、資料夾、磁碟機、檔案雜湊和「控制台」元件提高權限或限制存取。 借助更精细的控制级别,您可以分配关于调试或安装软件的特定权限,或设置完整性级别来管理不同产品(如 Microsoft Outlook 和 Microsoft Word)之间的互操作性。
權限管理包含四個主要功能:
- 提高應用程式的權限管理。
- 提高控制台元件和管理嵌入式管理單元的權限管理。
- 降低應用程式的權限管理。
- 降低控制台元件和管理嵌入式管理單元的權限管理。
瀏覽器控制項
使用此功能在用户尝试访问指定的 URL 时自动重定向用户。 通过定义禁止的 URL 列表,您可将任何尝试访问列出的 URL 的用户重定向至默认警告页面或自定义网页。 與重新導向功能搭配使用時,您也可以選擇允許某些 URL,如此一來便能給您更多的彈性與控制力,而且還能讓您建立網站的允許清單。
为 Internet Explorer 配置此功能之前,您必须使用 Internet 选项为每个端点启用第三方浏览器扩展。 或者,可以通过组策略来应用此功能。
URL 重定向与 Internet Explorer 8、9、10 和 11 兼容。 使用 Chrome,所有托管端点必须为域的一部分。
雜湊演算法
檔案雜湊提供了一種根據檔案本身實際內容來準確識別檔案的方法。 对每个文件进行检查,并根据其内容生成一个数字哈希(可将其比作指纹)。 應用程式控制項 採用業界標準 SHA-1、SHA-256 和 Adler-32 雜湊。 若檔案遭到任何改動,則雜湊也會隨之改動。
数字哈希因其出色的准确性被视为终极安全方法。 它可识别每个文件,且识别方式与除文件本身之外的所有其他因素无关。 例如,管理员获取计算机系统上所有可执行文件的数字哈希并记录它们。 然后用户尝试执行应用程序。 计算应用程序的数字哈希,然后与记录值进行比较。 如果匹配,则允许应用程序执行,否则拒绝执行。 此方法还提供零日保护,因为它不仅阻止引入新应用程序,而且还阻止任何被恶意软件感染的应用程序。
儘管檔案雜湊提供了與「受信任擁有權」類似的保護,但您也必須將維護安全系統時所需的時間及管理成本納入考量。 應用程式會不斷透過產品級別、錯誤修正與弱點修補程式進行更新。 这意味着所有相关文件也在不断被更新。 因此,若以 Microsoft Office 套用了產品級別做為範例,為能讓更新後的組件運作,就必須立即使用更新後檔案的數位雜湊。 在更新可用时要确保这些可用,以避免停机。 此外,建議您移除舊的雜湊。
進階設定
「進階設定」允許您設定當部署 應用程式控制項 組態時,將在託管端點上套用的額外設定。 若部署的新組態包含新的進階設定,端點上任何目前既有的進階設定將遭刪除。
在「進階設定」索引標籤中,以滑鼠右鍵按一下工作區域並選取新增以顯示可用的「進階設定」清單。 当配置部署到托管端点时,将应用这些设置。
可用的進階設定
| 設定 | 資料類型 | 說明 |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | 數字 | 超时,以秒为单位,用于嵌套计算机组查找。 默认设置为 120 秒,并且将此值设置为 0 会禁用超时。 |
| ADQueriesEnabled | 數字 | 此设置对用于确定系统可分辨名称和计算机组成员资格的 AD 查询类型进行控制。 当值为 0 时,将禁用对 AD 的查询以及配置中对计算机组和 OU 的使用。 默认值 1 导致代理同时执行可分辨名称和直接(非嵌套)计算机组 AD 查询。 配置中的嵌套计算机组会被忽略。 默认值 2 导致代理执行可分辨名称、直接和嵌套计算机组 AD 查询。 由于 CPU 使用率较高,此设置会导致有关 DC 的性能问题。 |
| AlternateTOCheck | 數字 | 当系统中安装了第三方筛选器驱动程序时,受信任的所有权检查偶尔会导致系统进程中产生过高的 CPU 使用率。 使用值 1 启用此设置可导致 應用程式控制項 使用替换方法来查找受信任的所有权,在某些情况下这可消除此问题。 |
| AMFileSystemFilterFailSafe | 數字 | 此设置配置文件系统筛选器驱动程序是否在故障安全或故障保险模式下运行。 如果代理存在问题并且停止响应,则驱动程序在故障保险模式下会断开,并且不再拦截任意请求。 值 1 表示故障安全,0 表示故障保险。 默认为故障安全。 變更此設定需要代理程式重新啟動才能生效。 |
| AppHookDelayLoad | 文字 | 此设置导致 AmAppHook Dll 在延迟可配置的毫秒 (ms) 数后加载。 此设置基于每文件名称进行配置。 格式为 <filename+extension>,<delay>。 文件名和扩展名可以包含通配符。 每个对用分号分隔。 例如 'calc.exe,2000;note*.exe,6000’ |
| AppHookEx | 文字 | 應用程式控制項 利用 Windows 挂钩作为应用程序网络访问控制 (ANAC) 功能的一部分。 在极少数情况下,应用程序在挂接时会显示意外行为。 此设置为未在其中挂接 ANAC 特定功能的应用程序的列表,因此不受 ANAC 规则的约束。 如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载。 多个条目以分号 (;) 分隔。 |
| AppInitDllPosition | 數字 | 用于指定 AsModLdr 驱动程序或 Appinit 注册表项是否应该用于注入 應用程式控制項 挂钩。 此设置还用于确定 AMLdrAppinit.dll 在 AppInit_DLL 注册表值中的位置。 设置以下值之一:
此设置仅应该在 Ivanti 技术支持团队的指导下使用。 |
|
AssumeActiveSetupDespiteCitrix |
Citrix 用戶端使用已發佈的應用程式時,Windows Active Setup 不會在 Citrix 用戶端登入時執行。 在預設情況下,應用程式控制項 會偵測到用戶端正在使用 Citrix 通訊協定,然後假定已排除 Active Setup,以便在可能看起來像 Active Setup 的情況下永遠不允許已封鎖的應用程式。 此外,應用程式控制項 也可以選擇對於相關的 Citrix 進行更嚴格的檢查: 將此設定的值設定為 1,以便 應用程式控制項 在已拒絕的應用程式獲得允許的情況下進行更嚴格的檢查。如果應用程式似乎在實際的 Active Setup 期間遭封鎖,將值設定為 2 即可完全停止 應用程式控制項 進行這些 'Citrix' 檢查。 |
|
| BrowserAppStorePort | 數字 | 输入用于允许安装 Chrome 浏览器扩展的端口。 |
| BrowserCommsPort | 數字 | 输入用于自浏览器扩展至代理进行通信的端口。 |
| BrowserExtensionInstallHive | 數字 | 此工程设置允许管理员选择安装 應用程式控制項 Chrome 浏览器扩展的注册表配置单元。 选项如下:
0 为管理员必须手动配置自己的企业应用程序存储以部署 應用程式控制項 Chrome 浏览器扩展的位置。 默认操作为 2 - 适用于安装于 HKCU 中的 chrome 扩展。 |
| BrowserHookEx | 文字 | 该值可以设置为 'Chrome.exe’,以阻止应用程序控制浏览器挂钩 (BrowserHook.dll) 注入到其中。 浏览器挂钩会阻止所有网络通信,直至 Chrome 扩展已建立与应用程序控制代理之间的连接。 此自定义设置不影响核心功能。 |
| BrowserNavigateEx | 文字 | 将忽略导航事件处理的导航 URL 的竖线 (|) 分隔列表。 此列表中的 URL 不受 URL 重定向的约束。 |
| ComputerOUThrottle | 數字 | 此设置用于检查组织单位成员资格时,通过限制并发查找数目限制每个连接客户端的 Active Directory 查找操作。 这种调节有助于处理大量连接客户端时,减少域中的查询流量。 将此值设置为 0 到 65535 之间。 |
| DFSLinkMatching | 數字 | 可将 DFS 链接路径添加至规则中。 DFS 链接和 DFS 目标被视为待匹配的独立项目。 应用规则前不存在从链接到目标的转换。 将此值设置为 1 可启用 DFS 链接匹配。 |
| DirectHookNames | 文字 | 應用程式控制項的 Windows hook 被加载到所有进程,这些进程默认加载 user32.dll。 不加载此 DLL 的应用程序未被挂接。 不加载 user32.dll 的任意应用程序应该包含在此设置中,作为以分号分隔的完整路径或文件名列表的一部分。 |
| DisableAppV5AppCheck | 數字 | 默认情况下,使用 AppV5 启动的任意应用程序无需进行受信任的所有权检查。 使用此设置并通过值 1 可禁用此操作。 |
| DisableSESecondDesktop | 數字 | 默认情况下,自行提升的审计对话框显示于备用桌面上。 设置为 1 可将该对话框显示于主桌面上。 |
| DoNotWalkTree | 數字 | 默认情况下,进程规则会检查整个父项是否匹配。 此设置指示进程规则仅查看进程的直接父项,而不检查整个树。 值 1 可启用此设置。 |
| DriverHookEx | 文字 | 不注入 應用程式控制項 挂钩 (AMAppHook.Dll) 的应用程序的分号分隔列表。 應用程式控制項 要求加载挂钩才能使某些功能起作用。 此自定义设置仅应该在 Ivanti 技术支持团队的指导下使用。 |
| EnableScriptPreCheck | 數字 | 当脚本规则中的脚本正在处理时,它们会被视为返回了一个假值。 脚本所用的时间因其内容而异。 此设置在计算机启动和用户登录期间可提供最佳性能,因为取决于脚本结果的任意进程均不会延迟。 将值设置为 1 可使进程在相关脚本完成之前等待。 这将极大降低计算机启动和用户登录的速度。 應用程式控制項 不会无限期等待脚本结果,将应用 30 秒超时。 |
| EnableSignatureOptimization | 數字 | 使用签名时,此设置可改善规则检查的性能。 与完整路径不匹配的文件不会进行哈希处理,因为我们假定它们不是相同的文件。 设置为 1 可启用。 启用此设置和 ExtendedAuditInfo 将不在审计元数据中显示经过哈希处理的任何文件名称。 |
| ExplicitShellProgram | 文字 | 此设置由应用程序访问控制 (AAC) 使用。 應用程式控制項 将 Shell 程序的启动(默认情况下为 explorer.exe)视为要登录的会话的触发器。 不同的环境和技术能够改变 Shell 应用程序,并且代理有时无法检测出什么是 Shell 程序。 應用程式控制項 使用这个列表中的应用程序(除了默认的 Shell 应用程序之外)来确定何时认为会话已登录。 這是以分號分隔的完整路徑或檔案名清單。 |
| ExProcessNames | 文字 | 应该从筛选器驱动程序排除的空格分隔文件名称的列表。 變更此設定需要代理程式重新啟動才能生效。 |
| ExtendedAuditInfo | 數字 | 此设置扩展了审计事件的文件信息。 它在每个文件的审计事件中为其报告安全哈希算法 1 (SHA-1) 哈希、文件大小、文件和产品版本、文件说明、供应商、公司名称和产品名称。 该信息将立即添加在事件日志中的文件名称后面。 此设置默认情况下已开启。 如需关闭,请输入值 0。 启用 EnableSignatureOptimization 设置将禁用哈希或校验和的生成。 |
| ForestRootDNQuery | 數字 | 将值设置为 1 可使应用程序控制代理能够执行森林根查询。 针对设备规则中的 OU 和计算机组成员资格,查询包括追踪引荐以确定连接设备的可分辨名称。 |
| ImageHijackDetectionInclude | 文字 | 确认所有子进程所依据的进程名称的列表,旨在确保子映像在不中断或修改的情况下运行并且匹配初始请求的映像。 如果子进程未得到确认,则它会终止。 这是一个以分号分隔的完整路径或文件名列表。 |
| OwnershipChange | 數字 | 應用程式控制項 检测受信任文件是否被不可信所有者更改。 在这种情况出现时,文件所有者会被更改为不可信用户,并且任意执行请求将被阻止。 一些应用程序会覆盖这些文件,使 應用程式控制項 默认不检测它,因此文件所有者将不会被更改。 当启用时,應用程式控制項 将执行额外的检查以捕获所有符合捕捉条件的文件更改和覆盖。 设置为值 1 可启用。 |
| RemoveDFSCheckOne | 數字 | 当文件存储于 DFS 驱动器上时,應用程式控制項 将使用一系列策略来评估正确的 UNC 路径。 如果大量脚本和可执行文件存储于 Active Directory 中并且由其进行复制,则这些策略之一可能会导致登录期间出现延迟。 设置为值 1 可启用,导致 應用程式控制項 忽略此策略并在这种情况下提高性能。 |
| SECancelButtonText | 文字 | 点击“自行提升”对话框中的取消按钮显示的文本。 |
| SelfElevatePropertiesEnabled | 數字 | 将此值设置为 '1’ 可启用属性自行提升。 默认情况下禁用此功能。 |
| SelfElevatePropertiesMenuText | 文字 | 用于属性自行提升的“上下文菜单”选项中的文本。 |
| SEOkButtonText | 文字 | 点击“自行提升”对话框中的“确定”按钮显示的文本。 |
|
ShowMessageForBlockedDLLs |
將值設定為 1,顯示遭拒 DLL 的 應用程式控制項 存取遭拒訊息方塊。 |
|
| UrlRedirectionSecPolicy | 數字 | 默认情况下,URL 重定向功能会忽略安全策略。 此工程设置允许管理员强制 URL 重定向,以遵守配置的安全策略。 设置为值 1 可启用。 不支持自授权。 |
| UrmForceMediumIntegrityLevel | 文字 | 权限管理 (UPM) 自定义设置,用于在用户权限是提升的应用程序时覆盖完整性级别,默认情况下完整性级别设置为高。 使用此设置时,级别会降低至中。 此值应该为由分号分隔的文件名称列表。 |
| UrmHookEx | 文字 | 應用程式控制項 利用 Windows 挂钩作为用户权限管理功能的一部分。 在极少数情况下,应用程序在挂接时会显示意外行为。 此设置列出了用户权限管理特定功能未挂接的应用程序。 如果应用程序同时在 AppHookEx 和 UrmHookEx 中命名,则 AmAppHook.dll 未加载,多个条目以分号 (;) 分隔。 |
| UrmPauseConsoleExit | 文字 | 由用户权限管理功能使用。 当提升控制台应用程序时,新应用程序会出现在新控制台窗口中。 应用程序运行至完成,然后关闭。 如果用户要查看程序的输出,这将成为一个问题。 此设置可使应用程序保留,直至按下按键。 這是以分號分隔的完整路徑或檔案名清單。 |
| UrmSecPolicy | 數字 | 默认情况下,用户权限管理功能通常会忽略安全策略。 用户权限管理规则适用于所有情况(选择仅审计模式除外)。 此自定义设置允许管理员强制用户权限管理,以遵守配置的安全策略。 对于未受限的和自授权的安全级别,不应用用户权限管理规则。 对于限制级别,应用用户权限管理规则。 设置为值 1 可启用此设置。 |