Блокировка локальных и удаленных сценариев WSH. Пример административного шаблона

Блокировка локальных и удаленных сценариев WSH. Пример административного шаблона

Как уже было указано в табл. 4.2, за блокировку локальных и удаленных сценариев WSH отвечают соответственно параметры реестра Enabled и Remote: если Enabled равно "0", то на машине вообще нельзя выполнять сценарии, если Remote равен "0", то нельзя выполнять сценарии, запускаемые с другого компьютера (удаленные сценарии). При такой блокировке устанавливается запрет на выполнение сценариев всех типов — при попытке запуска любого файла с расширениями js, vbs, jse, vbe или wsf будет выведено диалоговое окно, показанное на рис. 4.13, а сценарий выполнен не будет.

В листинге 4.12 приведен административный шаблон wsh.adm, с помощью которого можно запрещать/разрешать выполнение локальных или удаленных сценариев. Как мы видим, в административном шаблоне описывается путь к разделу реестра (параметр KEYNAME), содержащего нужный параметр, название (параметр VALUENAME) и список возможных значений (параметры VALUEON и VALUEOFF) этого параметра, а также приводятся строки, поясняющие назначение редактируемых параметров (секция [STRINGS]).

Рис. 4.13. Блокировка выполнения сценариев WSH

Листинr 4.12. Файл WSH.adm

CLASS MACHINE

  CATEGORY "Локальные и удаленные сценарии WSH"

    POLICY !!LocalEnabledPolicy

      KEYNAME "SoftwareMicrosoftWindows Script HostSettings"

        EXPLAIN !!LocalEnabledPolicyHelp

      VALUENAME Enabled

        VALUEON "1" VALUEOFF "0"

    END POLICY

    POLICY !!MachRemotePolicy

      KEYNAME "SoftwareMicrosoftWindows Script HostSettings"

        EXPLAIN !!MachRemotePolicyHelp

      VALUENAME Remote

        VALUEON "1" VALUEOFF "0"

    END POLICY

    POLICY !!IgnoreUserSettingsPolicy

      KEYNAME "SoftwareMicrosoftWindows Script HostSettings"

        EXPLAIN !!IgnoreUserHelp

      VALUENAME IgnoreUserSettings

        VALUEON "1" VALUEOFF "0"

    END POLICY

  END CATEGORY

CLASS USER

  CATEGORY "Локальные и удаленные сценарии WSH"

    POLICY !!LocalEnabledPolicy

      KEYNAME "SoftwareMicrosoftWindows Script HostSettings"

        EXPLAIN !!LocalEnabledPolicyHelp

      VALUENAME Enabled

        VALUEON "1" VALUEOFF "0"

    END POLICY

    POLICY !!MachRemotePolicy

      KEYNAME "SoftwareMicrosoftWindows Script HostSettings"

        EXPLAIN !!MachRemotePolicyHelp

      VALUENAME Remote

        VALUEON "1" VALUEOFF "0"

    END POLICY

  END CATEGORY

[STRINGS]

LocalEnabledPolicy="Разрешить локальный WSH"

LocalEnabledPolicyHelp="Если значение равно 1, то локальный WSH разрешен"

MachRemotePolicy="Разрешить удаленный WSH"

MachRemotePolicyHelp="Если значение равно 1, то удаленный WSH разрешен"

IgnoreUserSettingsPolicy="Игнорировать установки пользователя"

IgnoreUserHelp="Должен быть установлен для того, чтобы применять ко всем пользователям политику для машины"

Для применения политик безопасности, которые описаны в шаблоне wsh.adm, к различным пользователям и рабочим станциям, можно воспользоваться либо редактором системной политики Poledit.exe (в сетях Windows NT и на автономных машинах), либо оснасткой Групповая политика (Group Policy) в ММС (в сетях с установленной службой каталогов Active Directory и на автономных машинах).

Рассмотрим сначала вариант, связанный с использованием редактора системной политики Poledit.exe. После запуска этой программы надо добавить wsh.adm в список текущих шаблонов политик. Для этого нужно в меню Параметры (Options) выбрать пункт Шаблон политики (Policy Template) и воспользоваться кнопкой Добавить (Add) в диалоговом окне Параметры шаблона политики (Policy Template Options) (рис. 4.14).

Рис. 4.14. Добавление файла wsh.adm в список текущих шаблонов политик

После подключения шаблона wsh.adm можно создать новую политику (пункт Новая политика (New Policy) в меню Файл (File)) (рис. 4.15).

Рис. 4.15. Создание новой системной политики

В свойствах пользователя и компьютера появится новый раздел Локальные и удаленные сценарии WSH с соответствующими параметрами политики безопасности, которые описаны в wsh.adm (рис. 4.16).

Рис. 4.16. Параметры политики безопасности для WSH, взятые из шаблона wsh.adm

В Windows 2000/ХР, имея соответствующие администраторские права, можно подключить административный шаблон wsh.adm к оснастке Групповая политика (Group Policy) в ММС. Рассмотрим, каким образом это делается для автономного компьютера, не подключенного к сети.

Сначала загрузим ММС, выполнив команду mmc либо в командной строке, либо с помощью пункта Выполнись (Run) меню Пуск (Start). Затем выберем пункт Добавить или удалить оснастку (Add/Remove Snap-in) в меню Консоль (Console) и нажмем кнопку Добавить (Add). В появившемся списке всех имеющихся оснасток нужно выбрать пункт Групповая политика (Group Policy) и нажать кнопку Добавить (Add). После этого запустится мастер групповой политики, в котором нужно указать, что объектом групповой политики является локальный компьютер, и нажать кнопку Готово (Finish) (рис. 4.17).

Рис. 4.17. Мастер групповой политики

Никаких других оснасток в окно консоли мы добавлять не будем, поэтому нажимаем кнопку Закрыть (Close) в списке оснасток и кнопку OK в окне добавления/удаления оснасток. После этого мы можем в окне консоли изменять групповую политику для локального компьютера (рис. 4.18).

Для того чтобы добавить в оснастку нужный нам административный шаблон, следует выделить раздел Конфигурация компьютера | Административные шаблоны (Computer Configuration | Administrative Templates) и в меню Действие (Action) выбрать пункт Добавление/удаление шаблонов (Add/Remove Templates). После этого на экран будет выведено диалоговое окно со списком всех шаблонов, подключенных к оснастке Политика "Локальный компьютер" (Local Computer Policy) (рис. 4.19).

Для добавления нового административного шаблона в этот список нужно нажать кнопку Добавить (Add) и выбрать нужный файл с расширением adm (в нашем случае это wsh.adm). После этого список подключенных шаблонов следует закрыть. В результате в каждом из разделов Конфигурация компьютера | Административные шаблоны (Computer Configuration | Administrative Templates) и Конфигурация пользователя | Административные шаблоны (User Configuration I Administrative Templates) создастся подраздел Локальные и удаленные сценарии WSH (рис. 4.20).

Рис. 4.18. Настройки групповой политики для локального компьютера

Рис. 4.19. Административные шаблоны, подключенные к оснастке Групповая политика

Рис. 4.20. Новый подраздел Локальные и удаленные сценарии WSH

Рис. 4.21. Параметры фильтрации административных шаблонов политик

Для того чтобы описанные в wsh.adm параметры можно было редактировать, нужно выделить подраздел Локальные и удаленные сценарии WSH, выбрать в меню Вид (View) пункт Фильтрация (Filter), снять флажок Показывать только управляемые параметры политики (Show controlled policy parameters only) в диалоговом окне Фильтрация (Filter) и нажать кнопку OK (рис. 4.21).

После этого в подразделе Локальные и удаленные сценарии WSH будут показаны описанные в wsh.adm параметры политики безопасности для WSH (рис. 4.22).

Рис. 4.22. Параметры политики безопасности для WSH, взятые из шаблона wsh.adm

В правой части окна Консоль1 отображаются состояния локальных и удаленных сценариев WSH. Выбирая соответствующую вкладку, можно переключаться между расширенным и стандартным отображением параметров.

Выбрав с помощью нажатия клавиши <Enter> нужный параметр, можно установить его значение (рис. 4.23).

Рис. 4.23. Изменение значения параметра политики безопасности для WSH

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Пример: параллельный поиск указанного текстового шаблона

Из книги автора

Пример: параллельный поиск указанного текстового шаблона Настало время посмотреть на процессы Windows в действии. Приведенная ниже в качестве примера программа grepMP создает процессы для поиска указанного текстового шаблона в файлах, по одному процессу на каждый файл. Эта


Блокировка сценариев с заданной подписью

Из книги автора

Блокировка сценариев с заданной подписью Еще одним возможным ограничением является запрет на выполнение файлов, подписанных с помощью определенного цифрового сертификата ("Попов ненадежный", например). Рис. 4.31. Диалоговое окно для создания нового правила для


Глава 6 Причины успеха удаленных атак

Из книги автора

Глава 6 Причины успеха удаленных атак «То, что изобретено одним человеком, может быть понято другим», – сказал Холмс. А. Конан Дойл. Пляшущие человечки В двух предыдущих главах было показано, что общие принципы построения распределенных ВС позволяют выделить целый


Использование локальных сценариев запуска

Из книги автора

Использование локальных сценариев запуска Как правило, в системе Linux большинство стандартных серверов запускается либо с помощью сценариев SysV, либо суперсервера. Исключением является сервер X, для запуска которого в файле /etc/inittab предусмотрена соответствующая запись.


Глава 22 Восстановление удаленных файлов

Из книги автора

Глава 22 Восстановление удаленных файлов 22.1. Работа с программой GetDataBack22.2. Использование программы R-STUDIOФайлы при обычном удалении чаще всего попадают в Корзину Windows – специально предназначенную для этого папку. Если вы случайно удалили файл или даже папку, откройте


Пример: блокировка на чтение при наличии в очереди блокировки на запись

Из книги автора

Пример: блокировка на чтение при наличии в очереди блокировки на запись Первый вопрос, на который мы попытаемся найти ответ, звучит так: если ресурс заблокирован на чтение и какой-то процесс послал запрос на установление блокировки на запись, будет ли при этом разрешена


Альтернативные хосты для удаленных объектов

Из книги автора

Альтернативные хосты для удаленных объектов При изучении материала этой главы вы создали группу консольных серверных хостов, обеспечивающих доступ к некоторому множеству удаленных объектов. Если вы имеете опыт использования классической модели DCOM (Distributed Component Object Model


Хостинг удаленных объектов с помощью IIS

Из книги автора

Хостинг удаленных объектов с помощью IIS Хостинг удаленного компоновочного блока с помощью сервера IIS (Internet Information Server – информационный сервер Интернет) даже проще, чем создание сервиса Windows, поскольку сервер IIS специально запрограммирован на то, чтобы получать


10.11. Пример шаблона функции

Из книги автора

10.11. Пример шаблона функции В этом разделе приводится пример, показывающий, как можно определять и использовать шаблоны функций. Здесь определяется шаблон sort(), который затем применяется для сортировки элементов массива. Сам массив представлен шаблоном класса Array (см.


Утилиты удаленных сервисов

Из книги автора

Утилиты удаленных сервисов Утилиты, использующие Services API или старые переключатели менеджера сервисов для удаленного администрирования, должны быть отключены или адаптированы к работе с локальным протоколом. Конкретные меры будут зависеть от того, как реализована ваша


Пример 22-8. Область видимости локальных переменных

Из книги автора

Пример 22-8. Область видимости локальных переменных #!/bin/bashfunc (){ local loc_var=23 # Объявление локальной переменной. echo echo ""loc_var" в функции = $loc_var" global_var=999 # Эта переменная не была объявлена локальной. echo ""global_var" в функции = $global_var"}func# Проверим, "видна" ли локальная переменная


Пример 22-9. Использование локальных переменных при рекурсии

Из книги автора

Пример 22-9. Использование локальных переменных при рекурсии #!/bin/bash# факториал# ---------# Действительно ли bash допускает рекурсию?# Да! Но...# Нужно быть действительно дубинноголовым, чтобы использовать ее в сценариях# на языке командной


Восстановление случайно удаленных данных

Из книги автора

Восстановление случайно удаленных данных Эта задача является частным случаем исправления логических ошибок диска. Вся особенность в том, что пользователь обычно знает, что, откуда и когда удалено, а диск, как правило, совершенно исправен и физически, и логически. Кроме


Восстановление удаленных файлов

Из книги автора

Восстановление удаленных файлов Если вы случайно удалили какой-либо файл, его можно восстановить, достав из Корзины.Для этого откройте окно Корзина, выполнив двойной щелчок по одноименному значку на рабочем столе либо щелкнув по нему правой кнопкой мыши и выбрав в