Андрей Попов - Windows Script Host для Windows 2000/XP

Как следует из табл. 4.2, для установки той или иной политики безопасности служит параметр реестра целого типа TrustPolicy. Значения этого параметра, равные 0, 1 и 2, соответствуют пунктам 1, 2 и 3 вышеприведенного списка.

Для установки политики безопасности WSH с помощью TrustPolicy, необходимо, чтобы значением параметра UseWINSAFERбыл 0 (либо этот параметр не был указан совсем).

В качестве примера запустим сценарий Signed.vbs с подписью, основанной на цифровом сертификате "Попов ненадежный". Если TrustPolicyравно 1, то на экран выведется диалоговое окно, показанное на рис. 4.24.

Рис. 4.24.Предупреждение о безопасности при запуске ненадежного сценария ( TrustPolicy=1)

Рис. 4.25.Отказ при запуске ненадежного сценария ( TrustPolicy=2)

Если же установить значение параметра TrustPolicyравным 2 и попытаться выполнить Signed.vbs, то сценарий запущен не будет, а на экран будет выведено диалоговое окно, показанное рис. 4.25.

При использовании WSH имеется возможность вести аудит успехов и отказов для сценариев, т.е. автоматически заносить в журнал событий системы информацию об успешных или неуспешных (с точки зрения безопасности) попытках запуска сценариев. Для этой цели служат два параметра системного реестра ( LogSecuritySuccessesи LogSecurityFailures), которые были описаны в табл. 4.2.

Для просмотра журнала событий можно воспользоваться соответствующей оснасткой в ММС или выбрать в меню Пуск(Start) пункт Все программы | Администрирование | Просмотр событий(All Programs | Administrative Tools | Event Viewer).

Рассмотрим пример. Установим режим безопасности так, чтобы для сценариев WSH велся как аудит успехов ( LogSecuritySuccesses="1"), так и аудит отказов ( LogSecurityFailures="1"). Если теперь заблокировать сценарии WSH ( Enabled="0") и попытаться запустить какой-либо сценарий, то в журнал событий системы будет добавлена запись об отказе (рис. 4.26).

Рис. 4.26.Информация об отказе для сценария WSH в журнале событий системы

Разрешим теперь выполнение сценариев WSH ( Enabled="1") и установим режим безопасности, при котором будут запускаться только сценарии с цифровыми подписями, для которых установлено доверие ( TrustPolicy=2). Если запустить какой-либо сценарий с такой подписью (например, Signed.js с подписью, созданной на основе сертификата "Попов надежный"), то в журнале событий системы появится запись об успехе (рис. 4.27).

Рис. 4.27.Информация об успехе для сценария WSH в журнале событий системы

В Windows ХР встроены политики ограниченного использования программ (SRP, Software Restriction Policies), с помощью которых можно управлять возможностью выполнения программного обеспечения на компьютере. Политики SRP могут применяться и к сценариям WSH любого типа, для этого необходимо, чтобы параметр системного реестра UseWINSAFER, который описан в табл. 4.2, имел значение 1.

Для применения политик SRP к сценариям WSH на локальной машине необходимо сначала загрузить в ММС оснастку Политика "Локальный компьютер"(Local Computer Policy) (рис. 4.28).

Рис. 4.28.Установка политик SRP с помощью оснастки Политика "Локальный компьютер"

Процесс загрузки этой оснастки был подробно описан в разд. "Блокировка локальных и удаленных сценариев WSH. Пример административного шаблона" этой главы , поэтому здесь мы останавливаться на нем не будем.

После этого нужно перейти в раздел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики ограниченного использования программ | Дополнительные правила(Computer Configuration | Windows Configuration | Security Settings | Software Restriction Policies | Additional Rules).

Создание и изменение дополнительных правил (Additional Rules) в SRP и является механизмом определения политик безопасности для сценариев WSH.