Услуга за инсталиране на Windows Vista ActiveX
Винаги е една и съща история. Значителното подобряване на вашата сигурност изисква отказ от известна свобода или гъвкавост. Ако вашата среда е подобна на повечето организации, трябва да засилите сигурността на настолните операционни системи за по-сигурно изживяване
среда за вашите крайни потребители. Често срещан подход за ИТ администраторите за защита на тяхната работна среда е да използват комбинация от настройки на правилата за сигурност, потребителски разрешения, списъци за контрол на достъпа до файлове и регистър (ACL) и ограничения на системните услуги.
Често срещано предизвикателство при проектирането на защитена работна среда е да се смекчат заплахите от злонамерени ActiveX® контроли, като същевременно се поддържа подходящо ниво на съвместимост на приложенията в средата. Това е проблем с настолните операционни системи от много години. За щастие, новата услуга за инсталиране на ActiveX (AxIS) в Windows Vista™ решава проблемите с управлението на ActiveX контроли в корпоративни среди. AxIS предоставя лесен и управляем начин за потребителите да инсталират ActiveX контроли от одобрени уеб сайтове, когато потребителите обикновено нямат право да ги инсталират. Управлението на групови правила на AxIS позволява на ИТ администраторите да контролират кои контроли потребителите могат да инсталират, независимо от техните разрешения.
В тази статия ще разгледаме проблемите при администрирането на ActiveX контроли, решаването на тези проблеми в предишните версии на Windows® и предоставянето на уникален и мощен начин за управление на инсталацията в Windows Vista.ActiveX контроли с помощта на AxIS.
Какво е ActiveX контрола?
ActiveX контролата е част от изпълним код (обикновено OCX файл, пакетиран в CAB файл), който се инсталира и изпълнява от потребителя чрез Internet Explorer®. Уеб разработчиците създават ActiveX контроли, за да добавят функционалност към уеб приложенията, която не може да се направи със стандартен HTML или прост скрипт.
Фиг. 1 Информационен панел за инсталиране на ActiveX Control
Когато ActiveX контролите бяха въведени за първи път в Internet Explorer 4.0, Интернет изглеждаше като по-приветливо място. Днес изпълнимият код, разпространяван по интернет, представлява значителна заплаха, така че Windows позволява инсталирането на ActiveX контроли само от потребители с администраторски привилегии, когато те одобрят инсталирането според настройките на правилата. След като ActiveX контрола бъде инсталирана от администратор, тя може да бъде изпълнена от всеки потребител в системата. Този процес е улеснен с набор от ACL файлове и регистър в Windows. Въпреки че това не позволява на стандартните потребители да инсталират ActiveX контроли, то не намалява риска локалните администратори и стандартните потребители (с модифицирани разрешения по подразбиране) да инсталират контролите.
Въпреки че защитата по подразбиране на Windows, която позволява инсталирането само на потребители с администраторски привилегии, установява управление на ActiveX контролите на индивидуално ниво, тя не предоставя начин за управлението им в голяма организация. Често срещано притеснение в корпоративните среди е разрешаването на използването на ActiveX контроли, доверени от ИТ организациятакато същевременно намалява риска от външни ненадеждни контроли. В крайна сметка решението за инсталиране на конкретен ActiveX контрол, добър или лош, често се оставя на отделния потребител въз основа на неговите права. За да се противопоставят на заплахите, някои организации блокират ActiveX контролите, докато други позволяват на крайните потребители да ги инсталират, но се опитват да контролират инсталирания зловреден софтуер.
Друг начин да се предотврати инсталирането на злонамерени контроли е да се ограничат правата на стандартните потребители и ИТ администраторът да инсталира всички необходими контроли на десктоп платформата предварително. Този подход е ефективен, ако използваните ActiveX контроли са сравнително статични, променени чрез планиран процес на издаване поради актуализации на работната среда или ако организацията използва механизъм за разпространение на софтуер, като Systems Management Server. Въпреки това, непрекъснатият контрол, непрекъснато променящите се нужди на вътрешните разработчици на приложения и разчитането на външен контрол продължават да бъдат проблеми с тези подходи.
В случаите, когато потребителите имат административни права, има друг проблем; това е да попречи на потребителите да инсталират неодобрени контроли. В тези случаи се приема правото на крайния потребител да инсталира ActiveX контроли, тъй като потребителят има администраторски права. (Имайте предвид, че работата на крайни потребители като локални администратори е много рисковано за една организация и не се препоръчва за повечето корпоративни среди.)
Има и другирешения като промяна на зоната URLActions на Internet Explorer, указване на одобрени от администратор контроли чрез групови правила и блокиране на инсталирането на всички контроли на периметъра чрез правила на защитната стена. Но, както можете да видите, всички тези подходи имат свои собствени проблеми и много от тях в крайна сметка не се използват поради липса на гъвкавост. За да влошат нещата, някои от тези решения изискват потребителите да имат администраторски права. Така че тези промени решават част от проблема, като контролиране (или блокиране) на източника на ActiveX контроли, откъде могат да бъдат изпълнени и т.н.; тези решения обаче не решават основния проблем с неадминистративните потребители, които не могат да инсталират ActiveX контроли.
Какви функции предоставя AxIS?
Фиг. 2 AxInstallService събитие 4097AxIS е незадължителна функция, включена в Business, Enterprise и Ultimate SKU на Windows Vista, която може да бъде активирана с помощта на автоматична опция или от диалоговия прозорец на контролния панел (Програми, програми и функции, които включват или изключват функциите на Windows), както е показано на Фигура 1. 3 . Веднъж активиран, AxIS изпълнява горните действия, когато се поиска контрола на Internet Explorer.
Фиг. 3 Активирайте AxIS в контролния панел Фиг. 5 одобрени от AxIS възли за инсталиране0x00001000 | Игнориране на невалидно канонично име (CN) в сертификат. |
0x00000100 | Игнориране на неизвестни CA. |
0x00002000 | Игнориране на невалидна дата на сертификат. |
0x00000200 | Игнориране на злоупотребата със сертификат. |
Стойността по подразбиране е 0, което означава, че всички тестове за сигурност трябва да бъдат извършени преди инсталирането на AxIS да завърши. Комбинацията от настройката на хоста и тези четири стойности са посочени в настройката на правилата, както е показано на Фигура 1-1. 7.
Заключение
AxIS ви позволява да конфигурирате Group Policy, за да дефинирате ActiveX контроли, които могат да бъдат инсталирани от потребители без администраторски привилегии или необходимост от сложни настройки. Управлението на това ниво може да бъде трудно в предишни версии на Windows, а наличните по-рано решения често са имали сериозни ограничения или значителни нужди от управление. AxIS предоставя на организациите друго средство чрез използване на подход с най-малко привилегии и права на крайния потребител на настолни системи, което прави възможно прилагането на стандартен потребителски модел, при който не се изискват администраторски права за крайните потребители. Windows Vista предоставя на ИТ администраторите значително предимство, тъй като те могат да избират кои ActiveX контроли да се считат за надеждни в корпоративна среда, която се определя от организацията, а не от крайния потребител.