Для добавления нового административного шаблона в этот список нужно нажать кнопку Добавить (Add) и выбрать нужный файл с расширением adm (в нашем случае это wsh.adm). После этого список подключенных шаблонов следует закрыть. В результате в каждом из разделов Конфигурация компьютера | Административные шаблоны (Computer Configuration | Administrative Templates) и Конфигурация пользователя | Административные шаблоны (User Configuration I Administrative Templates) создастся подраздел Локальные и удаленные сценарии WSH (рис. 4.20).
Рис. 4.18. Настройки групповой политики для локального компьютера
Рис. 4.19. Административные шаблоны, подключенные к оснастке Групповая политика
Рис. 4.20. Новый подраздел Локальные и удаленные сценарии WSH
Рис. 4.21. Параметры фильтрации административных шаблонов политик
Для того чтобы описанные в wsh.adm параметры можно было редактировать, нужно выделить подраздел Локальные и удаленные сценарии WSH, выбрать в меню Вид (View) пункт Фильтрация (Filter), снять флажок Показывать только управляемые параметры политики (Show controlled policy parameters only) в диалоговом окне Фильтрация (Filter) и нажать кнопку OK (рис. 4.21).
После этого в подразделе Локальные и удаленные сценарии WSH будут показаны описанные в wsh.adm параметры политики безопасности для WSH (рис. 4.22).
Рис. 4.22. Параметры политики безопасности для WSH, взятые из шаблона wsh.adm
В правой части окна Консоль1 отображаются состояния локальных и удаленных сценариев WSH. Выбирая соответствующую вкладку, можно переключаться между расширенным и стандартным отображением параметров.
Выбрав с помощью нажатия клавиши <Enter> нужный параметр, можно установить его значение (рис. 4.23).
Р РёСЃ. 4.23. Рзменение значения параметра политики безопасности для WSH
Три режима выполнения сценариев WSH
Для сценариев WSH можно задать один из трех режимов их выполнения:
1. Режим безопасности отключен. Запускаются все сценарии, вне зависимости от того, имеется ли у этих сценариев цифровая подпись или нет.
2. Средний уровень безопасности. Надежные сценарии, т.е. имеющие цифровую подпись, к которой установлено доверие, запускаются сразу, без дополнительных сообщений. При попытке запуска неподписанных сценариев или сценариев, подписанных с помощью цифрового сертификата, к которому не установлено доверие, а также сценариев, содержимое которых было изменено после подписания, выводится диалоговое окно с кратким описанием возникшей ситуации. Данное диалоговое окно позволяет либо проигнорировать предупреждение о возможной небезопасности сценария и запустить его, либо отказаться от выполнения сценария.
3. Сильный уровень безопасности. Надежные сценарии запускаются сразу, без дополнительных сообщений. Всем остальным сценариям будет отказано в запуске.
Как следует из табл. 4.2, для установки той или иной политики безопасности служит параметр реестра целого типа TrustPolicy. Значения этого параметра, равные 0, 1 и 2, соответствуют пунктам 1, 2 и 3 вышеприведенного списка.
Замечание
Для установки политики безопасности WSH с помощью TrustPolicy, необходимо, чтобы значением параметра UseWINSAFER был 0 (либо этот параметр не был указан совсем).
Р’ качестве примера запустим сценарий Signed.vbs СЃ РїРѕРґРїРёСЃСЊСЋ, основанной РЅР° цифровом сертификате "РџРѕРїРѕРІ ненадежный". Если TrustPolicy равно 1, то РЅР° экран выведется диалоговое РѕРєРЅРѕ, показанное РЅР° СЂРёСЃ. 4.24.В
Рис. 4.24. Предупреждение о безопасности при запуске ненадежного сценария (TrustPolicy=1)
Рис. 4.25. Отказ при запуске ненадежного сценария (TrustPolicy=2)
Если же установить значение параметра TrustPolicy равным 2 и попытаться выполнить Signed.vbs, то сценарий запущен не будет, а на экран будет выведено диалоговое окно, показанное рис. 4.25.
Протоколирование действий сценариев в журналах событий
При использовании WSH имеется возможность вести аудит успехов и отказов для сценариев, т.е. автоматически заносить в журнал событий системы информацию об успешных или неуспешных (с точки зрения безопасности) попытках запуска сценариев. Для этой цели служат два параметра системного реестра (LogSecuritySuccesses и LogSecurityFailures), которые были описаны в табл. 4.2.
Замечание
Для просмотра журнала событий можно воспользоваться соответствующей оснасткой РІ РњРњРЎ или выбрать РІ меню РџСѓСЃРє (Start) РїСѓРЅРєС‚ Р’СЃРµ программы | Администрирование | Просмотр событий (All Programs | Administrative Tools | Event Viewer).В
Рассмотрим пример. Установим режим безопасности так, чтобы для сценариев WSH велся как аудит успехов (LogSecuritySuccesses="1"), так и аудит отказов (LogSecurityFailures="1"). Если теперь заблокировать сценарии WSH (Enabled="0") и попытаться запустить какой-либо сценарий, то в журнал событий системы будет добавлена запись об отказе (рис. 4.26).
