Читаем Windows Script Host для Windows 2000/XP полностью

Устанавливая определенным образом значения параметров системного реестра из табл. 4.2, можно настроить политику безопасности при использовании сценариев WSH для конкретного пользователя или рабочей станции (например, можно разрешить выполнение сценариев только администраторам домена). В сетях Windows NT или на автономной машине для этого используется редактор системной политики (Poledit.exe), а в сетях с установленной службой каталогов Active Directory применяется групповая политика (Group Policy), доступная с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory — users and computers) консоли управления ММС. На автономном компьютере с операционной системой Windows ХР/2000 для настройки политики безопасности WSH можно также изменять локальную групповую политику, которая позволяет задать одинаковые параметры безопасности для всех пользователей данного компьютера.

В любом случае для более удобного и безопасного изменения значений параметров реестра следует применять административные шаблоны (administrative templates) — текстовые файлы с расширением adm, позволяющие создавать удобный пользовательский интерфейс для редактирования заданных параметров системного реестра в редакторе системной политики или при работе с оснасткой Групповая политика (Group Policy) в ММС (пример такого adm-файла, позволяющего блокировать выполнение сценариев WSH, приведен в листинге 4.12).

Как уже было указано в табл. 4.2, за блокировку локальных и удаленных сценариев WSH отвечают соответственно параметры реестра Enabled и Remote: если Enabled равно "0", то на машине вообще нельзя выполнять сценарии, если Remote равен "0", то нельзя выполнять сценарии, запускаемые с другого компьютера (удаленные сценарии). При такой блокировке устанавливается запрет на выполнение сценариев всех типов — при попытке запуска любого файла с расширениями js, vbs, jse, vbe или wsf будет выведено диалоговое окно, показанное на рис. 4.13, а сценарий выполнен не будет.

В листинге 4.12 приведен административный шаблон wsh.adm, с помощью которого можно запрещать/разрешать выполнение локальных или удаленных сценариев. Как мы видим, в административном шаблоне описывается путь к разделу реестра (параметр KEYNAME), содержащего нужный параметр, название (параметр VALUENAME) и список возможных значений (параметры VALUEON и VALUEOFF) этого параметра, а также приводятся строки, поясняющие назначение редактируемых параметров (секция [STRINGS]).

Рис. 4.13. Блокировка выполнения сценариев WSH

CLASS MACHINE

  CATEGORY "Локальные и удаленные сценарии WSH"

    POLICY !!LocalEnabledPolicy

      KEYNAME "Software\Microsoft\Windows Script Host\Settings"

        EXPLAIN !!LocalEnabledPolicyHelp

      VALUENAME Enabled

        VALUEON "1" VALUEOFF "0"

    END POLICY

    POLICY !!MachRemotePolicy

      KEYNAME "Software\Microsoft\Windows Script Host\Settings"

        EXPLAIN !!MachRemotePolicyHelp

      VALUENAME Remote

        VALUEON "1" VALUEOFF "0"

    END POLICY

    POLICY !!IgnoreUserSettingsPolicy

      KEYNAME "Software\Microsoft\Windows Script Host\Settings"

        EXPLAIN !!IgnoreUserHelp

      VALUENAME IgnoreUserSettings

        VALUEON "1" VALUEOFF "0"

    END POLICY

  END CATEGORY

CLASS USER

  CATEGORY "Локальные и удаленные сценарии WSH"

    POLICY !!LocalEnabledPolicy

      KEYNAME "Software\Microsoft\Windows Script Host\Settings"

        EXPLAIN !!LocalEnabledPolicyHelp

      VALUENAME Enabled

        VALUEON "1" VALUEOFF "0"

    END POLICY

    POLICY !!MachRemotePolicy