Иллюстрированный самоучитель по администрированию Windows 2000/2003

Приложение

Вы можете проверить, что файл был правильно подписан, выполнив команду:

chktrust.exe hello.vbs

Появится диалоговое окно, изображенное на Рисунке 12.

Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения › Приложение
Рисунок 12 – Проверка подписанного файла

Шаг 4: Создание правила для сертификата и правила для пути.

Выполните команду secpol.msc, чтобы начать редактирование локальной политики безопасности. Создайте два правила:

  • Создать правило для пути(New Path Rule): Введите "*.VBS" в текстовом поле Путь (Path). Установите уровень безопасности Не разрешено (Disallowed)
  • Создать правило для сертификата (New Certificate Rule): Создайте правило для сертификата для Вашего сертификата тестового издателя с уровнем безопасности Неограниченный (Unrestricted).

Выполните следующую команду, чтобы экспортировать сертификат в файл. Укажите этот файл во время создания правила для сертификата.

certmgr.exe -put -c -v -n "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" 
-s my mytestcert.cer

Вместе эти два правила запрещают выполнение любых файлов сценариев Visual Basic, кроме тех, которые подписаны тестовым сертификатом.

Ваша политика должна выглядеть так, как показано в примере на Рисунке 13.

Иллюстрированный самоучитель по администрированию Windows 2000/2003 › Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения › Приложение
Рисунок 13 – Политика ограниченного использования программ с правилом для сертификата и правилом для пути

Шаг 5: Повторный вход в систему и тестирование политики ограниченного использования программ.

  • 1. Выйдите из системы и выполните повторный вход, чтобы убедиться, что новые правила используются Вашим компьютером.
  • 2. Запустите файл hello.vbs. Вы должны увидеть диалоговое окно с сообщением "hello world". Это означает, что файл был подписан соответствующим сертификатом и выполнен в соответствии с правилами политики ограниченного использования программ.
  • 3. Отредактируйте файл hello.vbs в текстовом редакторе и измените код сценария таким образом, чтобы он выводил сообщение "Hello world. This script has been changed". Сохраните файл, оставив часть с цифровой подписью нетронутой.
  • 4. Запустите сценарий снова. Вы заметите, что теперь выполнение файла запрещено, потому что цифровая подпись сценария больше не соответствует подписи, указанной в правиле.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.