Последние несколько сотен страниц позволили убедиться в том, что сценарии являются довольно мощным инструментом, способным проникнуть во все уголки Windows. То, что каждый может написать и запустить сценарий на своем собственном компьютере — еще полбеды, но в этой главе было показано, что сценарии могут быть скрытно отправлены и запущены на других компьютерах. И этого достаточно для кошмарных снов и плохого самочувствия специалиста по сетевой безопасности. Спасает то, что для большинства серьезных управляющих функций требуются права администратора. Все сценарии, включая удаленные, выполняются в той среде безопасности, которая имеется у запускающих их пользователей. Поэтому вред, который ими может быть нанесен, ограничивается тем объемом, который был бы доступен пользователю, если бы он сам сидел за компьютером. Но это будет слабым утешением, если пользователь обманом будет вовлечен в запуск вредоносного сценария, содержащегося на веб-странице, отправленного в почтовом вложении или просто попавшегося под руку. В Windows 7 и Vista еще один уровень безопасности добавляет контроль учетных записей пользователей, который эффективно ограничивает удаленное сетевое выполнение сценариев, делая его возможным только для администраторов доменной сети. Один из способов защиты компьютеров вашей организации от нежелательных WSH-экспериментов заключается в настройке WSH на выполнение только Подписанных сценариев. Подписывание — снабжение сценария криптографической подписью, дающей гарантию, что сценарий был написан известным, пользующимся доверием пользователем. Windows Script Host версии 5.6 и выше позволяет указать значение реестра, предотвращающее запуск неподписанных сценариев. Параметр реестра Еще одно опасение заключается в том, что конечные пользователь могут получить слишком много конфиденциальной информации, пристально изучая сценарии на своих компьютерах и в сети. В сценариях может содержаться масса информации высокого уровня: имена серверов и, возможно, сведения о скрытых общих ресурсах, места расположения важных файлов и даже технологии, используемые сценариями для управления Windows. В среде, нацеленной на соблюдение мер безопасности, нужно серьезно задуматься о доступности подобного рода информации. Я не собираюсь доходить до предложений о запрете данной книги, но вы можете зашифровать сценарии, затрудняя тем самым их свободное чтение.
В данном разделе будет показано, как подписать ваши собственные сценарии, чтобы им можно было доверять в вашей сети, и как зашифровать сценарии для повышения уровня их закрытости.
