Чтобы настроить безопасность отдельной рабочей станции Windows или станции, входящей в рабочую группу, и потребовать от WSH проверки аутентификации сценариев, нужно воспользоваться политикой безопасности. В доменной сети это можно сделать с помощью групповой политики. На автономной рабочей станции это можно сделать через локальную политику, управляемую групповой политикой во встроенной консоли управления Microsoft (ММС).
Настройки производятся через элементы политики, доступные через пункты Конфигурация компьютера (Computer Configuration) Конфигурация Windows (Windows Settings) Параметры безопасности (Security Settings) Политики ограниченного использования программ (Software Restriction Policies) Дополнительные правила (Additional Rules). Администратор может добавить «правило пути» для блокирования доступа к специальным типам файлов. Например, путем ввода правила «запрещено» (disallowed) для *.vbs без путевого имени можно помешать пользователю запустить любой файл VBS из любого места. Такие же правила могут быть введены для блокировки файлов. vbe, .js, .jse и. wsf. Могут также быть написаны правила для блокировки сценариев только во временных папках, используемых Internet Explorer и Outlook Express для загруженных файлов. Кроме того, администратор должен добавить «правила сертификата», определяющие доверенные сертификаты, в частности сертификат, используемый для подписания ваших сценариев. Сценарии, подписанные перечисленными сертификатами, разрешены к запуску, а неподписанные сценарии блокируются другими правилами политики. Если пользователь при таком режиме политики попытается запустить сценарий, не имеющий подписи или подвергшийся изменениям после получения подписи, будет выведено следующее сообщение: Еще одно средство обеспечения безопасности, имеющееся в вашем распоряжении, — параметр реестра в
Его можно создать и присвоить ему одно из следующих значений. Этот параметр эффективен только в доменной сети Windows, где он вводится в действие через шаблон административной политики или через групповую политику, потому что, в противном случае, пользователь (или вредоносная программа) может изменить значение и обойти ограничение.
