Avvia in modo sicuro l'applicazione locale da IE?

2

Sto facilitando un progetto di sistema di gestione in ambiente intranet (ma con accesso a Internet per molti utenti del dominio) per la stampa di etichette con codici a barre da un'interfaccia web.

1. Il metodo attualmente utilizzato dal nostro fornitore è di lanciare una soluzione di progettazione di codice a barre locale da IE e stampare il codice a barre da lì. Il software verifica la licenza all'avvio, la pagina Web passa in una licenza temporanea durante il richiamo. Si chiuderà con errore se avviato direttamente. La loro pagina web usa WSH FSO per lanciare questo exe, dobbiamo abilitare il contenuto ActiveX non sicuro nelle impostazioni di IE affinché funzioni.

2. La nostra azienda ha distribuito i blocchi di politica tutte le operazioni di scrittura da parte degli utenti normali alla cartella C:\Program Files e nulla al di fuori della cartella Program Files è eseguibile dall'utente diverso dagli amministratori. Rendering efficace di tutti i file eseguibili di sola lettura e scrivibili nell'eseguibile. Ma questo software per codici a barre deve scrivere su un file lic nella sua cartella di programma. Quindi ecco il secondo dilemma. Se posizionato fuori da Program Files non verrà eseguito, se inserito all'interno, si bloccherà in caso di errore, a causa di un file lic non scrivibile. È stato suggerito di assegnare l'utente al gruppo di amministratori. Aggiungendo insieme, sembra un incubo per la sicurezza.

La mia attuale soluzione al problema 1 per aggiungere questo indirizzo intranet all'elenco dei siti attendibili e consentire a zone attendibili di eseguire contenuti activex non sicuri. Per il problema2, dato che ci sono più modi da diversi livelli per impedire l'esecuzione del programma (ACL, criteri di gruppo, ecc.), Ho aggiunto localmente il permesso di controllo completo del file lic all'utente corrente del dominio, in modo che il programma possa scrivere il suo lic.

Anche se non mi sento ancora a mio agio con la modalità di stampa delle etichette del venditore. Penso che l'attuale soluzione che ho proposto abbia un impatto negativo minimo sulla sicurezza attuale del sistema. Ma sono aperto a opinioni diverse.

Un'altra cosa, se passiamo a Window10, win10 supporterà ancora gli oggetti scripting?

    
posta Ben 15.05.2017 - 06:00
fonte

1 risposta

0

È solo un'idea - non l'ho provato: potresti creare un link simbolico al file .lic in una cartella diversa?

Per farlo, vai a una finestra della riga di comando e digita:

mklink / H Link Target

Con "Link" è il percorso completo del file in cui la tua applicazione "pensa" che sia, e "Target" è il percorso completo del file attuale (al di fuori della directory "Programmi").

Ecco un'ottima guida se desideri leggere di più sui link simbolici:

link

Preferisco scrivere un commento piuttosto che una "risposta", ma non ho abbastanza reputazione, mi dispiace.

    
risposta data 16.05.2017 - 12:14
fonte

Leggi altre domande sui tag