Estoy facilitando un proyecto de sistema de administración en un entorno de intranet (pero con acceso a Internet para muchos usuarios de dominio) para imprimir etiquetas de código de barras desde una interfaz web.
1. El método actual que emplea nuestro proveedor es lanzar una solución de diseño de código de barras local desde IE e imprimir desde allí el código de barras. El software verifica la licencia en el inicio, la página web pasa en una licencia temporal cuando la invoca. Se cerrará con error si se inicia directamente. Su página web utiliza WSH FSO para iniciar este archivo. Tenemos que habilitar el contenido ActiveX inseguro en la configuración de IE para que esto funcione.
2.
Nuestra política implementada por la compañía bloquea todas las operaciones de escritura de los usuarios regulares en la carpeta C:\Program Files
, y nada fuera de la carpeta Program Files
es ejecutable por otro usuario que no sean los administradores. Representación efectiva de todos los ejecutables de solo lectura, archivos de escritura en ejecutable.
Pero este software de código de barras necesita escribir en un archivo lic en su carpeta de programa.
Así que aquí está el segundo dilema. Si se coloca fuera de Program Files
, no se ejecutará; si se coloca dentro, se bloqueará por error, debido a un archivo lic que no se puede escribir. Se sugirió asignar el usuario al grupo de administradores.
Sumados, suena como una pesadilla de seguridad.
Mi solución actual al problema 1 para agregar esta dirección de intranet a la lista de sitios de confianza y permitir que la zona de confianza ejecute contenido activex inseguro. Para el Issue2, ya que hay varias formas de diferentes capas para evitar que el programa se ejecute (ACL, política de grupo, etc.), agregué localmente el permiso de control total del archivo lic al usuario del dominio actual, para que el programa pueda escribir su licencia.
Aunque todavía no me siento cómodo con la forma de impresión de etiquetas del proveedor. Creo que la solución actual que propuse tiene un impacto negativo mínimo en la seguridad del sistema actual. Pero estoy abierto a diferentes opiniones.
Otra cosa, si pasamos a Window10, ¿win10 seguirá siendo compatible con los objetos de scripting?