¿Ejecutar de forma segura la aplicación local desde IE?

Navega tus respuestas
2

Estoy facilitando un proyecto de sistema de administración en un entorno de intranet (pero con acceso a Internet para muchos usuarios de dominio) para imprimir etiquetas de código de barras desde una interfaz web.

1. El método actual que emplea nuestro proveedor es lanzar una solución de diseño de código de barras local desde IE e imprimir desde allí el código de barras. El software verifica la licencia en el inicio, la página web pasa en una licencia temporal cuando la invoca. Se cerrará con error si se inicia directamente. Su página web utiliza WSH FSO para iniciar este archivo. Tenemos que habilitar el contenido ActiveX inseguro en la configuración de IE para que esto funcione.

2. Nuestra política implementada por la compañía bloquea todas las operaciones de escritura de los usuarios regulares en la carpeta C:\Program Files , y nada fuera de la carpeta Program Files es ejecutable por otro usuario que no sean los administradores. Representación efectiva de todos los ejecutables de solo lectura, archivos de escritura en ejecutable. Pero este software de código de barras necesita escribir en un archivo lic en su carpeta de programa. Así que aquí está el segundo dilema. Si se coloca fuera de Program Files , no se ejecutará; si se coloca dentro, se bloqueará por error, debido a un archivo lic que no se puede escribir. Se sugirió asignar el usuario al grupo de administradores. Sumados, suena como una pesadilla de seguridad.

Mi solución actual al problema 1 para agregar esta dirección de intranet a la lista de sitios de confianza y permitir que la zona de confianza ejecute contenido activex inseguro. Para el Issue2, ya que hay varias formas de diferentes capas para evitar que el programa se ejecute (ACL, política de grupo, etc.), agregué localmente el permiso de control total del archivo lic al usuario del dominio actual, para que el programa pueda escribir su licencia.

Aunque todavía no me siento cómodo con la forma de impresión de etiquetas del proveedor. Creo que la solución actual que propuse tiene un impacto negativo mínimo en la seguridad del sistema actual. Pero estoy abierto a diferentes opiniones.

Otra cosa, si pasamos a Window10, ¿win10 seguirá siendo compatible con los objetos de scripting?

    
pregunta Ben 15.05.2017 - 06:00
fuente

1 respuesta

0

Es solo una idea, no la he probado: ¿podría crear un enlace simbólico al archivo .lic real en una carpeta diferente?

Para hacerlo, vaya a una ventana de línea de comandos y escriba:

mklink / H Link Target

Con "Link" es la ruta completa al archivo donde su aplicación "piensa" que es, y "Target" es la ruta completa al archivo real (fuera de su directorio "Archivos de programa").

Aquí hay una gran guía si desea leer más sobre los enlaces simbólicos:

enlace

Preferiría escribir un comentario en lugar de una "respuesta", pero no tengo suficiente reputación, lo siento.

    
respondido por el Martin Fürholz 16.05.2017 - 12:14
fuente

Lea otras preguntas en las etiquetas

¿Cómo es posible la simulación ARP de una conexión en línea del CMTS modular a través de banda ancha coaxial? ¿Cómo almacenar de forma segura un número primo cifrado con PIN?