Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Bakgrunn
ActiveX er små komponenter av eksekverbarkode som lett lastes ned og tas i bruk. De benyttes ofte av webutviklere for å legge til funksjonalitet som ikke er like lett å få til på andre måter (eller i alle fall ikke var lett tidligere). Komponenten referes til i en HTML objekt tag og nettleseren sjekker så om den er installert fra før. Hvis ikke sjekkes komponenten, for signatur etc og spør så brukeren om komponenten skal tas i bruk.
I utgangspunktet er det bare administratorer som har lov å installere ActiveX komponenter, noe som kan gi en utfordring i større nettverk der man ønsker at brukeren ikke skal trenge å være lokal admin. Samtidig ønsker man ikke ukritisk å gi en vanlig bruker lov å installere slik kode, da den som all annen kode også kan misbrukes til å ta kontroll over brukerens maskin.
Det finnes allerede metoder for å få kontroll med hvilke komponenter som installeres og kjøres, men dette er komplekse løsninger som krever en del vedlikehold for å være oppdaterte. Den enkleste løsningen som er tatt i bruk er veldig statisk og går ut på at systemet pre-populeres med de nødvendige Activex komponentene og at brukeren selv ikke kan installere nye. Når en ActiveX komponent er installert kan den nemlig tas i bruk av vanlige brukere og.
Windows Vista og Internet Explorer 7 har mye ny funksjonalitet for å lette prosessene rundt kontroll med Activex, samt å øke sikkerheten rundt bruken (Protected mode og ActiveX opt-in i IE7)
ActiveX Installation Service (AxIS)
Dette er en Windows komponent man kan velge å installere på Windows Vista Ultimate, Business eller Enterprise. AxIS gir deg muligheten til å definere "Approved installation sites" som ActiveX kan installeres fra i Group Policy. I tillegg sørger AxIS for å installere komponenter fra slike sites på vegne av brukeren, slik at brukeren selv ikke trenger å være lokal administrator.
Når man legger til "Approved installation sites" i Group Policy kan man også angi 4 andre parametere/verdier, henholdsvis for følgende instillinger:
TPSSignedControl, SignedControl, UnsignedControl, og ServerCertificatePolicy
De to første instillingene gjelder signerte ActiveX komponenter og her kan man angi verdiene 0,1,2. 0 betyr at komponenter ikke kan installeres, 1 betyr at de kan installeres men at brukeren skal varsles, mens 2 betyr at installasjonen skal gå stille i bakgrunnen. UnsignedControl kan kun være 0 eller 1.
Group Policy innstillingene for AxIS befinner seg i Computer -> Administrative Templates -> ActiveX Installer service.
AxIS legger også til events i loggen for forsøk på ActiveX installering og resultat av disse (event id 4097). Dette kan f.eks brukes som input for vedlikehold av hvilke sites som må være i den godkjente lista.