Jak psát vlastní ADM a ADMX soubory šablon pro správu stanovit zásady pro zvýšení oprávnění pro chráněný režim aplikace Internet Explorer 7.0

Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda zálohovat registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Souhrn

Zabezpečené objekty v systému Windows Vista automaticky dědí úrovně integrity proces, který je vytvořil. Proto soubory nebo klíče registru mají nízké integrity při jejich vytváření v chráněném režimu. To znamená, že proces nízké integrity může získat oprávnění k zápisu do objektů, které vytvoří. Nízké integrity procesu však nelze získat oprávnění zápisu střední nebo vysoké integrity složky nebo soubory v profilu uživatele.

Ve výchozím nastavení pokud je spuštěna aplikace Microsoft Internet Explorer 7.0 v chráněném režimu rozšíření nemá přístup integrity střední nebo vysoké integrity objektů. To poskytuje nejlepší ochranu před útoky škodlivého softwaru. Při rozšíření vyžaduje přístup k objektům vyšší integrity, je výchozí chování aplikace Internet Explorer 7.0 výzvu ke zvýšení oprávnění prostřednictvím dialogové okno. Jestliže uživatel potvrdí zvýšení, to vytvoří broker procesu s vyšší úroveň integrity. Tento proces broker přistupuje k objektu vyšší integrity jménem Internet Explorer 7.0.

V registru můžete přepsat toto výchozí chování tak, aby uživatel není vyzván ke zvýšení oprávnění prostřednictvím dialogové okno. Tento článek popisuje, jak mohou správci pomocí souborů ADM nebo ADMX Přidání zásady "Povolit úpravy zásad zvýšení pro chráněný režim" vynutit jejich zvýšení požadované zásady chování pro různé aplikace.

ÚVOD

Zvýšení úrovně zásad registru organizace


Můžete vytvořit broker GUID s následující hodnoty a změnit výchozí zásady zvýšení:
  • AppName: hodnota REG_SZ název spustitelného souboru.
  • AppPath: umístění spustitelného souboru instalace uživatel vybral hodnotu REG_SZ.
  • Identifikátor CLSID: Pokud vaše rozšíření spuštění serveru COM, přidejte hodnotu REG_SZ, která obsahuje identifikátor CLSID vašeho rozšíření.
  • Zásada: DWORD hodnotu, která označuje způsob chráněný režim by se měla spustit agenta. Následující tabulka popisuje podporované hodnoty a jejich význam.
HodnotaVýsledek
3Chráněný režim bezobslužně spustí agenta jako proces střední integrity.
2Chráněný režim vyzve uživatele k oprávnění ke spuštění procesu. Pokud je povoleno, je proces spuštěn jako proces střední integrity.
1Chráněný režim bezobslužně spustí agenta jako proces nízké integrity.
0Chráněný režim brání ve spuštění procesu.

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Je třeba přidat následující identifikátory GUID:
  • Přidáte identifikátor GUID v následujícím podklíči registru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • Vytvořte podobné položky registru v jednom z následujících podklíčů registru:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
Vytvoření souboru ADM vlastní

Vytvoření souboru ADM vlastní zahrnout tuto zásadu, postupujte takto:
  1. Definujte seznam aplikací, pro které chcete konfigurovat zásady pro zvýšení oprávnění. Rozhodněte, které zvýšení zásady, které chcete pro každý z nich. 0 – 3 hodnoty z tabulky, která byla popsána výše v tomto článku použijte.
  2. Otevřete textového editoru, například programu Poznámkový blok a zkopírujte následující šablonu do souboru programu Poznámkový blok.

    Poznámka: Hodnoty představované < APPNAME1 > < APPPATH1 > < CLSID1 > a < Zásada1 > Tento kód a další příklady kódu v tomto článku, jsou zástupné symboly pro název aplikace, její cesta, CLSID a zásady, které musí být použito.
    CLASS USERCATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer
    POLICY !!ConfigureElevationPolicy
    #if version >= 4
    SUPPORTED !!SUPPORTED_IE7
    #endif
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    ACTIONLISTON
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>"VALUENAME AppName VALUE "<APPNAME1>"
    VALUENAME AppPath VALUE "<APPPATH1>"
    VALUENAME CLSID VALUE "<CLSID1>"
    VALUENAME Policy VALUE NUMERIC "<POLICY1>"
    END ACTIONLISTON
    END POLICY
    END CATEGORY
    END CATEGORY

    CLASS MACHINE
    CATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer

    <POLICY ... END POLICY will be exactly same as that under class user> END CATEGORYEND CATEGORY


    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    Vytvořit soubory ADMX a ADML

    Vytvořit soubory ADMX a ADML, použijte následující šablonu namísto vytváření vlastní ADM soubory šablon. K naplnění této šabloně skutečnými hodnotami. soubory ADM, můžete také postupovat podle kroku 3. Opakovat blok kódu mezi < enabledList > a < / enabledList > pro jiné aplikace.

    Vytvoření souboru ElevationPolicy.admx
    <?xml version="1.0" encoding="utf-8"?><policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <policyNamespaces>
    <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
    <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
    </policyNamespaces>
    <resources minRequiredRevision="1.0" />
    <policies>
    <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppName"> <value>
    <string><APPNAME1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppPath"> <value>
    <string><APPPATH1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="CLSID"> <value>
    <string><CLSID1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="Policy"> <value>
    <decimal value="<POLICY1>" />
    </value>
    </item>
    </enabledList>
    </policy>
    <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <same as user policy above> </enabledList> </policy>
    </policies>
    </policyDefinitions>

    Vytvoření souboru ElevationPolicy.adml

    <?xml version="1.0" encoding="utf-8"?><policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <displayName>enter display name here</displayName>
    <description>enter description here</description>
    <resources>
    <stringTable>
    <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
    </stringTable>
    </resources>
    </policyDefinitionResources>

    Poznámka: Měli byste umístit soubor ADMX pod
    ADML souboru ve složce < % windir % >\policydefinitions\< % lang dir >a < % windir % >\policydefinitions. Spusťte program gpedit.msc a ověřit tak výsledky.
  3. Načíst šablonu zásad s příslušnými hodnotami. Chcete-li to provést, postupujte takto.
    1. Generovat nový identifikátor GUID a nahradit
      < GUID1 > v příkladu kódu s novým identifikátorem GUID.
    2. První aplikace, kterou jste vybrali zápis názvu spustitelného souboru < APPNAME1 > a cestu spustitelného souboru na < APPPATH1 >. Pokud vaše rozšíření spuštění serveru COM přidáte identifikátor CLSID rozšíření na
      < CLSID >. Zvýšení úrovně zásad číslo 0-3 pro aplikace v < Zásada1 >zapište.
    3. Replikovat blok kódu mezi < enabledList > a < / enabledList > pro všechny ostatní aplikace, které jste vybrali, a potom opakujte kroky 3a a 3b krok k naplnění těchto bloků.
    4. Zkopírujte zásady, která byla vytvořena v kroku 3 v části položky počítač třídy v kódu.
  4. Uložte soubor jako soubor ADM. Například uložte jako ElevationPolicy.adm.
  5. Chcete-li ověřit výsledky, postupujte takto:
Poznámka: 3d, 4 a 5b kroky jsou pouze pro soubory ADM.
Vlastnosti

ID článku: 918239 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor