사용자 지정.adm 및.admx 권한 상승 정책은 보호 모드 Internet Explorer 7.0에서 제공 하는 관리 템플릿 파일을 작성 하는 방법

중요: 이 문서에는 레지스트리 수정 방법에 대한 정보가 있습니다. 수정 하기 전에 레지스트리를 백업 해야 합니다. 문제가 발생할 경우 레지스트리를 복원하는 방법을 알고 있는지 확인하십시오. 백업, 복원 및 레지스트리 수정 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
256986 Microsoft Windows 레지스트리 설명

요약

Windows Vista에서 보안 개체를 만든 프로세스의 무결성 수준을 자동으로 상속 합니다. 따라서 파일이 나 레지스트리 키는 낮은 무결성을 갖습니다 보호 모드에서 만들어진. 즉, 낮은 무결성 프로세스는 자신이 만든 개체에 쓰기 권한이 있는지 확인 수 있습니다. 그러나, 낮은 무결성 프로세스는 보통 또는 높은 무결성 폴더나 사용자 프로필에 있는 파일에 쓰기 권한을 가질 수 없습니다.

기본적으로 Microsoft Internet Explorer 7.0 보호 모드에서 실행 될 때 확장에 액세스할 수 없습니다 중간 무결성 또는 높은 수준의 무결성 개체입니다. 이 악성 소프트웨어의 공격에 대 한 최상의 보호를 제공합니다. 확장 더 높은 무결성 개체에 대 한 액세스를 요구 하는 경우 기본 Internet Explorer 7.0 동작은 권한 상승 대화 상자를 통해 사용자에 게 프롬프트 합니다. 사용자가 권한 상승을 확인이 더 높은 무결성 수준으로 브로커 프로세스가 만들어집니다. 이 브로커 프로세스를 대신 하 여 Internet Explorer 7.0에서 더 높은 무결성 개체에 액세스합니다.

권한 상승 대화 상자를 통해 사용자는 메시지가 표시 되지 않도록이 기본 동작을 재정의 하려면 레지스트리를 사용할 수 있습니다. 관리자가.adm 또는.admx 파일을 사용 하 여 "보호 모드에 대 한 권한 상승 정책 사용자 지정 허용" 정책을 추가 하는 방법을 설명 다른 응용 프로그램에 대해 원하는 권한 상승 정책 동작을 적용할 수 있습니다.

소개

권한 상승 정책 레지스트리 구성


다음 값을 사용 하 여 브로커 GUID를 만들고 하 고 기본 권한 상승 정책을 변경할 수 있습니다.
  • 응용 프로그램 이름: REG_SZ 값을 실행 파일 이름입니다.
  • AppPath: REG_SZ 값을 사용자가 선택한 설치 실행 파일의 위치입니다.
  • CLSID: 확장 COM 서버를 시작 하는 경우 확장의 CLSID가 포함 된 REG_SZ 값을 추가 합니다.
  • 정책: 어떻게 보호 모드를 나타내는 DWORD 값 브로커를 시작 해야 합니다. 다음 표에서 지원 되는 값과 그 의미에 설명합니다.
결과
3브로커가 자동으로 보통 무결성 프로세스로 시작 됩니다.
2보호 모드 라는 과정을 시작 하는 데 필요한 권한입니다. 권한이 부여 된 경우 프로세스가 보통 무결성 프로세스로 시작 됩니다.
1브로커가 자동으로 낮은 무결성 프로세스로 시작 됩니다.
0보호 모드를 시작 하는 과정을 방지합니다.

경고 레지스트리 편집기를 사용하거나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제는 운영 체제를 다시 설치 할 수 있습니다. Microsoft는 이러한 문제에 대한 해결책을 보장할 수 없습니다. 사용자는 스스로 위험을 감수하고 레지스트리를 수정해야 합니다.

다음과 같이 Guid를 추가 해야 합니다.
  • 다음 레지스트리 하위 키 아래에이 GUID를 추가 합니다.
    찾아 \Internet Explorer \Low Rights\ElevationPolicy
  • 다음 레지스트리 하위 키 중 하나 아래에 비슷한 레지스트리 항목을 만듭니다.
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
사용자 지정.adm 파일 만들기

이 정책을 포함 하는 사용자 지정.adm 파일을 만들려면 다음과이 같이 하십시오.
  1. 권한 상승 정책을 구성할 응용 프로그램 목록을 정의 합니다. 각각의 원하는 권한 상승 정책을 결정 합니다. 이 문서의 앞부분에 설명 된 테이블에서 값 0-3을 사용 합니다.
  2. 메모장과 같은 텍스트 편집기를 열고 다음 템플릿을 메모장 파일로 복사 합니다.

    참고: < APPNAME1 >가 나타내는 값 < APPPATH1 > < CLSID1 >와 < POLICY1 >이 코드와이 문서의 다른 코드 예제에서 응용 프로그램 이름, 경로, CLSID 및 적용 하는 정책에 대 한 자리 표시 자가 됩니다.
    CLASS USERCATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer
    POLICY !!ConfigureElevationPolicy
    #if version >= 4
    SUPPORTED !!SUPPORTED_IE7
    #endif
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    ACTIONLISTON
    KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>"VALUENAME AppName VALUE "<APPNAME1>"
    VALUENAME AppPath VALUE "<APPPATH1>"
    VALUENAME CLSID VALUE "<CLSID1>"
    VALUENAME Policy VALUE NUMERIC "<POLICY1>"
    END ACTIONLISTON
    END POLICY
    END CATEGORY
    END CATEGORY

    CLASS MACHINE
    CATEGORY !!WindowsComponents
    CATEGORY !!InternetExplorer

    <POLICY ... END POLICY will be exactly same as that under class user> END CATEGORYEND CATEGORY


    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    .Admx 및.adml 파일을 만들려면

    .Admx 및.adml 파일을 만들려면 사용자 지정.adm 템플릿 파일을 만드는 대신 다음 템플릿을 사용 합니다. 이 서식 파일에 대 한 실제 값으로 채우는. adm 파일을 3 단계를 수행할 수도 있습니다. < EnabledList > 사이의 코드 블록을 반복 하 고 < / enabledList > 다른 응용 프로그램입니다.

    ElevationPolicy.admx 파일 만들기
    <?xml version="1.0" encoding="utf-8"?><policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <policyNamespaces>
    <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
    <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
    </policyNamespaces>
    <resources minRequiredRevision="1.0" />
    <policies>
    <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppName"> <value>
    <string><APPNAME1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="AppPath"> <value>
    <string><APPPATH1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="CLSID"> <value>
    <string><CLSID1></string>
    </value>
    </item>
    <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
    <GUID1>" valueName="Policy"> <value>
    <decimal value="<POLICY1>" />
    </value>
    </item>
    </enabledList>
    </policy>
    <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
    <parentCategory ref="inetres:InternetExplorer" />
    <supportedOn ref="inetres:SUPPORTED_IE7Vista"/>
    <enabledList>
    <same as user policy above> </enabledList> </policy>
    </policies>
    </policyDefinitions>

    ElevationPolicy.adml 파일 만들기

    <?xml version="1.0" encoding="utf-8"?><policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
    <displayName>enter display name here</displayName>
    <description>enter description here</description>
    <resources>
    <stringTable>
    <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
    </stringTable>
    </resources>
    </policyDefinitionResources>

    참고: .Admx 파일에 넣어야
    \policydefinitions < %windir% >< % 랭 dir % > < %windir% >\policydefinitions\.adml 파일. 결과 확인 하기 위해 gpedit.msc를 실행 합니다.
  3. 정책 템플릿을 적절 한 값으로 채웁니다. 이렇게 하려면, 다음 단계를 수행하십시오.
    1. 새 GUID를 생성 하 고 대체
      < GUID1 > 코드 예제에서는 새 GUID를 사용 합니다.
    2. 선택한 첫 번째 응용 프로그램 실행 파일 이름 대신 < APPNAME1 >< APPPATH1 >에서 실행 파일의 경로 작성 합니다. COM 서버를 시작 하는 확장에 확장의 CLSID를 추가
      < CLSID >입니다. 권한 상승 정책 번호 0-3에서 < POLICY1 >응용 프로그램을 작성 합니다.
    3. < EnabledList > 사이의 코드 블록을 복제 하 고 < / enabledList > 다른 모든 옵션을 선택 하는 응용 프로그램 및입니다 3a 및 3b 단계 이러한 블록을 채우는 데에 대 한.
    4. 코드에서 클래스 컴퓨터 항목 아래 3 단계에서 만든 정책을 복사 합니다.
  4. 파일을.adm 파일로 저장 합니다. 예를 들어, ElevationPolicy.adm로 저장 합니다.
  5. 결과 확인 하려면 다음을 수행 합니다.
참고: 3d, 4 및 5b 단계는.adm 파일에 대해서만.
속성

문서 ID: 918239 - 마지막 검토: 2017. 2. 7. - 수정: 2

피드백