В Windows Vista появляется ActiveX Installer Service

Microsoft добавила новую функцию в Windows Vista, чтобы позволить бизнесу устанавливать элементы управления ActiveX на системах без прав администратора…

Новая возможность зовется ActiveX Installer Service и она появится в следующем публичном релизе Vista, чтобы предоставить компаниям возможность не отказываться ни по какой причине от UAC (User Account Control).

UAC, известный также как LUA (Limited User Account) включен в Windows Vista по-умолчанию, чтобы оградить стандартного пользователя от необходимости в правах администратора и тем самым предотвратить действия злонамеренного ПО и атаки хакеров.

Но так как UAC блокирует элементы ActiveX в режиме ограниченного пользователя, многие предприятия, вероятно, отключили бы новую технологию. Элементы ActiveX это объекты предназначенные расширить возможности взаимодействия пользователя с приложением.

Microsoft продемонстрировала на конференции TechED в Бостоне новую службу, которая будет присутствовать в Ultimate, Business и Enterprise редакциях Windows Vista. Этот сервис планируется включить в состав Windows Vista RC1 (Release Candidate 1) и он будет по-умолчанию задействован.

В интервью шеф безопасности Microsoft Бен Фази сказал, что решение добавить инсталлятор ActiveX является прямым результатом отзывов бета-тестеров. «Отзывы, которые мы получили, говорили о том, что UAC замечателен, но его невозможность использовать на предприятиях из-за необходимости установки приложение в режиме ограниченного пользователя. Поэтому мы стараемся всячески предоставить эту возможность нашим клиентам без необходимости постоянно водить администраторский пароль» - заявил Фази.

Фази, корпоративный вице-президент Microsoft Security Technology Unit, заявил, что системные администраторы смогут из консоли настроек выбрать, какие веб-сайты могут устанавливать и обновлять свои приложения ActiveX.

Стив Хайски, программный менеджер User Account Control в Microsoft Windows Security Core, говорит, что система групповых политик даст возможность определить, с каких адресов стандартные (ограниченные) пользователи могут устанавливать элементы ActiveX.

Согласно сообщению от команды разработчиков UAC, ActiveX Installer Service будет состоять из службы, административного шаблона групповой политики и некоторых изменений в Internet Explorer.

Перед установкой элемента ActiveX, служба будет проверять адрес URL в базе, и только в случае его присутствия там будет продолжаться установка. В случае разрешения установки, будет создан объект в Internet Explorer, который и произведет инсталляцию.

Если в групповых политиках ничего нет про этот ActiveX, Windows Vista сообщит: требуется подтверждение администратора для установки.
Такие предупреждения уже присутствуют в Vista и подверглись критике за свою надоедливость, так что Microsoft пришлось анонсировать, что она постарается уменьшить количество предупреждений.

В Windows Vista RC1 компания планирует внести изменения в ОС для разработки безопасных сценариев для аккаунтов ограниченных пользователей и уменьшения предупреждений. Также будет улучшена совместимость с некоторыми приложениями, работающими в ограниченном режиме.

Фази также говорит, что компания разрабатывает автоматическую отладку безопасности для некоторых устаревших приложений, которые уже никогда не будут доработаны для совместной работы с UAC. «Есть ряд бизнес приложений, которые уже никогда не будут работать с UAC по некоторым причинам. Возможно, больше нет исходников этих программ или людей, которые им занимались. Таких приложений сотни» - сказал Фази.

Источник: http://www.eweek.com/
Перевод: Райкер