пятница, 18 января 2008 г.

Осторожно: злой Exchange! =)

Очень интересный факт вскрылся при исследовании некоторых вопросов, связанных с PowerShell. Для начала немного предыстории и фактов: как известно, по-умолчанию в PoSh действует политика исполнения скриптов, которая называется "Restricted" и, как следует из названия, просто напросто запрещает исполнение любого скрипта. Понятно, что сделано это для повышения безопасности установки по-умолчанию и, в общем-то, правильно сделано: PoSh слишком мощное средство, чтобы оставлять его без контроля. Однако, несколько дней назад, когда у меня с коллегой зашел разговор об этом, он сказал мне, что у него эта политика по-умолчанию выставлена в значение "RemoteSigned", что позволяет исполнять локальные скрипты без проблем, а для удаленных требует подписи. Не вполне поверив коллеге, я кинулся проверить на своем рабочем месте и... (ну Вы уже догадались, да? =) ) ... у меня тоже была включена именно "RemoteSigned"... Никаких политик в домене не вводилось, намеренных телодвижений для смены данного параметра тоже, естественно, не предпринималось... Странно все это было... Впрочем, Вам то, после прочтения заголовка уже, конечно, все понятно - у меня и соратника установлена консоль MS Exchange Server 2007 и именно она и меняет политику при установке. Собственно, ежу с ужом понятно, что это снижает безопасность, однако, насколько я понял, это был вынужденный шаг от команды разработчиков Exchange. Что можно сделать, чтобы снизить опасность, которая, по-крайней мере теоретически, существует в данном случае: с одной стороны немногое, с другой стороны это может вызвать определенные проблемы. Немного, потому, что нужно всего лишь:
1) подписать все скрипты
2) включить политику "All Signed"
Проблемы могут возникнуть в том случае, если Вы пропустите по незнанию или по невнимательности какой-нибудь жизненно важный скрипт и он, естественно, не запустится из-за этого.

Комментариев нет: