Partilhar via


ActiveX Installer Service

Bakgrunn

ActiveX er små komponenter av eksekverbarkode som lett lastes ned og tas i bruk. De benyttes ofte av webutviklere for å legge til funksjonalitet som ikke er like lett å få til på andre måter (eller i alle fall ikke var lett tidligere). Komponenten referes til i en HTML objekt tag og nettleseren sjekker så om den er installert fra før. Hvis ikke sjekkes komponenten, for signatur etc og spør så brukeren om komponenten skal tas i bruk.

I utgangspunktet er det bare administratorer som har lov å installere ActiveX komponenter, noe som kan gi en utfordring i større nettverk der man ønsker at brukeren ikke skal trenge å være lokal admin. Samtidig ønsker man ikke ukritisk å gi en vanlig bruker lov å installere slik kode, da den som all annen kode også kan misbrukes til å ta kontroll over brukerens maskin.

Det finnes allerede metoder for å få kontroll med hvilke komponenter som installeres og kjøres, men dette er komplekse løsninger som krever en del vedlikehold for å være oppdaterte. Den enkleste løsningen som er tatt i bruk er veldig statisk og går ut på at systemet pre-populeres med de nødvendige Activex komponentene og at brukeren selv ikke kan installere nye. Når en ActiveX komponent er installert kan den nemlig tas i bruk av vanlige brukere og.

Windows Vista og Internet Explorer 7 har mye ny funksjonalitet for å lette prosessene rundt kontroll med Activex, samt å øke sikkerheten rundt bruken (Protected mode og ActiveX opt-in i IE7)

ActiveX Installation Service (AxIS)

Dette er en Windows komponent man kan velge å installere på Windows Vista Ultimate, Business eller Enterprise. AxIS gir deg muligheten til å definere "Approved installation sites" som ActiveX kan installeres fra i Group Policy. I tillegg sørger AxIS for å installere komponenter fra slike sites på vegne av brukeren, slik at brukeren selv ikke trenger å være lokal administrator.

Når man legger til "Approved installation sites" i Group Policy kan man også angi 4 andre parametere/verdier, henholdsvis for følgende instillinger:
 TPSSignedControl, SignedControl, UnsignedControl, og ServerCertificatePolicy

De to første instillingene gjelder signerte ActiveX komponenter og her kan man angi verdiene 0,1,2. 0 betyr at komponenter ikke kan installeres, 1 betyr at de kan installeres men at brukeren skal varsles, mens 2 betyr at installasjonen skal gå stille i bakgrunnen.  UnsignedControl kan kun være 0 eller 1.

Group Policy instillinger

Group Policy innstillingene for AxIS befinner seg i Computer -> Administrative Templates -> ActiveX Installer service.

AxIS legger også til events i loggen for forsøk på ActiveX installering og resultat av disse (event id 4097). Dette kan f.eks brukes som input for vedlikehold av hvilke sites som må være i den godkjente lista.