AllowExecute - Paramètres de sécurité / Imprimante PDF
Depuis la version 10.14, il n'est plus autorisé d'utiliser les contrôles / paramètres d' événement AfterPrintProgram , RunOnSuccess et RunOnError directement dans des configurations partagées ou globales, et donc sans configurer les droits appropriés par un administrateur. Il s'agit d'une mesure de sécurité. Vous pouvez donc continuer à utiliser cette fonction, mais vous devez la libérer explicitement en modifiant une clé de registre ou en exécutant le programme d'installation à l'aide d'un paramètre d'installation spécial.
Configurations distribuées et globales
Étant donné que les configurations de distribution et globales peuvent être créées / enregistrées par tout le monde dans le répertoire ProgramData, des mécanismes de sécurité supplémentaires sont nécessaires pour protéger les utilisateurs contre les autres interactions des utilisateurs.
Tous les utilisateurs ont généralement accès au répertoire ProgramData dans lequel les configurations globales ou distribuées sont stockées. Cela signifie qu'une menace de sécurité potentielle peut provenir d'un autre utilisateur nommé qui a accès au système. Afin de minimiser le risque de sécurité, tous les NamedUser doivent se trouver dans un groupe d'utilisateurs créé à cet effet. Cela signifie que les utilisateurs anonymes ne peuvent pas accéder aux configurations. Cela minimise considérablement le risque.
Les fichiers de configuration concernés sont les options distribuées Paramètres, global.ini et defaults.ini. Les settings.ini et runonce.ini utilisés pour les paramètres utilisateur normaux doivent être exclus car ils s'exécutent dans le contexte des droits d'utilisateur local d'un NamedUser.
Autoriser l'exécution en ligne de commande
Vous pouvez définir une valeur dans le registre pour autoriser explicitement l'exécution en ligne de commande pour les configurations réparties et globales. Ce paramètre changera le comportement par défaut (non autorisé)! L'entrée de registre nommée pour cela s'appelle "AllowExecute" et peut être trouvée à:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\PRINTER NAME
AllowExecute est une valeur de chaîne, si vous la définissez sur 1, les exécutions en ligne de commande seront autorisées à s'exécuter - sinon elle sera bloquée. Si l'entrée de registre est manquante, elle sera également bloquée!
Vous ne devez autoriser la fonction d'exécution en ligne de commande (exécution du programme après la génération du PDF) que si vous faites confiance à vos utilisateurs ou si vous modifiez la sécurité de votre système de fichiers comme décrit ci-dessus!
Recommandations de sécurité
Si vous autorisez AllowExecute, c'est-à-dire l'exécution de programmes après la création de PDF, il est recommandé d'ajuster les droits de fichier et de répertoire en conséquence. Seuls les administrateurs et les utilisateurs de confiance doivent avoir un accès en écriture aux répertoires spéciaux de l'imprimante PDF sous ProgramData.
Les fichiers de configuration distribués et globaux de l'imprimante PDF sont enregistrés dans les répertoires et sous-répertoires suivants:
C:\ProgramData\PDF Writer\PRINTER NAME
compatibilité descendante
L'introduction du paramètre "AllowExecute" peut entraver la compatibilité descendante des configurations créées. Si vous utilisez les configurations distribuées / globales de l'ancienne version 10.14 ou supérieure, "AllowExecute" devra peut-être être défini sur "1" pour contrer cela.