Regsvr32-komento ja keskitetty hallinta

Miten Shimgvw.dll-tiedosto poistetaan käytöstä keskitetysti niin, että komentoa ei tarvitse erikseen käydä suorittamassa jokaisella koneella? Viime päivinä useat organisaatioasiakkaat ovat esittäneet tuon kysymyksen. Jos käytössä on jokin keskitetty hallintajärjestelmä, Microsoftin Systems Management Server tai jokin vastaava järjestelmä, vastaus on tietysti helppo - tehdään komentotiedosto, joka sisältää komennon regsvr32 -u %windir%\system32\shimgvw.dll ja sen jälkeen suoritetaan komentotiedosto työasemissa hallintajärjestelmän avulla. 

No, tämän jälkeen usein tulee jatkokysymys - voidaanko tuo komento suorittaa työasemissa käyttämällä Active Directorya ja Group Policyjä? Ehdottomasti - Group Policyjen avulla voidaan suorittaa komentotiedostoja joko siinä vaiheessa, kun käyttäjä kirjautuu sisään tai ulos järjestelmästä (User logon/logoff scripts) tai siinä vaiheessa, kun työasema käynnistetään tai sammutetaan (Computer startup/shutdown scripts). Logon- ja logoff-skriptien käyttö ei ole tässä tapauksessa suositeltavaa, koska niiden avulla komennot suoritetaan kirjautuvan käyttäjän oikeuksilla, ja regsvr32-komennon suorittaminen onnistunesti edellyttää pääkäyttäjän oikeuksia. 

Sen sijaan voidaan käyttää työaseman startup- tai shutdown-skriptiä, koska ne suoritetaan LocalSystem-käyttäjätunnuksen oikeuksilla:
1. Luo komentotiedosto, joka sisältää edellä mainitun regsvr32-komennon ja tallenna se johonkin verkkoresurssiin, johon on kaikille käyttäjille luku- ja suoritusoikeus (esimerkiksi Domain Controllerin netlogon-resurssiin).
2. Määritä Group Policy ja sen Computer Policyn Startup Script -kohtaan edellä luomasi komentotiedosto.
3. Liitä Group Policy Organisation Unitteihin, joissa työasemat ovat. 

Tämän jälkeen komento suoritetaan em. OU:hin kuuluvissa työasemissa, kun ne käynnistetään seuraavan kerran.

Ja tähän lopuksi, Jesper Johansson on kirjoittanut hyvän blogientryn aiheesta WMF-haavoittuvuuden riskianalyysi ja suojautumistoimet - kannattaa lukea => https://blogs.technet.com/jesper%5Fjohansson/.