безопасного запуска по расписанию?
Или что поискать для чтения в данном направлении.
В любую папку, доступ к которой есть только у сервисной учетки, под которой она будет запускаться в планировщике?
Я думал best practices. Но похоже не могу пока внятно объяснить гуглу/яндексу чего от него хочу.
Если админская или system, то я люблю в programData пихать, если надо под юзверем запускать, то в его appData/Local
общая рекомендация: скрипты должны лежать там, где никто (желательно и вы сами), не имеете права на их изменение. Если интересуетесь, как сделать так, чтобы запуск программ в первую очередь, во вторую - скриптов, был разрешен только из мест, где непривилегированный пользователь не имеет прав на их изменение, рекомендую почитать про SRP и Applocker. Например, здесь про SRP очень хороший набор статей: https://www.sysadmins.lv/blog-ru/categoryview/securitysrp.aspx
Гит
Ну, либо подписывать скрипты и запрещать запуск неподписанных, при этом складывая скрипты в особо огороженную директорию
Сложный вопрос, тут все зависит от необходимой "безопасности". В некоторых случаях, скрипты что собраны под 7-ку, у меня стартуют по триггерам в gitlab-раннерах, и выполняются в докере. В других случаях - на виндовых машинах ядро собирается как Windows-сервис и стартует их по необходимым условиям (события либо таймер) - в этом случае доступ на машину ограничен, и введено обязательное условие что они должны быть подписаны
Обсуждают сегодня