Sdílet prostřednictvím

Výchozí zásady zabezpečení

  • Článek
Důležitá poznámkaDůležité

V rozhraní .NET Framework verze 4 se modul CLR (Common Language Runtime) vzdaluje od poskytování zásad zabezpečení pro počítače.Microsoft doporučuje použití zásad omezení softwaru systému Windows jako náhradu za zásady zabezpečení modulu CLR.Informace v tomto tématu se vztahují na rozhraní .NET Framework verze 3.5 a starší; nevztahují se na verze 4.0 a novější.Další informace o této a dalších změnách naleznete v tématu Změny zabezpečení v rozhraní .NET Framework 4.

Zásady počítače jsou ve výchozím nastavení nastaveny na hodnoty uvedené v následujících tabulkách. Protože úrovně zásad se při určování povolené sady oprávnění prolínají, nastavení zásad počítače ve skutečnosti určuje výchozí zásady zabezpečení. Všimněte si, že tyto tabulky reprezentují pojmenované sady oprávnění a také oprávnění, která používá nastavení zásad jako výchozí. Tabulky nereprezentují všechny pojmenované sady oprávnění a oprávnění, která jsou k dispozici pro přizpůsobení zásad zabezpečení.

Následující tabulka zobrazuje výchozí skupiny kódu pro zásady počítače a pojmenované sady oprávnění, které obdrží ve výchozím nastavení. Například kód, který pochází z místního počítače je přiřazen k zóně My Computer Zone a ve výchozím nastavení obdrží úplnou důvěryhodnost.

Skupina kódu

Pojmenovaná sada oprávnění obdržena automaticky

  • My Computer Zone (kód z místního počítače)

  • Microsoft Strong Name (kód podepsaný pomocí silného názvu společnosti Microsoft)

  • ECMA Strong Name (kód podepsaný pomocí silného názvu ECMA)

Úplná důvěryhodnost

  • Local Intranet Zone (Kód z místní sítě)

Místní intranet

  • Internet Zone (Kód ze sítě Internet)

  • Trusted Zone (Kód ze zóny důvěryhodných serverů v aplikaci Internet Explorer)

Internet

  • All Code (Všechen spravovaný kód)

  • Restricted Zone (Kód ze serverů s omezeným přístupem)

Nic
PoznámkaPoznámka

V rozhraní .NET Framework 1.0 Service Pack 1 a Service Pack 2, skupina kódu Internet Zone obdrží pojmenovanou sadu oprávnění Nothing. V jiných verzích rozhraní .NET Framework skupina kódu Internet Zone obdrží pojmenovanou sadu oprávnění Internet, jak je popsáno v předchozí tabulce.

Přestože skupina kódu All Code automaticky obdrží pojmenovanou sadu oprávnění Nothing, neznamená to, že žádný kód nemá oprávnění, protože odpovídající skupiny kódu jsou kombinovány (sjednoceny), aby mohly vypočítat povolenou sadu oprávnění.

Následující tabulka uvádí jednotlivá oprávnění, která tvoří výchozí sady oprávnění. Sloupec na levé straně uvádí jednotlivé objekty oprávnění, zatímco sloupce na pravé straně představují konfiguraci těchto objektů v sadách oprávnění. Například kód, který pochází ze zóny Local Intranet Zone obdrží sadu oprávnění Local Intranet. Tato tabulka zobrazuje, že sada oprávnění Local Intranet se skládá z neomezené DNSPermission, neomezené FileDialogPermission, atd. Všimněte si, že kód ze zóny Internet neobdrží automaticky sadu oprávnění Internet; místo toho obdrží sadu oprávnění Nothing.

Oprávnění

Sada oprávnění Full Trust

(Neomezený přístup ke všem oprávněním včetně těch, které nejsou uvedeny)

Sada oprávnění Nothing

(Žádná oprávnění, žádné právo na provádění)

Sada oprávnění Local Intranet

Sada oprávnění Internet

DnsPermission

bez omezení

Žádný přístup

bez omezení

Žádný přístup

EnvironmentPermission

bez omezení

Žádný přístup

Číst uživatelské jméno (proměnná prostředí)

Žádný přístup

EventLogPermission

bez omezení

Žádný přístup

Instrument

Žádný přístup

FileDialogPermission

bez omezení

Žádný přístup

bez omezení

Otevřít

IsolatedStoragePermission

bez omezení

Žádný přístup

AssemblyIsolationByUser

Disková kvóta 9223372036854775807

ApplicationIsolationByUser

Disková kvóta 512000

PrintingPermission

bez omezení

Žádný přístup

DefaultPrinting

SafePriniting

ReflectionPermission

bez omezení

Žádný přístup

ReflectionEmit

Žádný přístup

SecurityPermission

bez omezení

Žádný přístup

Spuštění

Assertion

Spuštění

UIPermission

bez omezení

Žádný přístup

bez omezení

SafeTopLevelWindows

OwnClipboard

Přestože výchozí zásady zabezpečení jsou vhodné pro mnoho situací, mohou správci modifikovat nebo upravovat zásady zabezpečení, aby je přizpůsobily pro konkrétní potřeby jejich organizací. Další informace naleznete v tématu Administering Security Policy.

Všimněte si, že kód je předmětem pro další omezení asociovaná s vnořeným LinkDemand pro plnou důvěryhodnost, provedenou sestaveními umístěnými v globální mezipaměti sestavení (GAC). Pokud jeAllowPartiallyTrustedCallersAttribute aplikován na sestavení v globální mezipaměti sestavení (GAC), tak všechen kód, který neobdrží sadu oprávnění Full Trust vygeneruje výjimku SecurityException, když se pokusí připojit k sestavení. Další informace a seznam sestavení, která mají AllowPartiallyTrustedCallersAttribute, naleznete v tématu Using Libraries from Partially Trusted Code.

Viz také

Koncepty

Model zásad zabezpečení

Používání knihoven z částečně důvěryhodného kódu

Další zdroje

Správa zásad zabezpečení