Share via

Nasazování zásad zabezpečení

  • Článek
Důležitá poznámkaDůležité

V rozhraní .NET Framework verze 4 se modul CLR (Common Language Runtime) vzdaluje od poskytování zásad zabezpečení pro počítače.Microsoft doporučuje použití zásad omezení softwaru systému Windows jako náhradu za zásady zabezpečení modulu CLR.Informace v tomto tématu se vztahují na rozhraní .NET Framework verze 3.5 a starší; nevztahují se na verze 4.0 a novější.Další informace o této a dalších změnách naleznete v tématu Změny zabezpečení v rozhraní .NET Framework 4.

Zásady zabezpečení lze snadno zavést do souboru Instalační služby systému Windows (.msi). Soubor .msi je balíček samostatné instalace, který lze nasadit, nainstalovat a odinstalovat mnoha způsoby. Například můžete nasadit .msi soubor v některém z následujících způsobů:

  • Spuštění .msi souboru na počítači, kam chcete nasadit zásady z místního disku nebo ze sdíleného disku.

  • Použití Zásady skupiny na serverech Microsoft Windows.

  • Použití Microsoft Systems Management Server (SMS).

Vytváření souborů Instalační služby systému Windows

Mscorcfg.msc (.NET Framework Configuration Tool) poskytuje průvodce pro vytváření souborů Instalační služby systému Windows. Průvodce může vytvořit soubor Instalační služby, který odpovídá jedné ze tří konfigurovatelných úrovní zásad, ale ne všech současně. Pokud provádíte správu zásad zabezpečení pro všechny tři konfigurovatelné úrovně, musíte vytvořit tři různé soubory Instalační služby systému Windows a nasadit je jednotlivě.

Průvodce vytvoří instalační soubor pomocí aktuálního nastavení zásad počítače, kde je spuštěn průvodce. Například k vytvoření zásad uživatele pro nasazení pro skupinu uživatelů, konfigurujete zásady uživatele v aktuálním počítači, vytvoříte soubor Instalační služby pomocí průvodce a potom vrátíte zásady uživatele aktuálního počítače do původního stavu.

Vytvořit soubor Instalační služby systému Windows:

  1. Spusťte nástroj konfigurace rozhraní .NET Framework (Mscorcfg.msc).

    • V rozhraní .NET Framework verze 1.0 a 1.1 zadejte na příkazový řádek následující: %Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc.

    • V .NET Framework 2.0 a novějších spusťte SDK Command Prompt a zadejte mscorcfg.msc. SDK příkazový řádek, který automaticky nastaví proměnné prostředí SDK, které umožňují snadno použít.NET Framework nástroje, je součástí .NET Framework verze 2.0 Software Development Kit (SDK). Pozdější verze rozhraní .NET Framework jsou postupně vytvořeny na rozhraní .NET Framework verze 2.0. V důsledku toho, příkazový řádek sady SDK ze sady SDK rozhraní .NET Framework 2.0 je nejnovější samostatný příkazový řádek sady SDK k dispozici. Také můžete použít příkazové řádky sady Visual Studio, které jsou k dispozici se sadou Visual Studio 2005 a novější verze.

  2. V levém podokně klikněte pravým tlačítkem myši na uzel Zásady zabezpečení modulu runtime.

  3. Z nabídky zvolte Vytvořit balíček pro nasazení.

  4. Postupujte podle pokynů Průvodce nasazení balíčku pro vytvoření .msi souboru.

Když nasadíte zásady pomocí souboru instalačního programu, který je vytvořen pomocí Mscorcfg.msc (.NET Framework Configuration Tool), platí následující:

  • Instalace zásad ovlivní pouze verzi modulu runtime, kterou jste chtěli mít, když jste vytvořili soubor instalace. Například použijete-li nástroj pro konfiguraci rozhraní .NET Framework verze 2.0, soubor instalace změní pouze zásady rozhraní .NET Framework verze 2.0.

  • V některých případech instalační program negeneruje chybu, pokud se instalace nové zásady nezdařila. Chcete-li ověřit, že zásada byla úspěšně nainstalována, zkontrolujte zásady pomocí nástroje pro konfiguraci rozhraní .NET Framework, Caspol.exe (Code Access Security Policy Tool), nebo ručně po nasazení systému kontroly souborů zásad v textovém editoru.

  • Chcete-li aktualizovat zásady zobrazené nástrojem pro konfiguraci rozhraní .NET Framework, je nutné vypnout nástroj a restartovat jej.

Vlastní nasazení

Je možné nasadit soubory Instalační služby systému Windows několika způsoby, včetně spouštěcího skriptu, distribuce e-mailu nebo distribuce ze sdílené jednotky. Nejsnadnější způsob, jak nasadit zásady zabezpečení ze souboru Instalační služby systému Windows, je spuštění souboru z počítače, kde chcete aktualizovat zásady zabezpečení. Toto lze provést jednoduše dvojitým kliknutím na .msi soubor. Chcete-li vrátit instalaci, klikněte pravým tlačítkem myši na .msi soubor a zvolte Odinstalovat.

Zkontrolujte, zda má uživatelský účet, pod kterým je nainstalován, zásady odpovídající oprávnění k přístupu konfiguračních souborů, které upravujete. Například pokud jste aktuálně přihlášeni pomocí účtu, který nemá oprávnění ke změně konfiguračního souboru podniku, a .msi soubor, který zavádíte, musí upravit konfigurační soubor podniku, instalace se nezdaří. Všimněte si, že balíček Instalační služby systému Windows nevytvoří chybu, pokud aktuální účet nemá dostatečná oprávnění ke změně konfiguračního souboru.

Nasazení zásad skupiny

Používáte-li server systému Windows pro správu zásad, můžete použít Zásady skupiny se souborem Instalační služby systému Windows k nasazení zásad zabezpečení do pracovních stanic v síti. Jednoduše importujte soubor Instalační služby pomocí zásad skupiny modulu snap-in konzoly MMC, nebo umístěte soubor Instalační služby do již existujícího adresáře, který použijete jako bod instalace. Po nakonfigurování Zásad skupiny pro publikování souboru Instalační služby, zásady zabezpečení budou aktualizovány při příštím přihlášení k síti. Všimněte si, že musíte mít řadič domény přítomen v síti k nasazení zásad zabezpečení pomocí Zásad skupiny. Další informace o použití Zásad skupiny naleznete na Microsoft Windows Server Help.

Nasazení nástroje SMS

Chcete-li publikovat zásady zabezpečení počítačů v síti, můžete použít Microsoft Systems Management Server (SMS). SMS je samostatný serverový produkt, který spravuje instalaci softwaru a konfigurace v rozsáhlých podnicích. Server SMS je zvláště užitečný v sítích se systémem Windows Server, protože poskytuje funkce Zásad skupiny, které mají sítě se systémem Windows Server. Použijte jednu z kompatibilních metod k převedení .msi souboru do balíčku softwaru serveru SMS, a potom použijte server SMS pro instalaci balíčku stejným způsobem, jako jakýkoli jiný balíček softwaru. Další informace o vytváření a zavádění balíčků softwaru serveru SMS naleznete v dokumentaci k serveru SMS.

Viz také

Další zdroje

Správa obecných zásad zabezpečení

Doporučené postupy pro zásady zabezpečení