Přehled správy zásad zabezpečení

Článek
08/11/2011

Důležité
V rozhraní .NET Framework verze 4 se modul CLR (Common Language Runtime) vzdaluje od poskytování zásad zabezpečení pro počítače.Microsoft doporučuje použití zásad omezení softwaru systému Windows jako náhradu za zásady zabezpečení modulu CLR.Informace v tomto tématu se vztahují na rozhraní .NET Framework verze 3.5 a starší; nevztahují se na verze 4.0 a novější.Další informace o této a dalších změnách naleznete v tématu Změny zabezpečení v rozhraní .NET Framework 4.

V rozhraní .NET Framework verze 4 se modul CLR (Common Language Runtime) vzdaluje od poskytování zásad zabezpečení pro počítače.Microsoft doporučuje použití zásad omezení softwaru systému Windows jako náhradu za zásady zabezpečení modulu CLR.Informace v tomto tématu se vztahují na rozhraní .NET Framework verze 3.5 a starší; nevztahují se na verze 4.0 a novější.Další informace o této a dalších změnách naleznete v tématu Změny zabezpečení v rozhraní .NET Framework 4.

Systém zabezpečení pro rozhraní .NET Framework je řízen konfigurovatelnou sadou pravidel nazvanou zásady zabezpečení. Tyto zásady umožňují koncovému uživateli nebo správci upravit nastavení určující, který kód prostředků má povolen přístup a nakonec rozhodnout, který kód má povoleno spuštění.

Předpokládejme například, že jste správce v prostředí organizace a nedůvěřujete softwaru, který pochází z určité společnosti. Možná společnost vytváří software, u kterého zaměstnanci nalézají zábavu, ale způsobuje zvýšení síťového provozu nebo činí pracovní stanici nestabilní. Můžete nastavit zásady zabezpečení úrovně organizace, které omezují přístup k prostředkům vašeho počítače pro software, který má určitý kryptografický silný název (jedinečný identifikátor programu). Můžete také nastavit zásady, které brání tomuto vydavateli softwaru ve spuštění.

Toto téma obsahuje přehled správy zásad zabezpečení. Další informace naleznete v tématu Security Policy Management.

Legitimace, skupiny kódu a sady oprávnění

Kód, který se zaměřuje na modul CLR (Common Language Runtime) je nasazen v jednotkách nazvaných sestavení. V okamžiku načtení, modul runtime zkoumá legitimaci každého sestavení, což jsou identifikační informace o sestavení (například digitální podpis autora kódu a umístění, odkud kód pochází). Na základě legitimace mapuje správce zabezpečení modulu CLR (Common Language Runtime) sestavení na skupiny kódu podle zásad zabezpečení. Skupiny kódu jsou definovány k testování určitých forem legitimace a mají s nimi asociované sady oprávnění. Sestavení, která patří do skupiny kódu obdrží oprávnění definované asociovanými sadami oprávnění. Další informace týkající se legitimace, skupin kódu a sad oprávnění naleznete v tématu Security Policy Model.

Oprávnění

Oprávnění jsou jednoduché objekty, které představují práva pro přístup k chráněnému prostředku. Oprávnění lze konfigurovat a jeden objekt oprávnění může zaujmout několik forem. Například FileIOPermission představuje právo pro přístup, vytvoření, čtení, zapisování nebo upravování souborů na místním pevném disku. Aby to bylo smysluplné, oprávnění musí obsahovat specifické informace o typu přístupu, který představuje. Můžete konfigurovat FileIOPermission tak, aby představovalo právo pro čtení jednoho konkrétního souboru, zápis do jednoho konkrétního souboru nebo čtení souborů v celém adresáři. Práva, která oprávnění představuje a která sestavení přijímají jsou plně konfigurovatelná správcem daného počítače. Zatímco aplikace mohou vytvářet a konfigurovat objekty oprávnění stejně jako libovolný jiný objekt, pouze zásady zabezpečení mohou přidělovat oprávnění aplikaci. Správci nakonec řídí udělení oprávnění. Seznam běžných oprávnění naleznete v tématu Code Access Permissions.

Úrovně zásad zabezpečení

Existují čtyři úrovně zásad zabezpečení definované modelem zabezpečení, které odpovídají různým scénářům správy a hostování. Následující tabulka popisuje každou úroveň. Úroveň zásad organizace je nejvyšší úroveň a úroveň domény aplikace je nejnižší.

Úroveň zásad	Popis
Zásady organizace	Definované správci organizace, kteří nastavují zásady pro domény organizace.
Zásady počítače	Definované správci počítače, kteří nastavují zásady pro jeden počítač.
Zásady uživatele	Definované uživateli, kteří nastavují zásady pro jeden přihlašovací účet.
Zásady domény aplikace	Definované hostiteli modulu runtime (jakákoli aplikace, která je hostitelem modulu CLR (Common Language Runtime)) pro nastavení zásad pro dobu načtení. Tuto úroveň nelze spravovat.

Každá úroveň zásad je tvořena hierarchií skupin kódu. Správci každé úrovně zásad mohou vytvořit jejich vlastní skupiny kódu a související sady oprávnění. V době načtení prověřuje systém zabezpečení přístupu kódu všechny úrovně zásad a výsledné udělené oprávnění je průsečíkem všech povolených oprávnění v každé úrovni. Správci nižší úrovně zásad nemohou zmírnit rozhodnutí zásad, které udělala vyšší úroveň, ale mohou zpřísnit zásady tolik, kolik chtějí. Výchozí zásady zabezpečení jsou umístěny na úrovni zásad počítače.

Výchozí nastavení zabezpečení jsou následující:

Úrovně uživatele a organizace jsou nastaveny jako neomezené.
Úroveň počítače obsahuje specifické nastavení zásad a omezení.
Nastavení definované všemi třemi úrovněmi tvoří výchozí nastavení.

Všimněte si, že neomezené úrovně organizace a uživatele nevedou k udělení neomezených oprávnění sestavení. Vzhledem k tomu, že úroveň počítače definuje několik omezení a všechny tři úrovně jsou považovány za celek, tak výsledné udělené oprávnění není neomezené oprávnění. Další informace naleznete v tématu Security Policy Model.

Mapování skupin kódu na sady oprávnění

Spravujete zásady mapováním skupin kódu na sady oprávnění na úrovni zásad nebo úrovních, které spravujete.

Skupiny kódu obsahují podmínku členství, spojení sady oprávnění a atributy skupiny kódu. Legitimace, kterou sestavení předkládá modulu runtime, je porovnána s podmínkou členství, kterou specifikujete pro skupinu kódu. Pokud sestavení poskytuje legitimaci, která odpovídá podmínce členství, tak mu je povolen vstup do skupiny kódu. Správci identifikují a kategorizují sestavení do skupin kódu tak, že specifikují podmínky členství a přiřazují sady oprávnění k těmto skupinám kódu. Volitelně mohou být atributy skupiny kódu použity k určení, že by neměla být zvažována žádná úroveň zásad pod aktuální úrovní nebo žádná skupina kódu kromě stávající, když jsou přiřazována oprávnění.

Následující typy vestavěné legitimace lze použít jako podmínky členství:

Instalační adresář aplikace
Kryptografická hodnota hash sestavení
Digitální podpis vydavatele sestavení
Web z něhož pochází sestavení
Kryptografický silný název sestavení
URL adresa, ze které pochází sestavení
Zóna, ze které pochází sestavení

Sestavením můžete snížit nebo zvýšit oprávnění na základně libovolné kombinace těchto podmínek členství. Protože mohou být vytvořeny vlastní podmínky členství, nepředstavuje předchozí seznam každou možnost. Další informace naleznete v tématu Evidence.