Implementar la directiva de seguridad
Importante |
---|
En .NET Framework versión 4, Common Language Runtime (CLR) está dejando de proporcionar directivas de seguridad para los equipos.Microsoft recomienda usar las directivas de restricción de software de Windows en lugar de la directiva de seguridad de CLR.La información de este tema se aplica a .NET Framework 3.5 y versiones anteriores; no se aplica a la versión 4 ni a versiones posteriores.Para obtener más información sobre estos y otros cambios, vea Cambios de seguridad en .NET Framework 4. |
Implementar la directiva de seguridad es muy sencillo en un archivo de Windows Installer (.msi). Un archivo .msi es un paquete de instalación autosuficiente que se puede implementar, instalar y desinstalar de varias formas distintas. Por ejemplo, se puede implementar un archivo .msi de cualquiera de las siguientes maneras:
Ejecutando el archivo .msi en el equipo en que desea implementar la directiva, desde el disco local o desde un recurso compartido.
Usando la directiva de grupo en servidores Microsoft Windows Server.
Usando Microsoft Systems Management Server (SMS).
Crear archivos de Windows Installer
La Mscorcfg.msc (Herramienta de configuración de .NET Framework) proporciona un asistente para crear los archivos de Windows Installer. El asistente puede crear un archivo Installer que corresponda a uno de los tres niveles de directiva configurables, pero no a los tres a la vez. Si administra la directiva de seguridad para los tres niveles configurables, debe crear tres archivos de Windows Installer distintos e implementarlos uno por uno.
El asistente crea el archivo Installer utilizando los valores de directiva actuales del equipo en que se ejecuta el asistente. Por ejemplo, para crear una directiva de usuario para su implementación en un grupo de usuarios, la directiva se configura en el equipo actual, el archivo Installer se crea con el asistente y, a continuación, la directiva de usuario del equipo actual se restablece en su estado original.
Para crear un archivo de Windows Installer:
Ejecute la herramienta Configuración de .NET Framework (Mscorcfg.msc).
En las versiones 1.0 y 1.1 de .NET Framework, escriba lo siguiente en el símbolo del sistema: %Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc.
En .NET Framework 2.0 y versiones posteriores, inicie el Símbolos del sistema del SDK de Windows y Visual Studio y escriba mscorcfg.msc. El símbolo del sistema de SDK, que establece automáticamente las variables de entorno de SDK que permiten usar fácilmente las herramientas de .NET Framework, se incluye en el Kit de desarrollo de software (SDK) de Microsoft .NET Framework 2.0. Las versiones subsiguientes de .NET Framework se compilan de forma incremental a partir de la versión 2.0 de .NET Framework. Por consiguiente, el símbolo del sistema del Kit de desarrollo de software de .NET Framework 2.0 es el último símbolo del sistema de SDK independiente disponible. Si lo desea, puede utilizar también los símbolos del sistema de Visual Studio que se proporcionan con Visual Studio 2005 y versiones posteriores.
En el panel izquierdo, haga clic con el botón secundario del mouse en el nodo Directiva de seguridad en tiempo de ejecución.
En el menú, elija Crear paquete de implementación.
Siga las instrucciones del Asistente para paquete de implementación y cree el archivo .msi.
Al implementar la directiva utilizando un archivo de instalador creado por Mscorcfg.msc (Herramienta de configuración de .NET Framework):
La instalación de la directiva afecta sólo a la versión del tiempo de ejecución que se indicó al crear el archivo de instalación. Por ejemplo, si utiliza la versión 2.0 de la herramienta Configuración de .NET Framework, el archivo de instalación sólo cambia la directiva de la versión 2.0 de .NET Framework.
En algunos casos, el instalador no genera ningún error aunque falle la instalación de una nueva directiva. Para comprobar que la directiva se instaló correctamente, inspeccione la directiva utilizando la herramienta Configuración de .NET Framework, Caspol.exe (Herramienta de la directiva de seguridad de acceso del código), o inspeccionando manualmente los archivos de directivas en un editor de texto después de la implementación.
Para actualizar la directiva mostrada por la herramienta Configuración de .NET Framework, debe cerrar la herramienta y reiniciarla.
Implementación personalizada
Los archivos de Windows Installer se pueden implementar de varias maneras, como con un script de inicio, mediante la distribución por correo electrónico o la distribución desde una unidad compartida. La forma más sencilla de implementar la directiva de seguridad desde un archivo de Windows Installer es ejecutar el archivo desde el equipo en que desea actualizar la directiva de seguridad. Para ello, sólo tiene que hacer doble clic en el archivo .msi. Para revertir la instalación, haga clic con el botón secundario del mouse en el archivo .msi y elija Desinstalar.
Asegúrese de que la cuenta de usuario en la que se instala la directiva tiene los privilegios necesarios para tener acceso a los archivos de configuración que se van a modificar. Por ejemplo, si ha iniciado la sesión actual con una cuenta que no tiene permiso para modificar el archivo de configuración de empresa y el archivo .msi que va a implementar debe modificarlo, la instalación no será correcta. Recuerde que el paquete de Windows Installer no produce un error si la cuenta actual no tiene los permisos suficientes para modificar el archivo de configuración.
Implementación de Directiva de grupo
Si se usa un servidor Windows para la administración de directivas, se puede usar la directiva de grupo con un archivo de Windows Installer para implementar la directiva de seguridad en las estaciones de trabajo de la red. Sólo hay que importar el archivo Installer mediante el complemento de MMC de directiva de grupo o ubicarlo en un directorio existente que se utiliza como punto de instalación. Una vez que se ha configurado Directiva de grupo para que publique el archivo Installer, la directiva de seguridad se actualizará la próxima vez que los usuarios inicien sesión en la red. Tenga en cuenta que para implementar la directiva de seguridad mediante Directiva de grupo debe haber un controlador de dominio en la red. Para obtener más información sobre el uso de la directiva de grupo, vea la Ayuda de Microsoft Windows Server.
Implementación SMS
Se puede usar Microsoft Systems Management Server (SM) para publicar la directiva de seguridad en los equipos de una red. SMS es un producto de servidor independiente que administra la instalación y configuración de software en grandes empresas. SMS es especialmente útil en las redes basadas en Windows Server porque proporciona la funcionalidad de directiva de grupo que tienen esas redes. Use uno de los métodos compatibles para convertir el archivo .msi en un paquete de software de SMS y, a continuación, utilice SMS para instalar el paquete de la misma forma que cualquier otro paquete de software. Para obtener más información sobre cómo crear e implementar paquetes de software SMS, consulte la documentación de SMS.