Megosztás a következőn keresztül:

Izolált tárolás

  • Cikk

Az asztali alkalmazások esetében az izolált tárolás olyan adattárolási mechanizmus, amely a kód mentett adatokkal való társításának szabványosított módjaival biztosítja az elkülönítést és a biztonságot. A szabványosítás más előnyökkel is jár. A rendszergazdák az izolált tárterület manipulálására tervezett eszközökkel konfigurálhatják a fájltárolót, biztonsági szabályzatokat állíthatnak be, és törölhetik a nem használt adatokat. Izolált tárolás esetén a kódnak már nincs szüksége egyedi elérési utakra a fájlrendszer biztonságos helyeinek megadásához, és az adatok védettek lesznek más, csak elkülönített tárterület-hozzáféréssel rendelkező alkalmazásoktól. Az alkalmazás tárolási területének helyét jelző, szigorúan kódolt információk szükségtelenek.

Fontos

Az elkülönített tároló nem érhető el Windows 8.x Áruházbeli alkalmazásokhoz. Ehelyett használja az alkalmazásadatosztályokat a Windows.Storage Windows-futtatókörnyezet API-ban található névterekben helyi adatok és fájlok tárolására. További információ: Alkalmazásadatok a Windows Fejlesztői központ.

Adatrekeszek és tárolók

Amikor egy alkalmazás adatokat tárol egy fájlban, gondosan meg kell választani a fájlnevet és a tárolási helyet, hogy a lehető legkisebb legyen annak a lehetősége, hogy a tárolási hely ismert legyen egy másik alkalmazás számára, és ezért sebezhető legyen a sérüléssel szemben. A problémák kezelésére szabványos rendszer nélkül a tárolási ütközéseket minimalizáló improvizációs technikák összetettek lehetnek, és az eredmények megbízhatatlanok lehetnek.

Izolált tárolás esetén az adatok mindig a felhasználó és a szerelvény által különíthetők el. A szerelvény identitását olyan hitelesítő adatok határozzák meg, mint a szerelvény eredete vagy erős neve. Az adatok alkalmazástartományonként is elkülöníthetők, hasonló hitelesítő adatok használatával.

Izolált tárterület használata esetén az alkalmazás adatokat ment egy egyedi adattérbe, amely a kód identitásának bizonyos aspektusához, például a közzétevőhöz vagy az aláíráshoz van társítva. Az adatrekesz absztrakció, nem pedig egy adott tárolási hely; egy vagy több elkülönített tárolófájlból, úgynevezett tárolóból áll, amelyek az adatok tárolásának tényleges könyvtárhelyeit tartalmazzák. Előfordulhat például, hogy egy alkalmazáshoz adatrekesz van társítva, és a fájlrendszer egyik könyvtára implementálja azt az adattárat, amely ténylegesen megőrzi az adott alkalmazás adatait. Az áruházban mentett adatok bármilyen típusú adatok lehetnek, a felhasználói beállítások adataitól az alkalmazásállapotig. A fejlesztő számára az adatrekesz helye transzparens. Az üzletek általában az ügyfélen találhatók, de a kiszolgálóalkalmazások izolált tárolók használatával tárolhatják az információkat annak a felhasználónak a megszemélyesítésével, akinek a nevében működik. Az elkülönített tárolók a felhasználó központi profiljával rendelkező kiszolgálón is tárolhatnak információkat, hogy az információk a központi felhasználóval utazzanak.

Izolált tárolás kvótái

A kvóta az elkülönített tárterület felhasználható mennyiségének korlátja. A kvóta tartalmaz bájtnyi fájlterületet, valamint a könyvtárhoz és az áruházban található egyéb információkhoz kapcsolódó többletterhelést. Az izolált tárolás engedélykvótákat használ, amelyek az objektumok által IsolatedStoragePermission beállított tárolási korlátok. Ha olyan adatokat próbál meg írni, amelyek túllépik a kvótát, a rendszer kivételt IsolatedStorageException jelez. A .NET-keretrendszer konfigurációs eszközzel (Mscorcfg.msc) módosítható biztonsági szabályzat határozza meg, hogy mely engedélyek vannak megadva a kódhoz. A megadott IsolatedStoragePermission kód nem használható több tárterületre, mint amennyit a UserQuota tulajdonság megenged. Mivel azonban a kód képes megkerülni az engedélykvótákat különböző felhasználói identitások bemutatásával, az engedélykvóták útmutatásként szolgálnak arra vonatkozóan, hogy a kódnak hogyan kell viselkednie, nem pedig a kód viselkedésének határozott korlátjaként.

A kvóták nem lesznek érvényesítve a barangolási üzletekben. Emiatt a kód használatához valamivel magasabb szintű engedély szükséges. Az enumerálási értékek AssemblyIsolationByRoamingUser és DomainIsolationByRoamingUser az elkülönített tárterület használatára vonatkozó engedély megadása egy központi felhasználó számára.

Biztonságos hozzáférés

Az izolált tárolás lehetővé teszi, hogy a részben megbízható alkalmazások a számítógép biztonsági szabályzata által szabályozott módon tárolják az adatokat. Ez különösen olyan letöltött összetevők esetén hasznos, amelyeket a felhasználó óvatosan szeretne futtatni. A biztonsági szabályzat ritkán ad ilyen kódengedélyt, ha a fájlrendszerhez standard I/O-mechanizmusokkal fér hozzá. Alapértelmezés szerint azonban a helyi számítógépről, a helyi hálózatról vagy az internetről futó kód jogosult elkülönített tároló használatára.

A rendszergazdák a megfelelő megbízhatósági szint alapján korlátozhatják, hogy egy alkalmazás vagy felhasználó mennyi elkülönített tárterületet biztosít. Emellett a rendszergazdák teljesen eltávolíthatják a felhasználó által tárolt adatokat. Izolált tároló létrehozásához vagy eléréséhez a kódnak meg kell adni a megfelelő IsolatedStorageFilePermission engedélyt.

Az elkülönített tárterület eléréséhez a kódnak rendelkeznie kell az összes szükséges natív platform operációsrendszer-jogosultságokkal. Meg kell felelnie azoknak a hozzáférés-vezérlési listáknak (ACL-nek), amelyek szabályozzák, hogy mely felhasználók jogosultak a fájlrendszer használatára. A .NET-alkalmazások már rendelkeznek operációsrendszer-jogosultságokkal az elkülönített tárterület eléréséhez, hacsak nem hajtanak végre (platformspecifikus) megszemélyesítést. Ebben az esetben az alkalmazás felelős annak biztosításáért, hogy a megszemélyesített felhasználói identitás megfelelő operációsrendszer-jogosultságokkal rendelkezik az elkülönített tárterület eléréséhez. Ez a hozzáférés kényelmes módot biztosít a webről futtatott vagy letöltött kódok olvasására és írására egy adott felhasználóhoz kapcsolódó tárolóterületre.

Az elkülönített tárterülethez való hozzáférés szabályozásához a közös nyelvi futtatókörnyezet objektumokat használ IsolatedStorageFilePermission . Minden objektum rendelkezik olyan tulajdonságokkal, amelyek a következő értékeket adják meg:

  • Engedélyezett használat, amely az engedélyezett hozzáférés típusát jelzi. Az értékek az IsolatedStorageContainment enumerálás tagjai. Az értékekkel kapcsolatos további információkért tekintse meg a következő szakaszban található táblázatot.

  • A tárterületkvóta az előző szakaszban leírtak szerint.

A futtatókörnyezet engedélyre van szükség IsolatedStorageFilePermission , amikor a kód először megkísérel megnyitni egy áruházat. A kód megbízhatósága alapján dönti el, hogy megadja-e ezt az engedélyt. Ha az engedély meg van adva, az engedélyezett használati és tárolási kvótaértékeket a biztonsági szabályzat és a kód kérése IsolatedStorageFilePermissionhatározza meg. A biztonsági szabályzat a .NET-keretrendszer konfigurációs eszköz (Mscorcfg.msc) használatával van beállítva. A hívásverem minden hívója ellenőrzi, hogy minden hívó rendelkezik-e legalább a megfelelő engedélyezett használattal. A futtatókörnyezet emellett ellenőrzi a fájlt menteni kívánt tárolót megnyitó vagy létrehozó kódra vonatkozó kvótát is. Ha ezek a feltételek teljesülnek, az engedély meg lesz adva. A rendszer minden alkalommal ellenőrzi a kvótát, amikor egy fájl meg van írva az áruházba.

Az engedély kéréséhez nincs szükség alkalmazáskódra, mert a közös nyelvi futtatókörnyezet a biztonsági szabályzaton alapuló megfelelőt IsolatedStorageFilePermission ad meg. Vannak azonban jó indokok arra, hogy konkrét engedélyeket kérjenek, amelyekre az alkalmazásnak szüksége van, beleértve a IsolatedStorageFilePermission.

Engedélyezett használati és biztonsági kockázatok

A megadott IsolatedStorageFilePermission engedélyezett használat határozza meg, hogy a kód milyen mértékben hozható létre és használjon izolált tárterületet. Az alábbi táblázat bemutatja, hogy az engedélyben megadott engedélyezett használat hogyan felel meg az elkülönítés típusainak, és összegzi az egyes engedélyezett használatokhoz kapcsolódó biztonsági kockázatokat.

Engedélyezett használat Elkülönítési típusok Biztonsági hatás
None Nincs engedélyezve elkülönített tárterület-használat. Nincs biztonsági hatás.
DomainIsolationByUser Elkülönítés felhasználó, tartomány és szerelvény szerint. Minden szerelvénynek külön aladattára van a tartományon belül. Az ezt az engedélyt használó tárolókat a számítógép implicit módon elkülöníti. Ez az engedélyszint lehetővé teszi az erőforrások számára a jogosulatlan túlzott használatot, bár a kikényszerített kvóták megnehezítik a használatát. Ezt szolgáltatásmegtagadásos támadásnak nevezzük.
DomainIsolationByRoamingUser Ugyanaz, mint DomainIsolationByUser, de a tároló olyan helyre lesz mentve, ahol a központi felhasználói profilok engedélyezve vannak, és a kvóták nem lesznek kényszerítve. Mivel a kvótákat le kell tiltani, a tárolási erőforrások sebezhetőbbek a szolgáltatásmegtagadási támadásokkal szemben.
AssemblyIsolationByUser Elkülönítés felhasználó és szerelvény szerint. Az ezt az engedélyt használó tárolókat a számítógép implicit módon elkülöníti. A kvóták ezen a szinten vannak kényszerítve, hogy megelőzzék a szolgáltatásmegtagadásos támadást. Ugyanez a szerelvény egy másik tartományban is elérheti ezt a tárolót, így megnyílik annak a lehetősége, hogy az adatok kiszivároghatnak az alkalmazások között.
AssemblyIsolationByRoamingUser Ugyanaz, mint AssemblyIsolationByUser, de a tároló olyan helyre lesz mentve, ahol a központi felhasználói profilok engedélyezve vannak, és a kvóták nem lesznek kényszerítve. A szolgáltatásmegtagadási támadások kockázata ugyanúgy nő, mint a AssemblyIsolationByUserkvóták nélkül.
AdministerIsolatedStorageByUser Elkülönítés felhasználó szerint. Általában csak a rendszergazdai vagy hibakeresési eszközök használják ezt az engedélyszintet. Az ezzel az engedéllyel való hozzáférés lehetővé teszi a kód számára, hogy megtekintse vagy törölje a felhasználó izolált tárolófájljait vagy könyvtárait (a szerelvény elkülönítésétől függetlenül). A kockázatok közé tartozik többek között az információk kiszivárogtatása és az adatvesztés.
UnrestrictedIsolatedStorage Elkülönítés minden felhasználó, tartomány és szerelvény számára. Általában csak a rendszergazdai vagy hibakeresési eszközök használják ezt az engedélyszintet. Ez az engedély minden felhasználó számára lehetővé teszi az összes elkülönített áruház teljes veszélyeztetésének lehetőségét.

Izolált tárolóösszetevők biztonsága a nem megbízható adatok tekintetében

Ez a szakasz a következő keretrendszerekre vonatkozik:

  • .NET-keretrendszer (minden verzió)
  • .NET Core 2.1+
  • .NET 5+

.NET-keretrendszer és a .NET Core izolált tárolást kínál, amely egy felhasználó, alkalmazás vagy összetevő adatainak megőrzésére szolgál. Ez egy örökölt összetevő, amelyet elsősorban a code Access biztonsági forgatókönyveihez terveztek.

Különböző elkülönített tárolási API-k és eszközök használhatók az adatok megbízhatósági határok közötti olvasására. A gépi hatókörből származó adatok beolvasása például összesítheti a gép más, esetleg kevésbé megbízható felhasználói fiókjaiból származó adatokat. A gépre kiterjedő izolált tárterületről beolvasott összetevőknek és alkalmazásoknak tisztában kell lenniük az adatok olvasásának következményeikkel.

A gépre kiterjedő hatókörből beolvasható, biztonsági szempontból érzékeny API-k

Olyan összetevők vagy alkalmazások, amelyek az alábbi API-k bármelyikét beolvasják a gépszintű hatókörből:

Az izolált tárolóeszközre storeadm.exe a kapcsolóval történő /machine meghívás hatással van, ahogy az a következő kódban is látható:

storeadm.exe /machine [any-other-switches]

Az elkülönített tárolóeszköz a Visual Studio és a .NET-keretrendszer SDK részeként érhető el.

Ha az alkalmazás nem jár az előző API-k hívásaival, vagy ha a munkafolyamat nem jár storeadm.exe ilyen hívással, ez a dokumentum nem érvényes.

Hatás többfelhasználós környezetekben

Ahogy korábban említettük, az api-k által az egyik megbízhatósági környezetből írt adatok biztonsági hatása egy másik megbízhatósági környezetből lesz beolvasva. Az izolált tároló általában a három hely egyikét használja az adatok olvasására és írására:

  1. %LOCALAPPDATA%\IsolatedStorage\: Például a C:\Users\<username>\AppData\Local\IsolatedStorage\hatókörhöz User .
  2. %APPDATA%\IsolatedStorage\: Például a C:\Users\<username>\AppData\Roaming\IsolatedStorage\hatókörhöz User|Roaming .
  3. %PROGRAMDATA%\IsolatedStorage\: Például a C:\ProgramData\IsolatedStorage\hatókörhöz Machine .

Az első két hely felhasználónként külön van elkülönítve. A Windows biztosítja, hogy ugyanazon a gépen lévő különböző felhasználói fiókok ne férhessenek hozzá egymás felhasználói profilmappáihoz. Két különböző felhasználói fiók, akik a User tárolókat User|Roaming használják, nem látják egymás adatait, és nem zavarhatják egymás adatait.

A harmadik hely meg van osztva a gép összes felhasználói fiókjában. A különböző fiókok ebből a helyről olvashatnak és írhatnak, és láthatják egymás adatait.

Az előző elérési utak a használt Windows-verziótól függően eltérhetnek.

Most fontolja meg a többfelhasználós rendszer két regisztrált felhasználó Mallory és Bob. Mallory hozzáférhet a felhasználói profil könyvtárához C:\Users\Mallory\, és hozzáférhet a megosztott, gépre kiterjedő tárolóhelyhez C:\ProgramData\IsolatedStorage\. Nem fér hozzá Bob felhasználói profil könyvtárához C:\Users\Bob\.

Ha Mallory meg akarja támadni Bobot, adatokat írhat a gépre kiterjedő tárolóhelyre, majd megpróbálhatja befolyásolni Bobot a gépi áruházból való olvasásba. Amikor Bob egy, az áruházból beolvasott alkalmazást futtat, az alkalmazás az ott elhelyezett Mallory-adatokon fog működni, de Bob felhasználói fiókjának környezetéből. A dokumentum többi része különböző támadási vektorokat és milyen lépéseket tehet az alkalmazások a támadások kockázatának minimalizálása érdekében.

Feljegyzés

Ahhoz, hogy ilyen támadásra kerüljön sor, Mallory a következőt követeli meg:

  • Egy felhasználói fiók a gépen.
  • A fájl egy ismert helyre való elhelyezésének lehetősége a fájlrendszerben.
  • Annak ismerete, hogy Bob egy olyan alkalmazást fog futtatni, amely megpróbálja beolvasni ezeket az adatokat.

Ezek nem fenyegetésvektorok, amelyek olyan szabványos egyfelhasználós asztali környezetekre vonatkoznak, mint az otthoni számítógépek vagy az egyszemélyes vállalati munkaállomások.

Jogosultsági szint emelése

A jogosultságok emelése akkor fordul elő, amikor Bob alkalmazása beolvassa Mallory fájlját, és automatikusan megpróbál valamilyen műveletet elvégezni a hasznos adatok tartalma alapján. Fontolja meg azt az alkalmazást, amely beolvassa egy indítási szkript tartalmát a gépszintű áruházból, és átadja a tartalmat a következőnek Process.Start: . Ha Mallory rosszindulatú szkriptet tud elhelyezni a gépszintű áruházban, amikor Bob elindítja az alkalmazást:

  • Az alkalmazás elemezi és elindítja Mallory rosszindulatú szkriptjét Bob felhasználói profiljának kontextusában.
  • Mallory hozzáférést szerez Bob fiókjához a helyi gépen.

Szolgáltatásmegtagadás

Szolgáltatásmegtagadási támadás akkor fordul elő, ha Bob alkalmazása beolvassa Mallory fájlját, és összeomlik, vagy más módon leáll a megfelelő működés. Fontolja meg újra a korábban említett alkalmazást, amely megpróbál elemezni egy indítási szkriptet a gépszintű áruházból. Ha Mallory a gépi tárolóban hibásan formázott tartalmú fájlt tud elhelyezni, a következőt teheti:

  • Bob alkalmazása kivételt okozhat az indítási útvonal korai szakaszában.
  • A kivétel miatt ne indulhat el sikeresen az alkalmazás.

Ezután megtagadta Bobtól, hogy saját felhasználói fiókja alatt indítsa el az alkalmazást.

Információfelfedés

Információfeltárási támadás akkor fordul elő, amikor Mallory meg tudja csalni Bobot egy olyan fájl tartalmának feltárására, amelyhez Mallory általában nem fér hozzá. Vegye figyelembe, hogy Bobnak van egy C:\Users\Bob\secret.txt titkos fájlja, amelyet Mallory el szeretne olvasni. Tudja a fájl elérési útját, de nem tudja elolvasni, mert a Windows megtiltja neki, hogy hozzáférjen Bob felhasználóiprofil-címtárához.

Ehelyett Mallory egy hard linket helyez el a gépszintű áruházba. Ez egy speciális fájltípus, amely önmagában nem tartalmaz tartalmat, hanem egy másik lemezen lévő fájlra mutat. A kemény hivatkozás fájl olvasására tett kísérlet ehelyett a hivatkozás által megcélzott fájl tartalmát olvassa be. A kemény hivatkozás létrehozása után Mallory továbbra sem tudja beolvasni a fájl tartalmát, mert nem fér hozzá a hivatkozás célhelyéhez (C:\Users\Bob\secret.txt). Bobnak azonban van hozzáférése ehhez a fájlhoz.

Amikor Bob alkalmazása a gépi áruházból olvas, véletlenül beolvassa a fájl tartalmát secret.txt , mintha maga a fájl is jelen lett volna a gépszintű tárolóban. Amikor Bob alkalmazása kilép, és megpróbálja újra menteni a fájlt a gépszintű tárolóba, a fájl tényleges másolatát a *C:\ProgramData\IsolatedStorage* könyvtárba helyezi. Mivel ezt a könyvtárat a gép bármely felhasználója felolvassa, Mallory most már beolvassa a fájl tartalmát.

Ajánlott eljárások a támadások elleni védekezéshez

Fontos: Ha a környezet több, kölcsönösen nem megbízható felhasználóval rendelkezik, ne hívja meg az API-tIsolatedStorageFile.GetEnumerator(IsolatedStorageScope.Machine), és ne hívja meg az eszköztstoreadm.exe /machine /list. Mindkettő feltételezi, hogy megbízható adatokon működnek. Ha a támadó kártékony hasznos adatokat képes létrehozni a gépszintű tárolóban, a hasznos adatok emelt szintű jogosultsági támadáshoz vezethetnek a parancsokat futtató felhasználó környezetében.

Ha többfelhasználós környezetben működik, gondolja át a gép hatókörét célzó elkülönített tárolási funkciók használatát. Ha egy alkalmazásnak gépi helyről kell adatokat olvasnia, inkább olyan helyről olvassa be az adatokat, amelyet csak rendszergazdai fiókok írnak. A %PROGRAMFILES% címtár és a HKLM beállításjegyzék-hive olyan helyekre mutat be példákat, amelyeket csak a rendszergazdák írnak, és mindenki számára olvashatók. Az ilyen helyekről beolvasott adatok ezért megbízhatónak minősülnek.

Ha egy alkalmazásnak többfelhasználós környezetben kell használnia a Gép hatókört, ellenőrizze a gépszintű tárból beolvasott fájlok tartalmát. Ha az alkalmazás deszerializálja az objektumgráfokat ezekből a fájlokból, fontolja meg biztonságosabb szerializálók használatát, például veszélyes szerializálók, például XmlSerializer BinaryFormatter vagy NetDataContractSerializer. Óvatosan használjon mélyen beágyazott objektumgráfokat vagy objektumdiagramokat, amelyek a fájl tartalma alapján végeznek erőforrás-lefoglalást.

Izolált tárolóhelyek

Néha hasznos, ha az operációs rendszer fájlrendszerének használatával ellenőrzi az elkülönített tárterület változását. Érdemes lehet tudni az izolált tárolófájlok helyét is. Ez a hely az operációs rendszertől függően eltérő. Az alábbi táblázat azokat a gyökérhelyeket mutatja be, ahol izolált tároló jön létre néhány gyakori operációs rendszeren. Keresse meg a Microsoft\IsolatedStorage könyvtárakat ezen a gyökérhelyen. A mappabeállításokat úgy kell módosítania, hogy rejtett fájlokat és mappákat jelenítsen meg, hogy a fájlrendszer izolált tárhelyét láthassa.

Operációs rendszer Hely a fájlrendszerben
Windows 2000, Windows XP, Windows Server 2003 (frissítés a Windows NT 4.0-ról) Roaming-kompatibilis tárolók =

<SYSTEMROOT>\Profiles\<user>\Application Data

Nem kötelező tárolók =

<SYSTEMROOT>\Profiles\<user>\Local Settings\Application Data
Windows 2000 – tiszta telepítés (és a Windows 98 és a Windows NT 3.51 frissítései) Roaming-kompatibilis tárolók =

<SYSTEMDRIVE>\Documents and Settings\<user>\Application Data

Nem kötelező tárolók =

<SYSTEMDRIVE>\Documents and Settings\<user>\Local Settings\Application Data
Windows XP, Windows Server 2003 – tiszta telepítés (és a Windows 2000 és a Windows 98 frissítései) Roaming-kompatibilis tárolók =

<SYSTEMDRIVE>\Documents and Settings\<user>\Application Data

Nem kötelező tárolók =

<SYSTEMDRIVE>\Documents and Settings\<user>\Local Settings\Application Data
Windows 8, Windows 7, Windows Server 2008, Windows Vista Roaming-kompatibilis tárolók =

<SYSTEMDRIVE>\Users\<user>\AppData\Roaming

Nem kötelező tárolók =

<SYSTEMDRIVE>\Users\<user>\AppData\Local

Izolált tároló létrehozása, enumerálása és törlése

A .NET három osztályt biztosít a névtérben az System.IO.IsolatedStorage elkülönített tárterületet érintő feladatok elvégzéséhez:

Az izolált tárolási osztályok lehetővé teszik az izolált tárolók létrehozását, enumerálását és törlését. A feladatok végrehajtásának módszerei az IsolatedStorageFile objektumon keresztül érhetők el. Egyes műveletekhez rendelkeznie kell az IsolatedStorageFilePermission izolált tárterület felügyeletére vonatkozó jogosultsággal; előfordulhat, hogy a fájlhoz vagy könyvtárhoz való hozzáféréshez operációsrendszer-jogosultsággal is rendelkeznie kell.

A gyakori izolált tárolási feladatokat bemutató példákért tekintse meg a kapcsolódó témakörökben felsorolt útmutatókat.

Az izolált tárolás forgatókönyvei

Az izolált tárolás számos esetben hasznos, beleértve a következő négy forgatókönyvet:

  • Letöltött vezérlők. Az internetről letöltött felügyelt kódvezérlők nem írhatnak a merevlemezre normál I/O-osztályokon keresztül, de izolált tárterületet használhatnak a felhasználók beállításainak és alkalmazásállapotainak megőrzéséhez.

  • Megosztott összetevők tárolója. Az alkalmazások között megosztott összetevők elkülönített tárterületet használhatnak az adattárakhoz való szabályozott hozzáférés biztosításához.

  • Kiszolgálói tárhely. A kiszolgálóalkalmazások elkülönített tárterületet használhatnak az alkalmazásra irányuló kéréseket küldő felhasználók nagy számának egyedi tárolóinak biztosításához. Mivel az elkülönített tárterületet a felhasználó mindig elkülöníti, a kiszolgálónak meg kell személyesítenie a kérést küldő felhasználót. Ebben az esetben az adatok elkülönítése a rendszerbiztonsági tag identitása alapján történik, amely ugyanaz az identitás, amelyet az alkalmazás a felhasználók megkülönböztetésére használ.

  • Barangoló. Az alkalmazások külön tárolót is használhatnak a központi felhasználói profilokkal. Ez lehetővé teszi, hogy a felhasználó izolált üzletei a profillal barangoljanak.

Ne használjon izolált tárolót a következő helyzetekben:

  • Nagy értékű titkos kulcsok, például titkosítatlan kulcsok vagy jelszavak tárolására, mivel az izolált tárterület nem védve van a magas megbízhatóságú kóddal, a nem felügyelt kódokkal vagy a számítógép megbízható felhasználóival.

  • Kód tárolása.

  • A konfigurációs és üzembehelyezési beállítások tárolásához, amelyeket a rendszergazdák szabályoznak. (A felhasználói beállítások nem tekinthetők konfigurációs beállításoknak, mert a rendszergazdák nem irányítják őket.)

Sok alkalmazás használ adatbázist az adatok tárolására és elkülönítésére, ebben az esetben az adatbázis egy vagy több sora egy adott felhasználó tárhelyét jelentheti. Dönthet úgy, hogy az adatbázis helyett elkülönített tárterületet használ, ha a felhasználók száma kicsi, ha az adatbázis használatának többletterhelése jelentős, vagy ha nincs adatbázis-létesítmény. Emellett, ha az alkalmazás rugalmasabb és összetettebb tárolást igényel, mint amit egy adatbázis egy sora biztosít, az izolált tárolás életképes alternatívát kínálhat.

Cím Leírás
Az elkülönítés típusai Az elkülönítés különböző típusait ismerteti.
Útmutató: Tárolók beszerzése izolált tároláshoz Példa a felhasználó és a szerelvény által elkülönített tároló beszerzésére az IsolatedStorageFile osztály használatával.
Útmutató: Tárolók számbavétele izolált tárolókhoz Bemutatja, hogyan számítható ki a IsolatedStorageFile.GetEnumerator felhasználó összes elkülönített tárolójának mérete a metódus használatával.
Útmutató: Tárolók törlése izolált tárolóban Bemutatja, hogyan használhatja a IsolatedStorageFile.Remove metódust két különböző módon az izolált tárolók törlésére.
Útmutató: A helykisüllyedés várható állapota izolált tárolással Bemutatja, hogyan mérheti meg a fennmaradó helyet egy elkülönített tárolóban.
Útmutató: Fájlok és könyvtárak létrehozása izolált tárolóban Példákat tartalmaz a fájlok és könyvtárak izolált tárolóban való létrehozására.
Útmutató: Meglévő fájlok és könyvtárak megkeresése izolált tárolóban Bemutatja, hogyan olvashatja el a könyvtárstruktúrát és a fájlokat az izolált tárolóban.
Útmutató: Olvasás és írás fájlokba izolált tárolóban Példa egy sztring egy izolált tárolófájlba való írására és visszaolvasására.
Útmutató: Fájlok és könyvtárak törlése izolált tárolóban Bemutatja, hogyan törölhetők az izolált tárolófájlok és könyvtárak.
Fájl és stream I/O Ismerteti, hogyan végezhet szinkron és aszinkron fájl- és adatfolyam-hozzáférést.

Referencia