Caspol.exe (Alat kebijakan keamanan akses kode)
Alat Kebijakan Keamanan Akses Kode (CAS) (Caspol.exe) memungkinkan pengguna dan administrator untuk memodifikasi kebijakan keamanan untuk tingkat kebijakan komputer, tingkat kebijakan pengguna, dan tingkat kebijakan perusahaan.
Penting
Dimulai dengan .NET Framework 4, Caspol.exe tidak memengaruhi kebijakan CAS kecuali <elemen legacyCasPolicy> diatur ke true. Pengaturan apa pun yang ditampilkan atau dimodifikasi oleh CasPol.exe hanya akan memengaruhi aplikasi yang memilih untuk menggunakan kebijakan CAS.
Catatan
Keamanan Akses Kode (CAS) tidak digunakan lagi di semua versi .NET Framework dan .NET. Versi terbaru .NET tidak mematuhi anotasi CAS dan menghasilkan kesalahan jika API terkait CAS digunakan. Pengembang harus mencari cara alternatif untuk menyelesaikan tugas keamanan.
Catatan
Komputer 64-bit mencakup kebijakan keamanan versi 64-bit dan 32-bit. Untuk memastikan bahwa perubahan kebijakan Anda berlaku untuk aplikasi 32-bit dan 64-bit, jalankan versi 32-bit dan 64-bit Caspol.exe.
Alat Kebijakan Keamanan Akses Kode secara otomatis dipasang dengan .NET Framework dan dengan Visual Studio. Anda dapat menemukan Caspol.exe di %windir%\Microsoft.NET\Framework\version pada sistem 32-bit atau %windir%\Microsoft.NET\Framework64\version pada sistem 64-bit. (Misalnya, lokasinya adalah %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe untuk .NET Framework 4 pada sistem 64-bit.) Beberapa versi alat mungkin dipasang jika komputer Anda menjalankan beberapa versi .NET Framework berdampingan. Anda dapat menjalankan alat dari direktori pemasangan. Namun, kami sarankan Anda menggunakan Visual Studio Developer Command Prompt atau Visual Studio Developer PowerShell, yang tidak mengharuskan Anda untuk menavigasi ke folder pemasangan.
Pada perintah, masukkan berikut ini:
Sintaks
caspol [options]
Parameter
| Opsi | Deskripsi |
|---|---|
| -addfulltrust assembly_file or -af assembly_file |
Menambahkan assembly yang mengimplementasikan objek keamanan kustom (seperti izin kustom atau kondisi keanggotaan kustom) ke daftar assembly kepercayaan penuh untuk tingkat kebijakan tertentu. Argumen assembly_file menentukan assembly yang akan ditambahkan. Assembly harus ditandatangani dengan nama yang kuat. Anda dapat menandatangani assembly dengan nama yang kuat menggunakan Strong Name Tool (Sn.exe). Setiap kali kumpulan izin yang berisi izin kustom ditambahkan ke kebijakan, assembly yang menerapkan izin kustom harus ditambahkan ke daftar kepercayaan penuh untuk tingkat kebijakan tersebut. Assembly yang mengimplementasikan objek keamanan kustom (seperti grup kode kustom atau kondisi keanggotaan) yang digunakan dalam kebijakan keamanan (seperti kebijakan komputer) harus selalu ditambahkan ke daftar assembly kepercayaan penuh. Hati: Jika assembly yang mengimplementasikan objek keamanan kustom mereferensikan assembly lain, Anda harus terlebih dahulu menambahkan assembly yang dirujuk ke daftar assembly kepercayaan penuh. Objek keamanan kustom yang dibuat menggunakan referensi Visual Basic, C++, dan Jscript baik Microsoft.VisualBasic.dll, Microsoft.VisualC.dll, atau Microsoft.JScript.dll. Assembly ini tidak berada dalam daftar assembly kepercayaan penuh secara default. Anda harus menambahkan assembly yang sesuai ke daftar kepercayaan penuh sebelum menambahkan objek keamanan kustom. Kegagalan untuk melakukannya akan merusak sistem keamanan, menyebabkan semua assembly gagal dimuat. Dalam situasi ini, opsi Caspol.exe -all -reset tidak akan memperbaiki keamanan. Untuk memperbaiki keamanan, Anda harus mengedit file keamanan secara manual untuk menghapus objek keamanan kustom. |
| -addgroup {parent_label | parent_name} mship pset_name [flags] or -ag {parent_label | parent_name} mship pset_name [flags] |
Menambahkan grup kode baru ke hierarki grup kode. Anda dapat menentukan parent_label atau parent_name. Argumen parent_label menentukan label (seperti 1. atau 1.1.) dari grup kode yang merupakan induk grup kode yang ditambahkan. Argumen parent_label menentukan label (seperti 1. atau 1.1.) dari grup kode yang merupakan induk grup kode yang ditambahkan. Karena parent_label dan parent_name dapat digunakan secara bergantian, Caspol.exe harus dapat membedakannya. Oleh karena itu, parent_name tidak dapat dimulai dengan angka. Selain itu, parent_name hanya dapat berisi karakter A-Z, 0-9 dan garis bawah. Argumen mship menentukan kondisi keanggotaan untuk grup kode baru. Untuk informasi selengkapnya, lihat tabel argumen mship nanti di bagian ini. Argumen pset_name adalah nama kumpulan izin yang akan dikaitkan dengan grup kode baru. Anda juga dapat mengatur satu atau beberapa bendera untuk grup baru. Untuk informasi selengkapnya, lihat argumen tabel bendera nanti di bagian ini. |
| -addpset {psfile | psfile pset_name} or -ap {named_psfile psfile | pset_name} |
Menambahkan set izin bernama baru ke kebijakan. Set izin harus ditulis di XML dan disimpan dalam file .xml. Jika file XML berisi nama kumpulan izin, hanya file tersebut (psfile) yang ditentukan. Jika file XML tidak berisi nama set izin, Anda harus menentukan nama file XML (psfile) dan nama set izin (pset_name). Semua izin yang digunakan dalam set izin harus didefinisikan dalam rakitan yang terkandung dalam singgahan perakitan global. |
| -a[ll] | Menunjukkan bahwa semua opsi yang mengikuti opsi ini berlaku untuk kebijakan mesin, pengguna, dan perusahaan. Opsi -all selalu mengacu pada kebijakan pengguna yang saat ini masuk. Lihat opsi -customall untuk merujuk ke kebijakan pengguna pengguna selain pengguna saat ini. |
| -chggroup {label |name} {mship | pset_name | Bendera }or -cg {label |name} {mship | pset_name | Bendera } |
Mengubah kondisi keanggotaan grup kode, kumpulan izin, atau pengaturan bendera eksklusif, levelfinal, nama, atau deskripsi. Anda dapat menentukan label atau nama. Argumen label menentukan label (seperti 1. atau 1.1.) dari grup kode. Argumen nama menentukan nama grup kode yang akan diubah. Karena label dan name dapat digunakan secara bergantian, Caspol.exe harus dapat membedakannya. Oleh karena itu, name tidak dapat dimulai dengan angka. Selain itu, name hanya dapat berisi karakter A-Z, 0-9 dan garis bawah. Argumen pset_name menentukan nama kumpulan izin untuk dikaitkan dengan grup kode. Lihat tabel nanti di bagian ini untuk informasi tentang argumen mship dan bendera. |
| -chgpset psfile pset_name or -cp psfile pset_name |
Mengubah set izin bernama. Argumen psfile memasok definisi baru untuk kumpulan izin; ini adalah file set izin berseri dalam format XML. Argumen pset_name menentukan nama kumpulan izin yang ingin Anda ubah. |
| Jalur -customall or Jalur -ca |
Menunjukkan bahwa semua opsi berikut ini berlaku untuk komputer, perusahaan, dan kebijakan pengguna kustom yang ditentukan. Anda harus menentukan lokasi file konfigurasi keamanan pengguna kustom dengan argumen jalur. |
| -cu[stomuser] path | Memungkinkan administrasi kebijakan pengguna kustom yang bukan milik pengguna atas nama siapa Caspol.exe saat ini berjalan. Anda harus menentukan lokasi file konfigurasi keamanan pengguna kustom dengan argumen jalur. |
| -enterprise or -id |
Menunjukkan bahwa semua opsi yang mengikuti opsi ini berlaku untuk kebijakan tingkat perusahaan. Pengguna yang bukan administrator perusahaan tidak memiliki hak yang memadai untuk memodifikasi kebijakan perusahaan, meski mereka dapat melihatnya. Dalam skenario non-perusahaan, kebijakan ini, secara default, tidak mengganggu kebijakan komputer dan pengguna. |
| -e[xecution] {on | off} | Mengaktifkan atau menonaktifkan mekanisme yang memeriksa izin untuk dijalankan sebelum kode mulai dijalankan. Catatan: Sakelar ini dihapus dalam versi .NET Framework 4 dan yang lebih baru. |
| -f[orce] | Menekan pengujian penghapus sendiri alat dan mengubah kebijakan seperti yang ditentukan oleh pengguna. Biasanya, Caspol.exe memeriksa apakah ada perubahan kebijakan yang akan mencegah Caspol.exe itu sendiri berjalan dengan benar; jika demikian, Caspol.exe tidak menyimpan perubahan kebijakan dan mencetak pesan kesalahan. Untuk memaksa Caspol.exe mengubah kebijakan meski ini mencegah Caspol.exe itu sendiri berjalan, gunakan opsi –force . |
| -h[elp] | Menampilkan sintaks perintah dan opsi untuk Caspol.exe. |
| -l[ist] | Mencantumkan hierarki grup kode dan kumpulan izin untuk tingkat kebijakan komputer, pengguna, perusahaan, atau semua yang ditentukan. Caspol.exe menampilkan label grup kode terlebih dahulu, diikuti dengan nama, jika tidak null. |
| -listdescription or -ld |
Mencantumkan semua deskripsi grup kode untuk tingkat kebijakan yang ditentukan. |
| -listfulltrust or -lf |
Mencantumkan isi daftar assembly kepercayaan penuh untuk tingkat kebijakan yang ditentukan. |
| -listgroups or -lg |
Menampilkan grup kode dari tingkat kebijakan yang ditentukan atau semua tingkat kebijakan. Caspol.exe menampilkan label grup kode terlebih dahulu, diikuti dengan nama, jika tidak null. |
| -listpset or -lp | Menampilkan set izin untuk tingkat kebijakan yang ditentukan atau semua tingkat kebijakan. |
| -m[achine] | Menunjukkan bahwa semua opsi yang mengikuti opsi ini berlaku untuk kebijakan tingkat mesin. Pengguna yang bukan administrator perusahaan tidak memiliki hak yang memadai untuk memodifikasi kebijakan mesin, meski mereka dapat melihatnya. Untuk administrator, -machine adalah default. |
| -polchgprompt {on | off} or -pp {on | off} |
Mengaktifkan atau menonaktifkan perintah yang ditampilkan setiap kali Caspol.exe dijalankan menggunakan opsi yang akan menyebabkan perubahan kebijakan. |
| -quiet or -q |
Menonaktifkan permintaan yang biasanya ditampilkan untuk sementara waktu untuk opsi yang menyebabkan perubahan kebijakan. Pengaturan prompt perubahan global tidak berubah. Gunakan opsi hanya pada satu perintah untuk menghindari penonaktifan perintah untuk semua perintah Caspol.exe. |
| -r[ecover] | Memulihkan kebijakan dari file cadangan. Setiap kali perubahan kebijakan dilakukan, Caspol.exe menyimpan kebijakan lama dalam file cadangan. |
| -remfulltrust assembly_file or -rf assembly_file |
Menghapus assembly dari daftar kepercayaan penuh tingkat kebijakan. Operasi ini harus dilakukan jika kumpulan izin yang berisi izin kustom tidak lagi digunakan oleh kebijakan. Namun, Anda harus menghapus assembly yang menerapkan izin kustom dari daftar kepercayaan penuh hanya jika assembly tidak menerapkan izin kustom lain yang masih digunakan. Saat Anda menghapus assembly dari daftar, Anda juga harus menghapus assembly lain yang bergantung padanya. |
| -remgroup {label |name} or -rg {label | name} |
Menghapus grup kode yang ditentukan oleh label atau namanya. Jika grup kode yang ditentukan memiliki grup kode turunan, Caspol.exe juga menghapus semua grup kode turunan. |
| -rempset pset_name or -rp pset_name |
Menghapus kumpulan izin yang ditentukan dari kebijakan. Argumen pset_name menunjukkan izin mana yang diatur untuk dihapus. Caspol.exe menghapus kumpulan izin hanya jika tidak terkait dengan grup kode apa pun. Set izin default (bawaan) tidak dapat dihapus. |
| -reset or -rs |
Mengembalikan kebijakan ke status defaultnya dan mempertahankannya ke disk. Ini berguna setiap kali kebijakan yang diubah tampaknya berada di luar perbaikan dan Anda ingin memulai kembali dengan default pemasangan. Mengatur ulang juga dapat nyaman saat Anda ingin menggunakan kebijakan default sebagai titik awal untuk modifikasi pada file konfigurasi keamanan tertentu. Untuk informasi selengkapnya, lihat Mengedit File Konfigurasi Keamanan secara manual. |
| -resetlockdown or -rsld |
Mengembalikan kebijakan ke versi status default yang lebih ketat dan mempertahankannya ke disk; membuat cadangan kebijakan komputer sebelumnya dan mempertahankannya ke file yang disebut security.config.bac. Kebijakan terkunci mirip dengan kebijakan default, kecuali bahwa kebijakan tidak memberikan izin untuk kode dari zona Local Intranet, Trusted Sites, dan Internet dan grup kode yang sesuai tidak memiliki grup kode turunan. |
| -resolvegroup assembly_file or -rsg assembly_file |
Memperlihatkan grup kode tempat assembly tertentu (assembly_file) berada. Secara default, opsi ini menampilkan tingkat kebijakan komputer, pengguna, dan perusahaan tempat assembly berada. Untuk melihat hanya satu tingkat kebijakan, gunakan opsi ini dengan opsi -machine, -user, atau -enterprise . |
| -resolveperm assembly_file or -rsp assembly_file |
Menampilkan semua izin yang ditentukan (atau default) tingkat kebijakan keamanan akan memberikan assembly jika assembly diizinkan untuk berjalan. Argumen assembly_file menentukan assembly. Jika Anda menentukan opsi -all , Caspol.exe menghitung izin untuk assembly berdasarkan kebijakan pengguna, mesin, dan perusahaan; jika tidak, aturan perilaku default berlaku. |
| -s[ecurity] {on | off} | Mengaktifkan atau menonaktifkan keamanan akses kode. Menentukan opsi -s off tidak menonaktifkan keamanan berbasis peran. Catatan: Sakelar ini dihapus dalam versi .NET Framework 4 dan yang lebih baru. Perhatian: Saat keamanan akses kode dinonaktifkan, semua permintaan akses kode berhasil. Menonaktifkan keamanan akses kode membuat sistem rentan terhadap serangan oleh kode berbahaya seperti virus dan cacing. Menonaktifkan keamanan mendapatkan beberapa performa ekstra tetapi hanya boleh dilakukan saat langkah-langkah keamanan lain telah diambil untuk membantu memastikan keamanan sistem secara keseluruhan tidak dilanggar. Contoh tindakan pencegahan keamanan lainnya termasuk memutuskan sambungan dari jaringan publik, mengamankan komputer secara fisik, dan sebagainya. |
| -u[ser] | Menunjukkan bahwa semua opsi berikut ini berlaku untuk kebijakan tingkat pengguna untuk pengguna yang atas nama Caspol.exe sedang berjalan. Untuk pengguna nonadministratif, -pengguna adalah default. |
| -? | Menampilkan sintaks perintah dan opsi untuk Caspol.exe. |
Argumen mship, yang menentukan kondisi keanggotaan untuk grup kode, dapat digunakan dengan opsi -addgroup dan -chggroup . Setiap argumen mship diimplementasikan sebagai kelas .NET Framework. Untuk menentukan mship, gunakan salah satu berikut.
| Argumen | Deskripsi |
|---|---|
| -allcode | Menentukan semua kode. Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.AllMembershipCondition. |
| -appdir | Menentukan direktori aplikasi. Jika Anda menentukan –appdir sebagai kondisi keanggotaan, bukti URL kode dibandingkan dengan bukti direktori aplikasi dari kode tersebut. Jika kedua nilai bukti sama, kondisi keanggotaan ini terpenuhi. Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.ApplicationDirectoryMembershipCondition. |
| -xmlfile kustom | Menambahkan kondisi keanggotaan kustom. Argumen xmlfile wajib menentukan file .xml yang berisi serialisasi XML dari kondisi keanggotaan kustom. |
| -hash hashAlg {-hex hashValue-file | assembly_file } | Menentukan kode yang memiliki hash assembly yang diberikan. Untuk menggunakan hash sebagai kondisi keanggotaan grup kode, Anda harus menentukan nilai hash atau file assembly. Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.HashMembershipCondition. |
| -pub { -cert cert_file_name | -file signed_file_name-hex | hex_string } |
Menentukan kode yang memiliki penerbit perangkat lunak yang diberikan, seperti yang ditunjukkan oleh file sertifikat, tanda tangan pada file, atau representasi heksadesimal sertifikat X509. Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.PublisherMembershipCondition. |
| situs web -site | Menentukan kode yang memiliki situs asal yang diberikan. Contohnya:-site** www.proseware.comUntuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.SiteMembershipCondition. |
| -strong -file file_name {name-noname | } {version-noversion} | | Menentukan kode yang memiliki nama kuat tertentu, seperti yang ditunjuk oleh nama file, nama assembly sebagai string, dan versi assembly dalam format utama. turunan di bawah umur. build. revisi. Contohnya: -strong -file myAssembly.exe myAssembly 1.2.3.4 Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.StrongNameMembershipCondition. |
| -url URL | Menentukan kode yang berasal dari URL yang diberikan. URL harus menyertakan protokol, seperti http:// atau ftp://. Selain itu, karakter wildcard (*) dapat digunakan untuk menentukan beberapa assembly dari URL tertentu. Catatan: Karena URL dapat diidentifikasi menggunakan beberapa nama, menggunakan URL sebagai kondisi keanggotaan bukanlah cara yang aman untuk memastikan identitas kode. Jika memungkinkan, gunakan kondisi keanggotaan nama yang kuat, kondisi keanggotaan penerbit, atau kondisi keanggotaan hash. Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat System.Security.Policy.UrlMembershipCondition. |
| -zone zonename | Menentukan kode dengan zona asal yang diberikan. Argumen zonename dapat berupa salah satu nilai berikut: MyComputer, Intranet, Trusted, Internet, atau Untrusted. Untuk informasi selengkapnya tentang kondisi keanggotaan ini, lihat ZoneMembershipCondition Kelas. |
Argumen bendera , yang dapat digunakan dengan opsi –addgroup dan –chggroup , ditentukan menggunakan salah satu dari berikut ini.
| Argumen | Deskripsi |
|---|---|
| -description "description" | Jika digunakan dengan opsi –addgroup, menentukan deskripsi untuk grup kode yang akan ditambahkan. Jika digunakan dengan opsi –addgroup, menentukan deskripsi untuk grup kode yang akan ditambahkan. Argumen deskripsi harus diapit dalam tanda kutip ganda. |
| -exclusive {on|off} | Saat diatur ke aktif, menunjukkan bahwa hanya set izin yang terkait dengan grup kode yang Anda tambahkan atau ubah yang dipertimbangkan saat beberapa kode sesuai dengan kondisi keanggotaan grup kode. Saat opsi ini diatur ke nonaktif, Caspol.exe mempertimbangkan kumpulan izin semua grup kode yang cocok di tingkat kebijakan. |
| -levelfinal {on|off} | Saat diatur ke aktif, menunjukkan bahwa tidak ada tingkat kebijakan di bawah tingkat di mana grup kode yang ditambahkan atau diubah terjadi dipertimbangkan. Opsi ini biasanya digunakan pada tingkat kebijakan komputer. Misalnya, jika Anda mengatur bendera ini untuk grup kode di tingkat komputer dan beberapa kode cocok dengan kondisi keanggotaan grup kode ini, Caspol.exe tidak menghitung atau menerapkan kebijakan tingkat pengguna untuk kode ini. |
| -name "name" | Jika digunakan dengan opsi –addgroup, menentukan nama skrip untuk grup kode yang akan ditambahkan. Jika digunakan dengan opsi –addgroup, menentukan nama skrip untuk grup kode yang akan diedit. Argumen deskripsi harus diapit dalam tanda kutip ganda. Argumen nama tidak dapat dimulai dengan angka, dan hanya dapat berisi A-Z, 0-9, dan karakter garis bawah. Grup kode dapat dirujuk dengan nama ini alih-alih oleh label numeriknya. Nama ini juga sangat berguna untuk tujuan pembuatan skrip. |
Keterangan
Kebijakan keamanan dinyatakan menggunakan tiga tingkat kebijakan: kebijakan komputer, kebijakan pengguna, dan kebijakan perusahaan. Sekumpulan izin yang diterima assembly ditentukan oleh persimpangan set izin yang diizinkan oleh ketiga tingkat kebijakan ini. Setiap tingkat kebijakan diwakili oleh struktur hierarkis grup kode. Setiap grup kode memiliki kondisi keanggotaan yang menentukan kode mana yang merupakan anggota grup tersebut. Set izin bernama juga dikaitkan dengan setiap grup kode. Set izin ini menentukan izin yang diizinkan runtime bahasa umum yang memenuhi kondisi keanggotaan. Hierarki grup kode, bersama dengan set izin bernama terkait, menentukan dan memelihara setiap tingkat kebijakan keamanan. Anda dapat menggunakan opsi –user, -customuser, –machine dan -enterprise untuk mengatur tingkat kebijakan keamanan.
Untuk informasi selengkapnya tentang kebijakan keamanan dan bagaimana runtime menentukan izin mana yang akan diberikan ke kode, lihat Manajemen Kebijakan Keamanan.
Mereferensikan Grup Kode dan Set Izin
Untuk memfasilitasi referensi ke grup kode dalam hierarki, opsi -list menampilkan daftar grup kode yang diindentasi bersama dengan label numeriknya (1, 1.1, 1.1.1, dan sebagainya). Operasi baris perintah lainnya yang menargetkan grup kode juga menggunakan label numerik untuk merujuk ke grup kode tertentu.
Set izin bernama dirujuk oleh namanya. Opsi –list menampilkan daftar grup kode diikuti dengan daftar set izin bernama yang tersedia dalam kebijakan tersebut.
Perilaku Caspol.exe
Semua opsi kecuali -s[ecurity] {on | off} menggunakan versi .NET Framework yang dipasang Caspol.exe. Jika Anda menjalankan Caspol.exe yang dipasang dengan versi X runtime, perubahan hanya berlaku untuk versi tersebut. Pemasangan runtime berdampingan lainnya, jika ada, tidak terpengaruh. Jika Anda menjalankan Caspol.exe dari baris perintah tanpa berada dalam direktori untuk versi runtime tertentu, alat ini dijalankan dari direktori versi runtime pertama di jalur (biasanya versi runtime terbaru dipasang).
Opsi -s[ecurity] {on | off} adalah operasi di seluruh komputer. Menonaktifkan keamanan akses kode mengakhiri pemeriksaan keamanan untuk semua kode terkelola dan untuk semua pengguna di komputer. Jika versi berdampingan dari .NET Framework dipasang, perintah ini menonaktifkan keamanan untuk setiap versi yang dipasang di komputer. Meskipun opsi -list menunjukkan bahwa keamanan dimatikan, tidak ada yang lain dengan jelas menunjukkan untuk pengguna lain bahwa keamanan telah dinonaktifkan.
Saat pengguna tanpa hak administratif berjalan Caspol.exe, semua opsi merujuk ke kebijakan tingkat pengguna kecuali opsi -machine ditentukan. Saat pengguna tanpa hak administratif berjalan Caspol.exe, semua opsi merujuk ke kebijakan tingkat pengguna kecuali opsi -machine ditentukan.
Caspol.exe harus diberikan setara dengan izin Semuanya yang diatur ke fungsi. Alat ini memiliki mekanisme pelindung yang mencegah kebijakan dimodifikasi dengan cara yang akan mencegah Caspol.exe diberikan izin yang perlu dijalankan. Jika Anda mencoba membuat perubahan tersebut, Caspol.exe memberi tahu Anda bahwa perubahan kebijakan yang diminta akan merusak alat, dan perubahan kebijakan ditolak. Anda dapat menonaktifkan mekanisme pelindung ini untuk perintah tertentu dengan menggunakan opsi –force.
Mengedit File Konfigurasi Keamanan Secara Manual
Tiga file konfigurasi keamanan sesuai dengan tiga tingkat kebijakan yang didukung oleh Caspol.exe: satu untuk kebijakan komputer, satu untuk kebijakan pengguna tertentu, dan satu untuk kebijakan perusahaan. File-file ini dibuat pada disk hanya saat kebijakan komputer, pengguna, atau perusahaan diubah menggunakan Caspol.exe. Anda dapat menggunakan opsi –reset di Caspol.exe untuk menyimpan kebijakan keamanan default ke disk, jika diperlukan.
Dalam kebanyakan kasus, mengedit file konfigurasi keamanan secara manual tidak disarankan. Tetapi mungkin ada skenario di mana memodifikasi file-file ini menjadi diperlukan, seperti saat administrator ingin mengedit konfigurasi keamanan untuk pengguna tertentu.
Contoh
-addfulltrust
Asumsikan bahwa kumpulan izin yang berisi izin kustom telah ditambahkan ke kebijakan komputer. Izin kustom ini diimplementasikan di MyPerm.exe, dan MyPerm.exe mereferensikan kelas di MyOther.exe. Kedua assembly harus ditambahkan ke daftar assembly kepercayaan penuh. Perintah berikut menambahkan assembly MyPerm.exe ke daftar kepercayaan penuh untuk kebijakan komputer.
caspol -machine -addfulltrust MyPerm.exe
Perintah berikut menambahkan assembly MyOther.exe ke daftar kepercayaan penuh untuk kebijakan komputer.
caspol -machine -addfulltrust MyOther.exe
-addgroup
Perintah berikut menambahkan grup kode turunan ke root hierarki grup kode kebijakan komputer. Grup kode baru adalah anggota zona Internet dan dikaitkan dengan kumpulan izin Eksekusi .
caspol -machine -addgroup 1. -zone Internet Execution
Perintah berikut menambahkan grup kode turunan yang memberikan izin intranet lokal berbagi \\netserver\netshare.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
Perintah berikut menambahkan izin yang Mypset diatur ke kebijakan pengguna.
caspol -user -addpset Mypset.xml Mypset
-chggroup
Perintah berikut mengubah set izin dalam kebijakan pengguna grup kode berlabel 1.2. ke set izin Eksekusi.
caspol -user -chggroup 1.2. Execution
Perintah berikut mengubah kondisi keanggotaan dalam kebijakan default grup kode berlabel 1.2.1. dan mengubah pengaturan bendera eksklusif. Kondisi keanggotaan didefinisikan sebagai kode yang berasal dari zona Internet dan bendera eksklusif diaktifkan.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
Perintah berikut mengubah kumpulan izin dengan nama Mypset ke kumpulan izin yang terkandung dalam newpset.xml. Perhatikan bahwa rilis saat ini tidak mendukung perubahan kumpulan izin yang sedang digunakan oleh hierarki grup kode.
caspol -chgpset Mypset newpset.xml
-force
Perintah berikut menyebabkan grup kode root kebijakan pengguna (berlabel 1) dikaitkan dengan kumpulan izin tidak bernama. Ini mencegah Caspol.exe berjalan.
caspol -force -user -chggroup 1 Nothing
-recover
Perintah berikut memulihkan kebijakan komputer yang terakhir disimpan.
caspol -machine -recover
-remgroup
Perintah berikut menghapus grup kode berlabel 1.1. Jika grup kode ini memiliki grup kode turunan, grup tersebut juga akan dihapus.
caspol -remgroup 1.1.
-rempset
Perintah berikut menghapus izin Eksekusi yang ditetapkan dari kebijakan pengguna.
caspol -user -rempset Execution
Perintah berikut ini dihapus Mypset dari tingkat kebijakan pengguna.
caspol -rempset MyPset
-resolvegroup
Perintah berikut menunjukkan semua grup kode kebijakan komputer miliknya myassembly.
caspol -machine -resolvegroup myassembly
Perintah berikut menunjukkan semua grup kode komputer, perusahaan, dan kebijakan pengguna kustom tertentu yang myassembly termasuk dalamnya.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
Perintah berikut menghitung izin testassembly berdasarkan tingkat kebijakan komputer dan pengguna.
caspol -all -resolveperm testassembly
