Menggunakan Kebijakan Pembatasan Perangkat Lunak di COM+
Menggunakan kebijakan pembatasan perangkat lunak dengan benar dapat membuat bisnis Anda lebih gesar karena menyediakan kerangka kerja proaktif untuk mencegah masalah, daripada kerangka kerja reaktif yang bergantung pada alternatif mahal untuk memulihkan sistem setelah masalah terjadi. Kebijakan pembatasan perangkat lunak diperkenalkan dengan rilis Microsoft Windows XP untuk membantu melindungi sistem dari kode yang tidak diketahui dan mungkin berbahaya. Kebijakan pembatasan menyediakan mekanisme di mana hanya kode tepercaya yang diberikan akses tidak terbatas ke hak istimewa pengguna. Kode yang tidak diketahui, yang mungkin berisi virus atau kode yang bertentangan dengan program yang saat ini diinstal, hanya diizinkan untuk berjalan di lingkungan yang dibatasi (sering disebut kotak pasir) di mana tidak diizinkan mengakses hak istimewa pengguna yang sensitif terhadap keamanan.
Kebijakan pembatasan perangkat lunak bergantung pada penetapan tingkat kepercayaan ke kode yang dapat berjalan pada sistem. Saat ini, ada dua tingkat kepercayaan: Tidak Dibatasi dan Tidak Diizinkan. Kode yang memiliki tingkat kepercayaan Tidak Terbatas diberikan akses tidak terbatas ke hak istimewa pengguna, sehingga tingkat kepercayaan ini harus diterapkan hanya ke kode yang sepenuhnya tepercaya. Kode dengan tingkat kepercayaan yang tidak diizinkan tidak diizinkan untuk mengakses hak istimewa pengguna yang sensitif terhadap keamanan dan hanya dapat berjalan di kotak pasir yang membantu mencegah kode Tidak Dibatasi memuat kode Yang Tidak Diizinkan ke ruang alamatnya.
Mengonfigurasi kebijakan pembatasan perangkat lunak untuk sistem dilakukan melalui alat administratif Kebijakan Keamanan Lokal, sementara konfigurasi kebijakan pembatasan aplikasi COM+ individu dilakukan baik secara terprogram atau melalui alat administratif Layanan Komponen. Jika tingkat kepercayaan kebijakan pembatasan tidak ditentukan untuk aplikasi COM+, pengaturan di seluruh sistem akan digunakan untuk menentukan tingkat kepercayaan aplikasi. Pengaturan kebijakan pembatasan COM+ harus dikoordinasikan dengan hati-hati dengan pengaturan di seluruh sistem karena aplikasi COM+ yang memiliki tingkat kepercayaan Tidak Terbatas hanya dapat memuat komponen dengan tingkat kepercayaan Tidak Terbatas; aplikasi COM+ yang tidak diizinkan dapat memuat komponen dengan tingkat kepercayaan apa pun tetapi tidak dapat mengakses semua hak istimewa pengguna.
Selain tingkat kepercayaan kebijakan pembatasan perangkat lunak dari aplikasi COM+ individual, dua properti lain menentukan bagaimana kebijakan pembatasan digunakan untuk semua aplikasi COM+. Jika SRPRunningObjectChecks diaktifkan, upaya untuk menyambungkan ke objek yang sedang berjalan akan diperiksa untuk tingkat kepercayaan yang sesuai. Objek yang sedang berjalan tidak boleh memiliki tingkat kepercayaan yang kurang ketat daripada objek klien. Misalnya, objek yang sedang berjalan tidak dapat memiliki tingkat kepercayaan yang tidak diizinkan jika objek klien memiliki tingkat kepercayaan Yang Tidak Dibatasi.
Properti kedua menentukan bagaimana kebijakan pembatasan perangkat lunak menangani koneksi aktifkan sebagai aktivator. Jika SRPActivateAsActivatorChecks diaktifkan, tingkat kepercayaan yang dikonfigurasi untuk objek server dibandingkan dengan tingkat kepercayaan objek klien dan tingkat kepercayaan yang lebih ketat akan digunakan untuk menjalankan objek server. Jika SRPActivateAsActivatorChecks tidak diaktifkan, objek server akan berjalan dengan tingkat kepercayaan objek klien terlepas dari tingkat kepercayaan yang dikonfigurasi. Secara default, SRPRunningObjectChecks dan SRPActivateAsActivatorChecks diaktifkan.
Topik terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk