Condividi tramite


Amministrazione mediante gli attributi dei gruppi di codice

Nota importanteImportante

In .NET Framework versione 4, Common Language Runtime non fornisce più criteri di sicurezza per i computer.È consigliabile l'utilizzo di criteri di restrizione software Windows in sostituzione dei criteri di sicurezza CLR.Le informazioni incluse in questo argomento si applicano a .NET Framework 3.5 e versioni precedenti e non alle versioni 4 e successive.Per ulteriori informazioni su questa e altre modifiche, vedere Modifiche della sicurezza in .NET Framework 4.

Si supponga che un amministratore aziendale sia responsabile dell'amministrazione dei criteri di sicurezza per una serie di workstation. In un tipico dominio aziendale, l'amministratore di rete dispone di privilegi amministrativi su ogni server e ogni client. Non è tuttavia raro che ai singoli utenti siano concessi privilegi amministrativi su una singola workstation. Questo significa che l'amministratore di rete dispone di privilegi amministrativi in base ai criteri definiti a livello aziendale, mentre l'amministratore di workstation dispone dei privilegi amministrativi in base ai criteri definiti a livello di computer. Apparentemente, in questa situazione, l'amministratore di rete dispone di un controllo maggiore sui criteri dal momento che quelli definiti a livello aziendale vengono valutati per primi e i criteri definiti a livello di computer non possono estendere il contenuto delle decisioni assunte in materia di sicurezza dall'amministratore aziendale. L'amministratore a livello di computer tuttavia può sempre rafforzare la sicurezza, con una possibile interruzione dell'esecuzione di applicazioni attendibili che sarebbero state, altrimenti, autorizzate all'esecuzione. Per questo motivo, a livelli di criteri superiori è possibile scegliere di escludere la valutazione delle decisioni assunte in materia di sicurezza a livelli inferiori.

A tale scopo, è possibile applicare l'attributo LevelFinal o Exclusive a un gruppo di codice mediante uno degli strumenti di gestione dei criteri di sicurezza.

Attributo LevelFinal

Quando viene applicato a un gruppo di codice, l'attributo LevelFinal esclude la valutazione dei livelli di criteri inferiori al livello corrente. Se, ad esempio, si applica l'attributo LevelFinal al gruppo di codice Intranet locale a livello aziendale, qualsiasi gruppo di codice appartenente al livello di computer non verrà valutato neanche nel caso in cui un amministratore a livello di computer abbia apportato modifiche. L'applicazione dell'attributo LevelFinal garantisce che un assembly associato a un gruppo di codice contrassegnato con tale attributo non riceva mai un numero minore di autorizzazioni in seguito a decisioni prese da un amministratore a un livello di criteri inferiore. Per informazioni sull'impostazione dell'attributo LevelFinal su un gruppo di codice predefinito o personalizzato, vedere lo strumento .NET Framework Configuration (Mscorcfg.msc) o lo strumento Criteri di sicurezza per l'accesso al codice (Caspol.exe).

Attributo Exclusive

Quando viene applicato a un gruppo di codice, l'attributo Exclusive impedisce che altri gruppi di codice allo stesso livello di criteri vengano presi in considerazione quando il runtime calcola le autorizzazioni per gli assembly contenuti nel gruppo di codice contrassegnato come Exclusive. I livelli di criteri superiori e inferiori a quello corrente continuano tuttavia a essere valutati. In base a questo attributo, le decisioni relative al livello di criteri corrente vengono determinate da un solo specifico gruppo di codice, indipendentemente dalle autorizzazioni concesse agli assembly corrispondenti a tale gruppo. Il suo utilizzo può essere particolarmente vantaggioso quando si desidera concedere un set specifico di autorizzazioni a specifici assembly, senza consentire le autorizzazioni previste da altre corrispondenze di gruppi di codice appartenenti allo stesso livello di criteri.

Non è consentita l'esecuzione di un assembly che appartenga a più gruppi di codice contrassegnati come Exclusive. È quindi necessario utilizzare l'attributo Exclusive con parsimonia quando si amministrano criteri di sicurezza personalizzati. Per informazioni sull'impostazione dell'attributo Exclusive su un gruppo di codice incorporato o personalizzato, vedere lo strumento .NET Framework Configuration (Mscorcfg.msc) o lo strumento Criteri di sicurezza per l'accesso al codice (Caspol.exe).

Vedere anche

Concetti

Attributi dei gruppi di codice

Gruppi di codice

Altre risorse

Amministrazione generale dei criteri di sicurezza

Procedure consigliate per i criteri di sicurezza