Caspol.exe (hulpprogramma voor beveiligingsbeleid voor codetoegang)
Met het hulpprogramma Beleid voor codetoegangsbeveiliging (CAS) (Caspol.exe) kunnen gebruikers en beheerders beveiligingsbeleid wijzigen voor het computerbeleidsniveau, het gebruikersbeleidsniveau en het niveau van het ondernemingsbeleid.
Belangrijk
Vanaf .NET Framework 4 heeft Caspol.exe geen invloed op cas-beleid, tenzij het verouderdeCasPolicy-element> is ingesteld op true.< Alle instellingen die door CasPol.exe worden weergegeven of gewijzigd, zijn alleen van invloed op toepassingen die kiezen voor het gebruik van CAS-beleid.
Notitie
Cas (Code Access Security) is afgeschaft in alle versies van .NET Framework en .NET. Recente versies van .NET respecteren geen CAS-aantekeningen en produceren fouten als CAS-gerelateerde API's worden gebruikt. Ontwikkelaars moeten alternatieve manieren zoeken om beveiligingstaken uit te voeren.
Notitie
64-bits computers bevatten zowel 64-bits als 32-bits versies van beveiligingsbeleid. Als u ervoor wilt zorgen dat uw beleidswijzigingen van toepassing zijn op zowel 32-bits als 64-bits toepassingen, voert u zowel de 32-bits als de 64-bits versie van Caspol.exe uit.
Het hulpprogramma Code Access Security Policy wordt automatisch geïnstalleerd met .NET Framework en met Visual Studio. U vindt Caspol.exe in %windir%\Microsoft.NET\Framework\version op 32-bits systemen of %windir%\Microsoft.NET\Framework64\version op 64-bits systemen. (De locatie is bijvoorbeeld %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe voor .NET Framework 4 op een 64-bits systeem.) Er kunnen meerdere versies van het hulpprogramma worden geïnstalleerd als op uw computer meerdere versies van .NET Framework naast elkaar worden uitgevoerd. U kunt het hulpprogramma uitvoeren vanuit de installatiemap. Het is echter raadzaam om Visual Studio Developer Command Prompt of Visual Studio Developer PowerShell te gebruiken. Hiervoor hoeft u niet naar de installatiemap te navigeren.
Typ het volgende bij de opdrachtprompt:
Syntaxis
caspol [options]
Parameters
| Optie | Omschrijving |
|---|---|
| -addfulltrust assembly_file or -af assembly_file |
Hiermee voegt u een assembly toe waarmee een aangepast beveiligingsobject (zoals een aangepaste machtiging of een aangepaste lidmaatschapsvoorwaarde) wordt geïmplementeerd in de lijst met volledige vertrouwensrelaties voor een specifiek beleidsniveau. Het argument assembly_file geeft de assembly op die moet worden toegevoegd. Dit bestand moet zijn ondertekend met een sterke naam. U kunt een assembly ondertekenen met een sterke naam met behulp van het hulpprogramma Sterke naam (Sn.exe). Wanneer een machtigingenset met een aangepaste machtiging wordt toegevoegd aan beleid, moet de assembly die de aangepaste machtiging implementeert, worden toegevoegd aan de lijst met volledige vertrouwensrelaties voor dat beleidsniveau. Assembly's die aangepaste beveiligingsobjecten (zoals aangepaste codegroepen of lidmaatschapsvoorwaarden) implementeren die worden gebruikt in een beveiligingsbeleid (zoals het computerbeleid), moeten altijd worden toegevoegd aan de lijst met volledige vertrouwensrelaties. Let op: als de assembly die het aangepaste beveiligingsobject implementeert naar andere assembly's verwijst, moet u eerst de assembly's waarnaar wordt verwezen, toevoegen aan de lijst met assembly's met volledige vertrouwensrelaties. Aangepaste beveiligingsobjecten die zijn gemaakt met visual Basic, C++en JScript, respectievelijk Microsoft.VisualBasic.dll, Microsoft.VisualC.dll of Microsoft.JScript.dll. Deze assembly's staan niet standaard in de volledige lijst met assembly's. U moet de juiste assembly toevoegen aan de lijst met volledige vertrouwensrelaties voordat u een aangepast beveiligingsobject toevoegt. Als u dit niet doet, wordt het beveiligingssysteem verbroken, waardoor alle assembly's niet kunnen worden geladen. In deze situatie herstelt de optie Caspol.exe -all -reset geen beveiliging. Als u de beveiliging wilt herstellen, moet u de beveiligingsbestanden handmatig bewerken om het aangepaste beveiligingsobject te verwijderen. |
| -addgroup {parent_label | parent_name} mship pset_name [vlaggen] or -ag {parent_label | parent_name} pset_name [vlaggen] |
Hiermee voegt u een nieuwe codegroep toe aan de hiërarchie van de codegroep. U kunt de parent_label of parent_name opgeven. Het argument parent_label geeft het label (zoals 1. of 1.1.) op van de codegroep die het bovenliggende element is van de codegroep die wordt toegevoegd. Het argument parent_name geeft de naam op van de codegroep die het bovenliggende element is van de codegroep die wordt toegevoegd. Omdat parent_label en parent_name door elkaar kunnen worden gebruikt, moet Caspol.exe er onderscheid tussen kunnen maken. Daarom kan parent_name niet beginnen met een getal. Daarnaast kan parent_name alleen A-Z, 0-9 en het onderstrepingsteken bevatten. Het argument mship geeft de lidmaatschapsvoorwaarde voor de nieuwe codegroep op. Zie de tabel met mship-argumenten verderop in deze sectie voor meer informatie. Het argument pset_name is de naam van de machtigingenset die wordt gekoppeld aan de nieuwe codegroep. U kunt ook een of meer vlaggen instellen voor de nieuwe groep. Zie de tabel met vlagargumenten verderop in deze sectie voor meer informatie. |
| -addpset {psfile | psfile pset_name} or -ap {named_psfile psfile | pset_name} |
Hiermee voegt u een nieuwe benoemde machtigingenset toe aan beleid. De machtigingenset moet worden gemaakt in XML en opgeslagen in een .xml-bestand. Als het XML-bestand de naam van de machtigingenset bevat, wordt alleen dat bestand (psfile) opgegeven. Als het XML-bestand niet de naam van de machtigingenset bevat, moet u zowel de naam van het XML-bestand (psfile) als de naam van de machtigingenset (pset_name) opgeven. Alle machtigingen die in een machtigingenset worden gebruikt, moeten worden gedefinieerd in assembly's die zijn opgenomen in de globale assemblycache. |
| -a[ll] | Hiermee wordt aangegeven dat alle opties die volgen op de computer, gebruiker en ondernemingsbeleid van toepassing zijn. De optie -all verwijst altijd naar het beleid van de momenteel aangemelde gebruiker. Zie de optie -customall om te verwijzen naar het gebruikersbeleid van een andere gebruiker dan de huidige gebruiker. |
| -chggroup {label |name} {mship | pset_name | Vlaggen }or -cg {label |name} {mship | pset_name | Vlaggen } |
Hiermee wijzigt u de lidmaatschapsvoorwaarde van een codegroep, de machtigingenset of de instellingen van de exclusieve, niveaugebonden, naam- of beschrijvingsvlagmen. U kunt het label of de naam opgeven. Het labelargument geeft het label (zoals 1. of 1.1.) van de codegroep op. Het naamargument geeft de naam op van de codegroep die moet worden gewijzigd. Omdat label en naam door elkaar kunnen worden gebruikt, moeten Caspol.exe er onderscheid tussen kunnen maken. Daarom kan de naam niet beginnen met een getal. Daarnaast kan de naam alleen A-Z, 0-9 en het onderstrepingsteken bevatten. Het argument pset_name geeft de naam op van de machtigingenset die aan de codegroep moet worden gekoppeld. Zie de tabellen verderop in deze sectie voor informatie over de argumenten mship en vlaggen . |
| -chgpset psfile pset_name or -cp psfile pset_name |
Hiermee wijzigt u een benoemde machtigingenset. Het argument psfile levert de nieuwe definitie voor de machtigingenset. Het is een geserialiseerd machtigingensetbestand in XML-indeling. Het argument pset_name geeft de naam op van de machtigingenset die u wilt wijzigen. |
| -customall-pad or -ca-pad |
Geeft aan dat alle opties die volgen op deze van toepassing zijn op de computer, onderneming en het opgegeven aangepaste gebruikersbeleid. U moet de locatie van het beveiligingsconfiguratiebestand van de aangepaste gebruiker opgeven met het padargument . |
| -cu[stomuser] pad | Hiermee staat u het beheer van een aangepast gebruikersbeleid toe dat niet tot de gebruiker behoort namens wie Caspol.exe momenteel wordt uitgevoerd. U moet de locatie van het beveiligingsconfiguratiebestand van de aangepaste gebruiker opgeven met het padargument . |
| -onderneming or -Nl |
Geeft aan dat alle opties die volgen op dit beleid van toepassing zijn op het beleid op ondernemingsniveau. Gebruikers die geen ondernemingsbeheerders zijn, hebben niet voldoende rechten om het ondernemingsbeleid te wijzigen, hoewel ze het kunnen bekijken. In niet-bedrijfsscenario's is dit beleid standaard niet van invloed op computer- en gebruikersbeleid. |
| -e[xecution] { | on off} | Hiermee schakelt u het mechanisme in of uit waarmee wordt gecontroleerd of de machtiging moet worden uitgevoerd voordat de code wordt uitgevoerd. Opmerking: deze switch wordt verwijderd in .NET Framework 4 en latere versies. |
| -f[orce] | Onderdrukt de zelfvernietigingstest van het hulpprogramma en wijzigt het beleid zoals opgegeven door de gebruiker. Normaal gesproken controleert Caspol.exe of beleidswijzigingen verhinderen dat Caspol.exe zelf correct wordt uitgevoerd; als dat het zo is, slaat Caspol.exe de beleidswijziging niet op en wordt er een foutbericht afgedrukt. Als u wilt afdwingen dat Caspol.exe beleid wijzigt, zelfs als dit voorkomt dat Caspol.exe zelf wordt uitgevoerd, gebruikt u de optie –force . |
| -h[elp] | Geeft de opdrachtsyntaxis en opties weer voor Caspol.exe. |
| -l[ist] | Een lijst met de hiërarchie van de codegroep en de machtigingensets voor de opgegeven computer, gebruiker, onderneming of alle beleidsniveaus. Caspol.exe geeft eerst het label van de codegroep weer, gevolgd door de naam, als deze niet null is. |
| -listdescription or -Ld |
Bevat alle beschrijvingen van codegroepen voor het opgegeven beleidsniveau. |
| -listfulltrust or -Lf |
Geeft de inhoud van de assemblylijst met volledige vertrouwensrelaties weer voor het opgegeven beleidsniveau. |
| -listgroups or -Lg |
Geeft de codegroepen van het opgegeven beleidsniveau of alle beleidsniveaus weer. Caspol.exe geeft eerst het label van de codegroep weer, gevolgd door de naam, als deze niet null is. |
| -listpset of -lp | Geeft de machtigingensets weer voor het opgegeven beleidsniveau of alle beleidsniveaus. |
| -m[achine] | Geeft aan dat alle opties die volgen op dit beleid van toepassing zijn op het beleid op computerniveau. Gebruikers die geen beheerders zijn, hebben niet voldoende rechten om het computerbeleid te wijzigen, hoewel ze het kunnen bekijken. Voor beheerders is -machine de standaardinstelling. |
| -polchgprompt {on | off} or -pp {on | off} |
Hiermee schakelt u de prompt in of uit die wordt weergegeven wanneer Caspol.exe wordt uitgevoerd met behulp van een optie die beleidswijzigingen zou veroorzaken. |
| -rustig or -q |
Schakelt tijdelijk de prompt uit die normaal gesproken wordt weergegeven voor een optie die beleidswijzigingen veroorzaakt. De algemene wijzigingspromptinstelling wordt niet gewijzigd. Gebruik de optie slechts op één opdrachtbasis om te voorkomen dat de prompt voor alle Caspol.exe opdrachten wordt uitgeschakeld. |
| -r[ecover] | Herstelt beleid uit een back-upbestand. Wanneer er een beleidswijziging wordt aangebracht, Caspol.exe het oude beleid opslaat in een back-upbestand. |
| -remfulltrust assembly_file or -rf assembly_file |
Hiermee verwijdert u een assembly uit de lijst met volledige vertrouwensrelaties van een beleidsniveau. Deze bewerking moet worden uitgevoerd als een machtigingenset met een aangepaste machtiging niet meer wordt gebruikt door beleid. U moet echter een assembly verwijderen die een aangepaste machtiging implementeert uit de lijst met volledige vertrouwensrelaties als de assembly geen andere aangepaste machtigingen implementeert die nog steeds worden gebruikt. Wanneer u een assembly uit de lijst verwijdert, moet u ook andere assembly's verwijderen waarop deze afhankelijk is. |
| -remgroup {label |name} or -rg {label | name} |
Hiermee verwijdert u de codegroep die is opgegeven met het label of de naam. Als de opgegeven codegroep onderliggende codegroepen bevat, verwijdert Caspol.exe ook alle onderliggende codegroepen. |
| -pset_name opnieuw instellen or -rp pset_name |
Hiermee verwijdert u de opgegeven machtigingenset uit beleid. Het argument pset_name geeft aan welke machtigingen zijn ingesteld om te verwijderen. Caspol.exe verwijdert de machtigingenset alleen als deze niet is gekoppeld aan een codegroep. De standaardmachtigingensets (ingebouwd) kunnen niet worden verwijderd. |
| -terugstellen or -Rs |
Retourneert beleid naar de standaardstatus en bewaart het op schijf. Dit is handig wanneer een gewijzigd beleid niet meer kan worden hersteld en u opnieuw wilt beginnen met de standaardinstellingen voor de installatie. Opnieuw instellen kan ook handig zijn als u het standaardbeleid wilt gebruiken als uitgangspunt voor wijzigingen in specifieke beveiligingsconfiguratiebestanden. Zie De beveiligingsconfiguratiebestanden handmatig bewerken voor meer informatie. |
| -resetlockdown or -rsld |
Retourneert beleid naar een meer beperkende versie van de standaardstatus en bewaart het op schijf; maakt een back-up van het vorige computerbeleid en blijft deze behouden in een bestand met de naam security.config.bac. Het vergrendelde beleid is vergelijkbaar met het standaardbeleid, behalve dat het beleid geen toestemming verleent voor code van de Local Intranet, Trusted Sitesen Internet zones en de bijbehorende codegroepen geen onderliggende codegroepen hebben. |
| -resolvegroup assembly_file or -rsg assembly_file |
Toont de codegroepen waartoe een specifieke assembly (assembly_file) behoort. Met deze optie worden standaard de beleidsniveaus voor computers, gebruikers en ondernemingen weergegeven waartoe de assembly behoort. Als u slechts één beleidsniveau wilt weergeven, gebruikt u deze optie met de optie -machine, -user of -enterprise . |
| -resolveperm-assembly_file or -rsp assembly_file |
Geeft alle machtigingen weer die door het opgegeven (of standaard) beveiligingsbeleid de assembly worden verleend als de assembly mag worden uitgevoerd. Het argument assembly_file geeft de assembly aan. Als u de optie -all opgeeft, Caspol.exe de machtigingen voor de assembly berekent op basis van het beleid voor gebruikers, computers en ondernemingen. Anders zijn standaardgedragsregels van toepassing. |
| -s[ecurity] {on | off} | Hiermee schakelt u beveiliging van codetoegang in of uit. Als u de optie -s off opgeeft, wordt beveiliging op basis van rollen niet uitgeschakeld. Opmerking: deze switch wordt verwijderd in .NET Framework 4 en latere versies. Waarschuwing: wanneer de beveiliging van codetoegang is uitgeschakeld, slagen alle vereisten voor codetoegang. Door codetoegangsbeveiliging uit te schakelen, is het systeem kwetsbaar voor aanvallen door schadelijke code, zoals virussen en wormen. Het uitschakelen van beveiliging zorgt voor extra prestaties, maar moet alleen worden uitgevoerd wanneer er andere beveiligingsmaatregelen zijn genomen om ervoor te zorgen dat de algehele systeembeveiliging niet wordt geschonden. Voorbeelden van andere voorzorgsmaatregelen zijn het verbreken van de verbinding met openbare netwerken, het fysiek beveiligen van computers, enzovoort. |
| -u[ser] | Geeft aan dat alle opties die dit volgen van toepassing zijn op het beleid op gebruikersniveau voor de gebruiker namens wie Caspol.exe wordt uitgevoerd. Voor niet-beheerders is -gebruiker de standaardinstelling. |
| -? | Geeft de opdrachtsyntaxis en opties weer voor Caspol.exe. |
Het argument mship , waarmee de lidmaatschapsvoorwaarde voor een codegroep wordt opgegeven, kan worden gebruikt met de opties -addgroup en -chggroup . Elk mship-argument wordt geïmplementeerd als een .NET Framework-klasse. Gebruik een van de volgende opties om mship op te geven.
| Argument | Beschrijving |
|---|---|
| -allcode | Hiermee geeft u alle code. Zie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.AllMembershipCondition. |
| -appdir | Hiermee geeft u de toepassingsmap. Als u –appdir opgeeft als lidmaatschapsvoorwaarde, wordt het URL-bewijs van code vergeleken met het bewijs van de toepassingsmap van die code. Als beide bewijswaarden hetzelfde zijn, wordt aan deze lidmaatschapsvoorwaarde voldaan. Zie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.ApplicationDirectoryMembershipCondition. |
| -aangepast xml-bestand | Voegt een aangepaste lidmaatschapsvoorwaarde toe. Het verplichte xmlfile-argument geeft het .xml-bestand op dat XML-serialisatie van de aangepaste lidmaatschapsvoorwaarde bevat. |
| -hashAlg {-hex hashValue-file | assembly_file } | Hiermee geeft u code op die de opgegeven assembly-hash heeft. Als u een hash wilt gebruiken als voorwaarde voor lidmaatschap van een codegroep, moet u de hash-waarde of het assemblybestand opgeven. Zie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.HashMembershipCondition. |
| -pub { -cert cert_file_name | -file signed_file_name-hex | hex_string } |
Hiermee geeft u code op die de opgegeven software-uitgever heeft, zoals aangegeven door een certificaatbestand, een handtekening op een bestand of de hexadecimale weergave van een X509-certificaat. Zie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.PublisherMembershipCondition. |
| -sitewebsite | Hiermee geeft u code op die de opgegeven site van oorsprong heeft. Voorbeeld:-site** www.proseware.comZie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.SiteMembershipCondition. |
| -strong -file file_name {name-noname | } {version-noversion} | | Hiermee geeft u code op die een specifieke sterke naam heeft, zoals aangegeven door de bestandsnaam, de assemblynaam als een tekenreeks en de assemblyversie in de primaire indeling.minor.build.revisie. Voorbeeld: -strong -file myAssembly.exe myAssembly 1.2.3.4 Zie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.StrongNameMembershipCondition. |
| -URL | Hiermee geeft u code op die afkomstig is van de opgegeven URL. De URL moet een protocol bevatten, zoals http:// of ftp://. Daarnaast kan een jokerteken (*) worden gebruikt om meerdere assembly's van een bepaalde URL op te geven. Opmerking: omdat een URL kan worden geïdentificeerd met meerdere namen, is het gebruik van een URL als lidmaatschapsvoorwaarde geen veilige manier om de identiteit van code vast te stellen. Gebruik waar mogelijk een voorwaarde voor een sterk naamlidmaatschap, een lidmaatschapsvoorwaarde van de uitgever of de hash-lidmaatschapsvoorwaarde. Zie voor meer informatie over deze lidmaatschapsvoorwaarde System.Security.Policy.UrlMembershipCondition. |
| -zonenaam | Hiermee geeft u code met de opgegeven zone van oorsprong. Het argument zonenaam kan een van de volgende waarden zijn: MyComputer, Intranet, Vertrouwd, Internet of Niet-vertrouwd. Zie de ZoneMembershipCondition klasse voor meer informatie over deze lidmaatschapsvoorwaarde. |
Het argument vlaggen, dat kan worden gebruikt met de opties –addgroup en –chggroup, wordt opgegeven met een van de volgende opties.
| Argument | Beschrijving |
|---|---|
| -description "description" | Als deze wordt gebruikt met de optie –addgroup , geeft u de beschrijving op voor een codegroep die moet worden toegevoegd. Als deze wordt gebruikt met de optie –chggroup , geeft u de beschrijving op voor een codegroep die moet worden bewerkt. Het beschrijvingsargument moet tussen dubbele aanhalingstekens staan. |
| -exclusieve {on|off} | Wanneer deze is ingesteld op aan, geeft u aan dat alleen de machtigingenset die is gekoppeld aan de codegroep die u toevoegt of wijzigt, wordt overwogen wanneer bepaalde code past bij de lidmaatschapsvoorwaarde van de codegroep. Wanneer deze optie is uitgeschakeld, Caspol.exe rekening houdt met de machtigingensets van alle overeenkomende codegroepen op het beleidsniveau. |
| -levelfinal {on|off} | Wanneer dit is ingesteld op Ingeschakeld, wordt aangegeven dat er geen beleidsniveau onder het niveau wordt overwogen waarin de toegevoegde of gewijzigde codegroep wordt overwogen. Deze optie wordt doorgaans gebruikt op machinebeleidsniveau. Als u deze vlag bijvoorbeeld instelt voor een codegroep op computerniveau en sommige code overeenkomt met de lidmaatschapsvoorwaarde van deze codegroep, worden Caspol.exe het beleid op gebruikersniveau voor deze code niet berekend of toegepast. |
| -name "name" | Als deze wordt gebruikt met de optie –addgroup , geeft u de scriptnaam op voor een codegroep die moet worden toegevoegd. Als deze wordt gebruikt met de optie -chggroup , geeft u de scriptnaam op voor een codegroep die moet worden bewerkt. Het naamargument moet tussen dubbele aanhalingstekens staan. Het naamargument kan niet beginnen met een getal en mag alleen A-Z, 0-9 en het onderstrepingsteken bevatten. Codegroepen kunnen worden verwezen door deze naam in plaats van hun numerieke label. De naam is ook zeer nuttig voor scriptdoeleinden. |
Opmerkingen
Beveiligingsbeleid wordt uitgedrukt met behulp van drie beleidsniveaus: computerbeleid, gebruikersbeleid en ondernemingsbeleid. De set machtigingen die een assembly ontvangt, wordt bepaald door het snijpunt van de machtigingensets die door deze drie beleidsniveaus zijn toegestaan. Elk beleidsniveau wordt vertegenwoordigd door een hiërarchische structuur van codegroepen. Elke codegroep heeft een lidmaatschapsvoorwaarde die bepaalt welke code lid is van die groep. Een benoemde machtigingenset is ook gekoppeld aan elke codegroep. Deze machtigingenset specificeert de machtigingen die de runtime toestaat code die voldoet aan de lidmaatschapsvoorwaarde. Een codegroephiërarchie, samen met de bijbehorende benoemde machtigingensets, definieert en onderhoudt elk beveiligingsbeleidsniveau. U kunt de opties –user, -customuser, –machine en -enterprise gebruiken om het beveiligingsbeleidsniveau in te stellen.
Zie Security Policy Management voor meer informatie over beveiligingsbeleid en hoe de runtime bepaalt welke machtigingen aan code moeten worden verleend.
Verwijzen naar codegroepen en machtigingensets
Om verwijzingen naar codegroepen in een hiërarchie mogelijk te maken, geeft de optie -list een ingesprongen lijst met codegroepen weer, samen met de bijbehorende numerieke labels (1, 1.1, 1.1.1 enzovoort). De andere opdrachtregelbewerkingen die doelcodegroepen gebruiken, gebruiken ook de numerieke labels om te verwijzen naar specifieke codegroepen.
Er wordt naar benoemde machtigingensets verwezen door hun namen. Met de optie –list wordt de lijst met codegroepen weergegeven, gevolgd door een lijst met benoemde machtigingensets die beschikbaar zijn in dat beleid.
Caspol.exe gedrag
Alle opties behalve -s[ecurity] {on | off} gebruiken de versie van het .NET Framework waarmee Caspol.exe is geïnstalleerd. Als u de Caspol.exe uitvoert die is geïnstalleerd met versie X van de runtime, zijn de wijzigingen alleen van toepassing op die versie. Andere installaties naast elkaar van de runtime, indien aanwezig, worden niet beïnvloed. Als u Caspol.exe vanaf de opdrachtregel uitvoert zonder dat u zich in een map bevindt voor een specifieke runtimeversie, wordt het hulpprogramma uitgevoerd vanuit de eerste runtimeversiemap in het pad (meestal de meest recente runtimeversie geïnstalleerd).
De optie -s[ecurity] {on | off} is een computerbrede bewerking. Door codetoegangsbeveiliging uit te schakelen, worden beveiligingscontroles voor alle beheerde code en voor alle gebruikers op de computer beëindigd. Als naast elkaar versies van .NET Framework zijn geïnstalleerd, schakelt deze opdracht beveiliging uit voor elke versie die op de computer is geïnstalleerd. Hoewel de optie -list laat zien dat beveiliging is uitgeschakeld, geeft niets anders duidelijk aan voor andere gebruikers dat beveiliging is uitgeschakeld.
Wanneer een gebruiker zonder beheerdersrechten Caspol.exe wordt uitgevoerd, verwijzen alle opties naar het beleid op gebruikersniveau, tenzij de optie –machine is opgegeven. Wanneer een beheerder Caspol.exe uitvoert, verwijzen alle opties naar het computerbeleid, tenzij de optie –gebruiker is opgegeven.
Caspol.exe moet het equivalent worden verleend van de machtiging Alles ingesteld op functie. Het hulpprogramma heeft een beschermend mechanisme waarmee wordt voorkomen dat beleid wordt gewijzigd op manieren die verhinderen dat Caspol.exe de machtigingen krijgt die moeten worden uitgevoerd. Als u dergelijke wijzigingen probeert aan te brengen, Caspol.exe u op de hoogte stelt dat de aangevraagde beleidswijziging het hulpprogramma onderbreekt en dat de beleidswijziging wordt geweigerd. U kunt dit beschermende mechanisme voor een bepaalde opdracht uitschakelen met behulp van de optie –force .
De beveiligingsconfiguratiebestanden handmatig bewerken
Drie beveiligingsconfiguratiebestanden komen overeen met de drie beleidsniveaus die worden ondersteund door Caspol.exe: één voor het computerbeleid, één voor het beleid van een bepaalde gebruiker en één voor het bedrijfsbeleid. Deze bestanden worden alleen op schijf gemaakt wanneer het beleid voor computers, gebruikers of ondernemingen wordt gewijzigd met behulp van Caspol.exe. U kunt de optie –reset in Caspol.exe gebruiken om het standaardbeveiligingsbeleid op schijf op te slaan, indien nodig.
In de meeste gevallen wordt het handmatig bewerken van de beveiligingsconfiguratiebestanden niet aanbevolen. Er kunnen echter scenario's zijn waarin het wijzigen van deze bestanden nodig is, bijvoorbeeld wanneer een beheerder de beveiligingsconfiguratie voor een bepaalde gebruiker wil bewerken.
Voorbeelden
-addfulltrust
Stel dat een machtigingenset met een aangepaste machtiging is toegevoegd aan het computerbeleid. Deze aangepaste machtiging wordt geïmplementeerd in MyPerm.exeen MyPerm.exe verwijst naar klassen in MyOther.exe. Beide assembly's moeten worden toegevoegd aan de assemblylijst met volledige vertrouwensrelaties. Met de volgende opdracht wordt de MyPerm.exe assembly toegevoegd aan de lijst met volledige vertrouwensrelaties voor het computerbeleid.
caspol -machine -addfulltrust MyPerm.exe
Met de volgende opdracht wordt de MyOther.exe assembly toegevoegd aan de lijst met volledige vertrouwensrelaties voor het computerbeleid.
caspol -machine -addfulltrust MyOther.exe
-addgroup
Met de volgende opdracht wordt een onderliggende codegroep toegevoegd aan de hoofdmap van de hiërarchie van de computerbeleidscodegroep. De nieuwe codegroep is lid van de internetzone en is gekoppeld aan de uitvoeringsmachtigingsset .
caspol -machine -addgroup 1. -zone Internet Execution
Met de volgende opdracht wordt een onderliggende codegroep toegevoegd die de lokale intranetmachtigingen voor share \\netserver\netshare verleent.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
Met de volgende opdracht wordt de Mypset machtigingenset toegevoegd aan het gebruikersbeleid.
caspol -user -addpset Mypset.xml Mypset
-chggroup
Met de volgende opdracht wijzigt u de machtigingenset in het gebruikersbeleid van de codegroep met het label 1.2. op de machtigingsset Voor uitvoering .
caspol -user -chggroup 1.2. Execution
Met de volgende opdracht wordt de lidmaatschapsvoorwaarde gewijzigd in het standaardbeleid van de codegroep met het label 1.2.1. en wijzigt de instelling van de exclusieve vlag. De lidmaatschapsvoorwaarde wordt gedefinieerd als code die afkomstig is van de internetzone en de exclusieve vlag is ingeschakeld.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
Met de volgende opdracht wijzigt u de machtigingenset met de naam Mypset in de machtigingenset in newpset.xml. Houd er rekening mee dat de huidige release geen ondersteuning biedt voor het wijzigen van machtigingensets die worden gebruikt door de hiërarchie van de codegroep.
caspol -chgpset Mypset newpset.xml
-kracht
Met de volgende opdracht wordt ervoor gezorgd dat de hoofdcodegroep van het gebruikersbeleid (gelabeld 1) wordt gekoppeld aan de machtigingenset Niets met de naam. Dit voorkomt dat Caspol.exe wordt uitgevoerd.
caspol -force -user -chggroup 1 Nothing
-herstellen
Met de volgende opdracht wordt het meest recent opgeslagen computerbeleid hersteld.
caspol -machine -recover
-remgroup
Met de volgende opdracht wordt de codegroep met het label 1.1 verwijderd. Als deze codegroep onderliggende codegroepen bevat, worden deze groepen ook verwijderd.
caspol -remgroup 1.1.
-rempset
Met de volgende opdracht verwijdert u de uitvoeringsmachtigingsset uit het gebruikersbeleid.
caspol -user -rempset Execution
Met de volgende opdracht wordt Mypset het gebruikersbeleidsniveau verwijderd.
caspol -rempset MyPset
-resolvegroup
De volgende opdracht toont alle codegroepen van het computerbeleid waartoe myassembly het behoort.
caspol -machine -resolvegroup myassembly
De volgende opdracht toont alle codegroepen van de machine, het bedrijf en het opgegeven aangepaste gebruikersbeleid waartoe myassembly behoort.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
Met de volgende opdracht worden de machtigingen berekend op testassembly basis van de computer- en gebruikersbeleidsniveaus.
caspol -all -resolveperm testassembly
Zie ook
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor