Usando a diretiva de restrição de software no COM+
O uso adequado da política de restrição de software pode tornar sua empresa mais ágil, pois fornece uma estrutura proativa para prevenir problemas, em vez de uma estrutura reativa que depende da alternativa dispendiosa de restaurar um sistema após a ocorrência de um problema. A diretiva de restrição de software foi introduzida com o lançamento do Microsoft Windows XP para ajudar a proteger os sistemas contra código desconhecido e possivelmente perigoso. A diretiva de restrição fornece um mecanismo em que apenas código confiável recebe acesso irrestrito aos privilégios de um usuário. O código desconhecido, que pode conter vírus ou código que entra em conflito com os programas atualmente instalados, tem permissão para ser executado somente em um ambiente restrito (geralmente chamado de área restrita) onde é proibido acessar quaisquer privilégios de usuário sensíveis à segurança.
A diretiva de restrição de software depende da atribuição de níveis de confiança ao código que pode ser executado em um sistema. Atualmente, existem dois níveis de confiança: Irrestrito e Não permitido. O código que tem um nível de confiança irrestrito recebe acesso irrestrito aos privilégios do usuário, portanto, esse nível de confiança deve ser aplicado apenas ao código totalmente confiável. O código com um nível de confiança Não permitido é proibido de acessar quaisquer privilégios de usuário sensíveis à segurança e pode ser executado somente em uma área restrita que ajuda a impedir que o código Irrestrito carregue o código Não permitido em seu espaço de endereço.
A configuração da diretiva de restrição de software para um sistema é feita por meio da ferramenta administrativa Diretiva de Segurança Local, enquanto a configuração da diretiva de restrição de aplicativos COM+ individuais é feita programaticamente ou por meio da ferramenta administrativa Serviços de Componentes. Se o nível de confiança da diretiva de restrição não for especificado para um aplicativo COM+, as configurações de todo o sistema serão usadas para determinar o nível de confiança do aplicativo. As configurações de diretiva de restrição COM+ devem ser cuidadosamente coordenadas com as configurações de todo o sistema, pois um aplicativo COM+ que tenha um nível de confiança irrestrito pode carregar apenas componentes com um nível de confiança irrestrito; um aplicativo COM+ não permitido pode carregar componentes com qualquer nível de confiança, mas não pode acessar todos os privilégios do usuário.
Além dos níveis de confiança da diretiva de restrição de software de aplicativos COM+ individuais, duas outras propriedades determinam como a diretiva de restrição é usada para todos os aplicativos COM+. Se SRPRunningObjectChecks estiver habilitado, as tentativas de conexão com objetos em execução serão verificadas quanto aos níveis de confiança apropriados. O objeto em execução não pode ter um nível de confiança menos rigoroso do que o objeto cliente. Por exemplo, o objeto em execução não pode ter um nível de confiança Não permitido se o objeto cliente tiver um nível de confiança irrestrito.
A segunda propriedade determina como a diretiva de restrição de software manipula conexões activate-as-activator. Se SRPActivateAsActivatorChecks estiver habilitado, o nível de confiança configurado para o objeto de servidor será comparado com o nível de confiança do objeto cliente e o nível de confiança mais rigoroso será usado para executar o objeto de servidor. Se SRPActivateAsActivatorChecks não estiver habilitado, o objeto de servidor será executado com o nível de confiança do objeto cliente, independentemente do nível de confiança com o qual foi configurado. Por padrão, SRPRunningObjectChecks e SRPActivateAsActivatorChecks estão habilitados.
Tópicos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de