Caspol.exe (Ferramenta de Política de Segurança de Acesso ao Código)
A ferramenta de Diretiva de Segurança de Acesso ao Código (Caspol.exe) permite que usuários e administradores modifiquem a diretiva de segurança para o nível de diretiva de máquina, o nível de diretiva de usuário e o nível de política empresarial.
Importante
A partir do .NET Framework 4, Caspol.exe não afeta a política CAS, a menos que o elemento legacyCasPolicy> esteja definido como true.< Quaisquer configurações mostradas ou modificadas pelo CasPol.exe afetarão apenas os aplicativos que optarem por usar a política CAS.
Nota
O CAS (Code Access Security) foi preterido em todas as versões do .NET Framework e do .NET. As versões recentes do .NET não respeitam as anotações do CAS e produzem erros se as APIs relacionadas ao CAS forem usadas. Os desenvolvedores devem procurar meios alternativos de realizar tarefas de segurança.
Nota
Os computadores de 64 bits incluem as versões de 64 bits e de 32 bits da política de segurança. Para garantir que as alterações de política se apliquem a aplicativos de 32 bits e 64 bits, execute as versões de 32 bits e 64 bits do Caspol.exe.
A ferramenta Diretiva de Segurança de Acesso ao Código é instalada automaticamente com o .NET Framework e com o Visual Studio. Pode encontrar Caspol.exe em %windir%\Microsoft.NET\Framework\version em sistemas de 32 bits ou %windir%\Microsoft.NET\Framework64\version em sistemas de 64 bits. (Por exemplo, o local é %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe para .NET Framework 4 em um sistema de 64 bits.) Várias versões da ferramenta podem ser instaladas se o computador estiver executando várias versões do .NET Framework lado a lado. Você pode executar a ferramenta a partir do diretório de instalação. No entanto, recomendamos que você use o Visual Studio Developer Command Prompt ou o Visual Studio Developer PowerShell, que não exige que você navegue até a pasta de instalação.
Na linha de comandos, escreva o seguinte:
Sintaxe
caspol [options]
Parâmetros
| Opção | Description |
|---|---|
| -addfulltrust assembly_file ou -AF assembly_file |
Adiciona um assembly que implementa um objeto de segurança personalizado (como uma permissão personalizada ou uma condição de associação personalizada) à lista de assembly de confiança completa para um nível de diretiva específico. O argumento assembly_file especifica o assembly a ser adicionado. Esse arquivo deve ser assinado com um nome forte. Você pode assinar um assembly com um nome forte usando a ferramenta Nome forte (Sn.exe). Sempre que um conjunto de permissões contendo uma permissão personalizada é adicionado à política, o assembly que implementa a permissão personalizada deve ser adicionado à lista de confiança completa para esse nível de política. Os assemblies que implementam objetos de segurança personalizados (como grupos de códigos personalizados ou condições de associação) usados em uma diretiva de segurança (como a diretiva de máquina) devem sempre ser adicionados à lista de assembly de confiança completa. Cuidado: Se o assembly que implementa o objeto de segurança personalizado fizer referência a outros assemblies, você deve primeiro adicionar os assemblies referenciados à lista de assemblies de confiança completa. Objetos de segurança personalizados criados usando Visual Basic, C++ e JScript fazem referência a Microsoft.VisualBasic.dll, Microsoft.VisualC.dll ou Microsoft.JScript.dll, respectivamente. Esses assemblies não estão na lista completa de assemblies confiáveis por padrão. Você deve adicionar o assembly apropriado à lista de confiança completa antes de adicionar um objeto de segurança personalizado. Se isso não for feito, o sistema de segurança será quebrado, fazendo com que todos os assemblies não sejam carregados. Nessa situação, a opção Caspol.exe -all -reset não reparará a segurança. Para reparar a segurança, você deve editar manualmente os arquivos de segurança para remover o objeto de segurança personalizado. |
| -addgroup {parent_label | parent_name} mship pset_name [bandeiras] ou -ag {parent_label | parent_name} mship pset_name [bandeiras] |
Adiciona um novo grupo de códigos à hierarquia do grupo de códigos. Você pode especificar o parent_label ou parent_name. O argumento parent_label especifica o rótulo (como 1. ou 1.1.) do grupo de códigos que é o pai do grupo de códigos que está sendo adicionado. O argumento parent_name especifica o nome do grupo de códigos que é o pai do grupo de códigos que está sendo adicionado. Uma vez que parent_label e parent_name podem ser utilizados indistintamente, Caspol.exe devem ser capazes de distinguir entre eles. Portanto, parent_name não pode começar com um número. Além disso, parent_name só pode conter A-Z, 0-9 e o caractere sublinhado. O argumento mship especifica a condição de associação para o novo grupo de códigos. Para obter mais informações, consulte a tabela de argumentos mship mais adiante nesta seção. O argumento pset_name é o nome do conjunto de permissões que será associado ao novo grupo de códigos. Você também pode definir um ou mais sinalizadores para o novo grupo. Para obter mais informações, consulte a tabela de argumentos de sinalizadores mais adiante nesta seção. |
| -addpset {psfile | psfile pset_name} ou -AP {named_psfile | psfile pset_name} |
Adiciona um novo conjunto de permissões nomeadas à política. O conjunto de permissões deve ser criado em XML e armazenado em um arquivo .xml. Se o arquivo XML contiver o nome do conjunto de permissões, somente esse arquivo (psfile) será especificado. Se o arquivo XML não contiver o nome do conjunto de permissões, especifique o nome do arquivo XML (psfile) e o nome do conjunto de permissões (pset_name). Todas as permissões usadas em um conjunto de permissões devem ser definidas em assemblies contidos no cache de assembly global. |
| -a[ll] | Indica que todas as opções após esta se aplicam às políticas de máquina, usuário e empresa. A opção -all sempre se refere à política do usuário conectado no momento. Consulte a opção -customall para fazer referência à política de usuário de um usuário diferente do usuário atual. |
| -chggroup {label |name} {mship | pset_name | bandeiras }ou -cg {label |name} {mship | pset_name | bandeiras } |
Altera a condição de associação de um grupo de códigos, o conjunto de permissões ou as configurações dos sinalizadores exclusivo, levelfinal, name ou description. Você pode especificar o rótulo ou o nome. O argumento label especifica o rótulo (como 1. ou 1.1.) do grupo de códigos. O argumento name especifica o nome do grupo de códigos a ser alterado. Uma vez que o rótulo e o nome podem ser utilizados indistintamente, Caspol.exe devem ser capazes de os distinguir. Portanto, o nome não pode começar com um número. Além disso, o nome só pode conter A-Z, 0-9 e o caractere sublinhado. O argumento pset_name especifica o nome do conjunto de permissões a ser associado ao grupo de códigos. Consulte as tabelas mais adiante nesta seção para obter informações sobre os argumentos mship e flags . |
| -chgpset psfile pset_name ou -cp psfile pset_name |
Altera um conjunto de permissões nomeado. O argumento psfile fornece a nova definição para o conjunto de permissões, é um arquivo de conjunto de permissões serializado em formato XML. O argumento pset_name especifica o nome do conjunto de permissões que você deseja alterar. |
| -caminho customall ou -caminho ca |
Indica que todas as opções após esta se aplicam à máquina, à empresa e às políticas de usuário personalizadas especificadas. Você deve especificar o local do arquivo de configuração de segurança do usuário personalizado com o argumento path . |
| -[stomuser] caminho | Permite a administração de uma política de usuário personalizada que não pertence ao usuário em cujo nome Caspol.exe está sendo executado no momento. Você deve especificar o local do arquivo de configuração de segurança do usuário personalizado com o argumento path . |
| -empresa ou -pt |
Indica que todas as opções após esta se aplicam à política de nível empresarial. Os usuários que não são administradores corporativos não têm direitos suficientes para modificar a política empresarial, embora possam visualizá-la. Em cenários não corporativos, essa política, por padrão, não interfere na política de máquina e usuário. |
| -e[xecution] {on | off} | Ativa ou desativa o mecanismo que verifica a permissão para ser executado antes que o código comece a ser executado. Nota: Esta opção é removida no .NET Framework 4 e versões posteriores. |
| -f[orce] | Suprime o teste de autodestruição da ferramenta e altera a política conforme especificado pelo usuário. Normalmente, Caspol.exe verifica se quaisquer alterações de política impediriam que Caspol.exe própria fosse executada corretamente; Em caso afirmativo, Caspol.exe não salva a alteração de política e imprime uma mensagem de erro. Para forçar Caspol.exe a alterar a política, mesmo que isso impeça a própria execução da Caspol.exe, use a opção –force . |
| -h[elp] | Exibe a sintaxe do comando e as opções para Caspol.exe. |
| -l[ist] | Lista a hierarquia do grupo de códigos e os conjuntos de permissões para a máquina, o usuário, a empresa ou todos os níveis de política especificados. Caspol.exe exibe o rótulo do grupo de códigos primeiro, seguido pelo nome, se não for nulo. |
| -listdescrição ou -LD |
Lista todas as descrições de grupos de códigos para o nível de política especificado. |
| -ListFullTrust ou -lf |
Lista o conteúdo da lista de assembly de confiança completa para o nível de diretiva especificado. |
| -listgroups ou -LG |
Exibe os grupos de códigos do nível de política especificado ou todos os níveis de política. Caspol.exe exibe o rótulo do grupo de códigos primeiro, seguido pelo nome, se não for nulo. |
| -listpset ou -lp | Exibe os conjuntos de permissões para o nível de política especificado ou todos os níveis de política. |
| -m[achine] | Indica que todas as opções após esta se aplicam à política de nível de máquina. Os usuários que não são administradores não têm direitos suficientes para modificar a política de máquina, embora possam visualizá-la. Para administradores, -machine é o padrão. |
| -polchgprompt {em | off} ou -pp {em | off} |
Habilita ou desabilita o prompt que é exibido sempre que Caspol.exe é executado usando uma opção que causaria alterações na política. |
| -silencioso ou -q |
Desativa temporariamente o prompt que normalmente é exibido para uma opção que causa alterações de política. A configuração do prompt de alteração global não é alterada. Use a opção apenas em uma base de comando único para evitar desativar o prompt para todos os comandos Caspol.exe. |
| -r[ecover] | Recupera a política de um arquivo de backup. Sempre que uma alteração de política é feita, Caspol.exe armazena a política antiga em um arquivo de backup. |
| -remfulltrust assembly_file ou -rf assembly_file |
Remove um assembly da lista de confiança completa de um nível de política. Essa operação deve ser executada se um conjunto de permissões que contém uma permissão personalizada não for mais usado pela política. No entanto, você deve remover um assembly que implementa uma permissão personalizada da lista de confiança completa somente se o assembly não implementar nenhuma outra permissão personalizada que ainda esteja sendo usada. Ao remover um assembly da lista, você também deve remover quaisquer outros assemblies dos quais ele dependa. |
| -remgroup {rótulo |nome} ou -RG {LAbel | nome} |
Remove o grupo de códigos especificado por seu rótulo ou nome. Se o grupo de códigos especificado tiver grupos de códigos filho, Caspol.exe também removerá todos os grupos de códigos filho. |
| -rempset pset_name ou -rp pset_name |
Remove o conjunto de permissões especificado da política. O argumento pset_name indica qual conjunto de permissões deve ser removido. Caspol.exe remove o conjunto de permissões somente se ele não estiver associado a nenhum grupo de códigos. Os conjuntos de permissões padrão (internos) não podem ser removidos. |
| -repor ou -RS |
Retorna a política ao seu estado padrão e a mantém no disco. Isso é útil sempre que uma política alterada parece estar além do reparo e você deseja começar de novo com os padrões de instalação. A redefinição também pode ser conveniente quando você deseja usar a política padrão como ponto de partida para modificações em arquivos de configuração de segurança específicos. Para obter mais informações, consulte Editando manualmente os arquivos de configuração de segurança. |
| -resetlockdown ou -RSLD |
Retorna a política para uma versão mais restritiva do estado padrão e a mantém no disco; cria um backup da política de máquina anterior e o mantém em um arquivo chamado security.config.bac. A política bloqueada é semelhante à política padrão, exceto que a política não concede permissão para codificar a partir do , Trusted Sitese Internet as Local Intranetzonas e os grupos de códigos correspondentes não têm grupos de códigos filho. |
| -resolvegroup assembly_file ou -rsg assembly_file |
Mostra os grupos de códigos aos quais um assembly específico (assembly_file) pertence. Por padrão, essa opção exibe os níveis de política de máquina, usuário e empresa aos quais o assembly pertence. Para exibir apenas um nível de política, use essa opção com a opção -machine, -user ou -enterprise . |
| -resolveperm assembly_file ou -RSP assembly_file |
Exibe todas as permissões que o nível especificado (ou padrão) de diretiva de segurança concederia ao assembly se ele tivesse permissão para ser executado. O argumento assembly_file especifica o assembly. Se você especificar a opção -all , Caspol.exe calculará as permissões para o assembly com base na política de usuário, máquina e empresa, caso contrário, as regras de comportamento padrão serão aplicadas. |
| -s[ecurity] {on | off} | Ativa ou desativa a segurança de acesso ao código. Especificar a opção -s off não desativa a segurança baseada em função. Nota: Esta opção é removida no .NET Framework 4 e versões posteriores. Cuidado: Quando a segurança de acesso ao código está desativada, todas as demandas de acesso ao código são bem-sucedidas. A desativação da segurança de acesso ao código torna o sistema vulnerável a ataques de códigos maliciosos, como vírus e worms. Desativar a segurança ganha algum desempenho extra, mas só deve ser feito quando outras medidas de segurança foram tomadas para ajudar a garantir que a segurança geral do sistema não seja violada. Exemplos de outras precauções de segurança incluem a desconexão de redes públicas, a proteção física de computadores e assim por diante. |
| -u[ser] | Indica que todas as opções após esta se aplicam à política de nível de usuário para o usuário em cujo nome Caspol.exe está sendo executado. Para usuários não administrativos, -user é o padrão. |
| -? | Exibe a sintaxe do comando e as opções para Caspol.exe. |
O argumento mship , que especifica a condição de associação para um grupo de códigos, pode ser usado com as opções -addgroup e -chggroup . Cada argumento mship é implementado como uma classe .NET Framework. Para especificar mship, use uma das seguintes opções.
| Argumento | Description |
|---|---|
| -allcode | Especifica todo o código. Para obter mais informações sobre essa condição de associação, consulte System.Security.Policy.AllMembershipCondition. |
| -appdir | Especifica o diretório do aplicativo. Se você especificar –appdir como a condição de associação, a evidência de URL do código será comparada com a evidência do diretório de aplicativos desse código. Se ambos os valores de evidência forem os mesmos, esta condição de adesão é satisfeita. Para obter mais informações sobre essa condição de associação, consulte System.Security.Policy.ApplicationDirectoryMembershipCondition. |
| -xmlfile personalizado | Adiciona uma condição de associação personalizada. O argumento obrigatório xmlfile especifica o arquivo .xml que contém a serialização XML da condição de associação personalizada. |
| -hash hashAlg {-hex hashValue-file | assembly_file } | Especifica o código que tem o hash de assembly fornecido. Para usar um hash como uma condição de associação de grupo de código, você deve especificar o valor de hash ou o arquivo assembly. Para obter mais informações sobre essa condição de associação, consulte System.Security.Policy.HashMembershipCondition. |
| -pub { -cert cert_file_name | -file signed_file_name-hex | hex_string } |
Especifica o código que tem o editor de software fornecido, conforme indicado por um arquivo de certificado, uma assinatura em um arquivo ou a representação hexadecimal de um certificado X509. Para obter mais informações sobre essa condição de associação, consulte System.Security.Policy.PublisherMembershipCondition. |
| -site do site | Especifica o código que tem o determinado site de origem. Por exemplo:-site** www.proseware.comPara obter mais informações sobre essa condição de associação, consulte System.Security.Policy.SiteMembershipCondition. |
| -strong -file file_name {name-noname | } {version-noversion} | | Especifica o código que tem um nome forte específico, conforme designado pelo nome do arquivo, o nome do assembly como uma cadeia de caracteres e a versão do assembly no formato principal.menor.construir.revisão. Por exemplo: -strong -file myAssembly.exe myAssembly 1.2.3.4 Para obter mais informações sobre essa condição de associação, consulte System.Security.Policy.StrongNameMembershipCondition. |
| -url URL | Especifica o código que se origina da URL fornecida. A URL deve incluir um protocolo, como http:// ou ftp://. Além disso, um caractere curinga (*) pode ser usado para especificar vários assemblies de uma URL específica. Nota: Como um URL pode ser identificado usando vários nomes, usar um URL como condição de associação não é uma maneira segura de determinar a identidade do código. Sempre que possível, use uma condição de associação de nome forte, uma condição de associação de editor ou a condição de associação de hash. Para obter mais informações sobre essa condição de associação, consulte System.Security.Policy.UrlMembershipCondition. |
| -zonename | Especifica o código com a zona de origem fornecida. O argumento zonename pode ser um dos seguintes valores: MyComputer, Intranet, Trusted, Internet ou Untrusted. Para obter mais informações sobre essa condição de associação, consulte a ZoneMembershipCondition Classe. |
O argumento flags , que pode ser usado com as opções –addgroup e –chggroup , é especificado usando uma das opções a seguir.
| Argumento | Description |
|---|---|
| -descrição "descrição" | Se usado com a opção –addgroup , especifica a descrição de um grupo de códigos a ser adicionado. Se usado com a opção –chggroup , especifica a descrição para um grupo de códigos a ser editado. O argumento description deve ser colocado entre aspas duplas. |
| -exclusivo {on|off} | Quando definido como ativado, indica que somente o conjunto de permissões associado ao grupo de códigos que você está adicionando ou modificando é considerado quando algum código se encaixa na condição de associação do grupo de códigos. Quando essa opção é definida como desativada, Caspol.exe considera os conjuntos de permissões de todos os grupos de códigos correspondentes no nível da política. |
| -levelfinal {on|off} | Quando definido como ativado, indica que nenhum nível de política abaixo do nível em que o grupo de códigos adicionado ou modificado ocorre é considerado. Essa opção geralmente é usada no nível da política de máquina. Por exemplo, se você definir esse sinalizador para um grupo de códigos no nível da máquina e algum código corresponder à condição de associação desse grupo de códigos, Caspol.exe não calculará nem aplicará a política de nível de usuário para esse código. |
| -nome "nome" | Se usado com a opção –addgroup , especifica o nome de script para um grupo de códigos a ser adicionado. Se usado com a opção -chggroup , especifica o nome de script para um grupo de códigos a ser editado. O argumento name deve ser colocado entre aspas duplas. O argumento name não pode começar com um número e só pode conter A-Z, 0-9 e o caractere sublinhado. Os grupos de códigos podem ser referidos por este nome em vez de pelo seu rótulo numérico. O nome também é muito útil para fins de script. |
Observações
A política de segurança é expressa usando três níveis de política: política de máquina, política de usuário e política empresarial. O conjunto de permissões que um assembly recebe é determinado pela interseção dos conjuntos de permissões permitidos por esses três níveis de política. Cada nível de política é representado por uma estrutura hierárquica de grupos de códigos. Cada grupo de códigos tem uma condição de associação que determina qual código é membro desse grupo. Um conjunto de permissões nomeado também está associado a cada grupo de códigos. Este conjunto de permissões especifica as permissões que o tempo de execução permite que o código que satisfaça a condição de associação tenha. Uma hierarquia de grupo de códigos, juntamente com seus conjuntos de permissões nomeados associados, define e mantém cada nível de diretiva de segurança. Você pode usar as opções –user, -customuser, –machine e -enterprise para definir o nível da política de segurança.
Para obter mais informações sobre a diretiva de segurança e como o tempo de execução determina quais permissões conceder ao código, consulte Gerenciamento de políticas de segurança.
Referenciando grupos de códigos e conjuntos de permissões
Para facilitar as referências a grupos de códigos em uma hierarquia, a opção -list exibe uma lista recuada de grupos de códigos juntamente com seus rótulos numéricos (1, 1.1, 1.1.1 e assim por diante). As outras operações de linha de comando que visam grupos de código também usam os rótulos numéricos para se referir a grupos de códigos específicos.
Os conjuntos de permissões nomeados são referenciados por seus nomes. A opção –list exibe a lista de grupos de códigos seguida por uma lista de conjuntos de permissões nomeados disponíveis nessa política.
Comportamento Caspol.exe
Todas as opções, exceto -s[ecurity] {on | off}, usam a versão do .NET Framework com a qual Caspol.exe foi instalado. Se você executar o Caspol.exe que foi instalado com a versão X do tempo de execução, as alterações se aplicarão somente a essa versão. Outras instalações lado a lado do tempo de execução, se houver, não são afetadas. Se você executar Caspol.exe a partir da linha de comando sem estar em um diretório para uma versão específica do tempo de execução, a ferramenta será executada a partir do primeiro diretório da versão do tempo de execução no caminho (geralmente a versão de tempo de execução mais recente instalada).
A opção -s[ecurity] {on | off} é uma operação em todo o computador. Desativar a segurança de acesso ao código encerra as verificações de segurança para todo o código gerenciado e para todos os usuários no computador. Se as versões lado a lado do .NET Framework estiverem instaladas, este comando desativa a segurança para cada versão instalada no computador. Embora a opção -list mostre que a segurança está desativada, nada indica claramente para outros usuários que a segurança foi desativada.
Quando um usuário sem direitos administrativos é executado Caspol.exe, todas as opções se referem à política de nível de usuário, a menos que a opção –machine seja especificada. Quando um administrador executa Caspol.exe, todas as opções se referem à política de máquina, a menos que a opção –user seja especificada.
Caspol.exe deve receber o equivalente à permissão Everything definida para funcionar. A ferramenta tem um mecanismo de proteção que impede que a política seja modificada de forma a impedir que Caspol.exe receba as permissões necessárias para ser executada. Se você tentar fazer essas alterações, o Caspol.exe notificará que a alteração de política solicitada interromperá a ferramenta e a alteração de política será rejeitada. Você pode desativar esse mecanismo de proteção para um determinado comando usando a opção –force .
Editando manualmente os arquivos de configuração de segurança
Três arquivos de configuração de segurança correspondem aos três níveis de diretiva suportados pelo Caspol.exe: um para a política de máquina, um para a política de um determinado usuário e um para a política empresarial. Esses arquivos são criados em disco somente quando a política de máquina, usuário ou empresa é alterada usando Caspol.exe. Você pode usar a opção –reset no Caspol.exe para salvar a diretiva de segurança padrão no disco, se necessário.
Na maioria dos casos, a edição manual dos arquivos de configuração de segurança não é recomendada. Mas pode haver cenários em que a modificação desses arquivos se torne necessária, como quando um administrador deseja editar a configuração de segurança de um usuário específico.
Exemplos
-addfulltrust
Suponha que um conjunto de permissões contendo uma permissão personalizada tenha sido adicionado à política de máquina. Essa permissão personalizada é implementada no MyPerm.exe, e MyPerm.exe faz referência às classes no MyOther.exe. Ambos os assemblies devem ser adicionados à lista completa de assemblies de confiança. O comando a seguir adiciona o MyPerm.exe assembly à lista de confiança completa para a política de máquina.
caspol -machine -addfulltrust MyPerm.exe
O comando a seguir adiciona o MyOther.exe assembly à lista de confiança completa para a política de máquina.
caspol -machine -addfulltrust MyOther.exe
-addgroup
O comando a seguir adiciona um grupo de códigos filho à raiz da hierarquia do grupo de códigos de política de máquina. O novo grupo de códigos é um membro da zona da Internet e está associado ao conjunto de permissões Execução.
caspol -machine -addgroup 1. -zone Internet Execution
O comando a seguir adiciona um grupo de códigos filho que concede permissões de intranet local de compartilhamento \\netserver\netshare.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
O comando a seguir adiciona o conjunto de Mypset permissões à política de usuário.
caspol -user -addpset Mypset.xml Mypset
-chggroup
O comando a seguir altera o conjunto de permissões na política de usuário do grupo de códigos rotulado como 1.2. para o conjunto de permissões de execução .
caspol -user -chggroup 1.2. Execution
O comando a seguir altera a condição de associação na política padrão do grupo de códigos rotulado 1.2.1. e altera a configuração da bandeira exclusiva . A condição de associação é definida como um código originário da zona da Internet e o sinalizador exclusivo está ativado.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
O comando a seguir altera o conjunto de permissões com nome Mypset para o conjunto de permissões contido em newpset.xml. Observe que a versão atual não oferece suporte à alteração de conjuntos de permissões que estão sendo usados pela hierarquia do grupo de códigos.
caspol -chgpset Mypset newpset.xml
-força
O comando a seguir faz com que o grupo de códigos raiz da política de usuário (rotulado como 1) seja associado ao conjunto de permissões Nothing nomeado. Isso impede que Caspol.exe sejam executados.
caspol -force -user -chggroup 1 Nothing
-recuperar
O comando a seguir recupera a política de máquina salva mais recentemente.
caspol -machine -recover
-Remgroup
O comando a seguir remove o grupo de códigos rotulado como 1.1. Se esse grupo de códigos tiver grupos de códigos filho, esses grupos também serão excluídos.
caspol -remgroup 1.1.
-rempset
O comando a seguir remove o conjunto de permissões Execução da política de usuário.
caspol -user -rempset Execution
O comando a seguir é removido Mypset do nível de política do usuário.
caspol -rempset MyPset
-grupo de resolução
O comando a seguir mostra todos os grupos de códigos da política de máquina à qual myassembly pertence.
caspol -machine -resolvegroup myassembly
O comando a seguir mostra todos os grupos de códigos da máquina, da empresa e da política de usuário personalizada especificada à qual myassembly pertence.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
O comando a seguir calcula as permissões para testassembly com base nos níveis de política da máquina e do usuário.
caspol -all -resolveperm testassembly
Consulte também
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários