Partilhar via

Como: Adicionar grupos de código usando Caspol. exe

  • Artigo

Comandos de inclusão do grupo de amostragem

Quando você usa o ferramenta de política de segurança de acesso de código (Caspol. exe) para adicionar um grupo de código para uma hierarquia de grupos de código, você deve definir uma condição de associação e um conjunto de permissões para o novo grupo de código. Você também deve definir o rótulo ou o nome do grupo de códigos pai no qual você está adicionando o novo grupo de códigos. Opcionalmente, você também pode definir outros sinalizadores no grupo de códigos. Para obter mais informações sobre esses sinalizadores, consulte Code Access Security Policy Tool (Caspol. exe).

Para adicionar um grupo de código para uma hierarquia de grupos de código

  • Digite o seguinte comando no prompt de comando:

    caspol [-enterprise|-máquina|-usuário] - addgroup {parentLabel|campos parentName} mship pset_name [-exclusivo {em|off}]-levelfinal {on|Desativar}]-nome de nome]-Descrição o texto de descrição

    Especifique a opção de nível de diretiva antes de –addgroup opção. Se você omitir a opção de nível de diretiva, Caspol. exe adiciona o grupo de códigos para o nível de diretiva padrão. Para os administradores do computador, o nível padrão é o nível de diretiva de máquina; para outros, é o nível de diretiva de usuário. Neste comando:

    • O parentLabel argumento é o rótulo do grupo de códigos pai para o novo grupo de código. Como alternativa, você pode usar o nome do grupo de código do pai (campos parentName) em vez da parentLabel. Para obter essa informação, liste os grupos de código, conforme descrito em como: Exibir grupos de código usando Caspol. exe.

    • O pset_name argumento é o nome do conjunto de permissão para associar o novo grupo de códigos. Antes de uma permissão nomeada conjunto pode ser associado um grupo de código, ele deve ser conhecido no nível de diretiva de onde você está adicionando o novo grupo de códigos. Por exemplo, se você deseja associar a um conjunto de permissões MyPset com um novo grupo de códigos na diretiva de usuário, você deve ter já adicionado MyPset conjunto de permissões para a diretiva de usuário. A única vez em que um conjunto de permissões não precisa ser adicionado antecipadamente é quando você usa um dos conjuntos de permissão padrão fornecidos pelo.NET Framework. Para saber como adicionar um conjunto de permissões a um nível de diretiva, consulte como: Adicionar conjuntos de permissão usando Caspol. exe.

    • O mship argumento é a condição de associação para o novo grupo de código. Para obter a lista de valores para o mship argumento, consulte Code Access Security Policy Tool (Caspol. exe).

Observação

Não é possível usar o –addgroup opção para adicionar um grupo de códigos para mais de um nível de cada vez.Cada adição tal deve ser feita separadamente porque as etiquetas de código diferente de grupo e a disponibilidade de determinados conjuntos de permissões podem causar confusão.

Comandos de inclusão do grupo de amostragem

Os procedimentos a seguir descrevem como realizar algumas tarefas de inclusão do grupo de código mais comuns.

Para adicionar um grupo de código que atinge o código da intranet

  • Use o -região opção e especificar Intranet como o valor de participação.

    O comando a seguir associa o tudo conjunto de permissões com código de intranet. O grupo de códigos também receberá o nome Intranet_CG. Você pode usar esse nome para referir-se o grupo recém-criado código, em vez de usar seus rótulos numéricos.

    caspol –addgroup 1.1. –zone Intranet Everything –name "Intranet_CG"

Para adicionar um grupo de códigos que código de destinos de sites confiáveis do Internet Explorer

  • Use o –zone opção e especificar confiáveis como o valor de associação.

    O comando a seguir associa o LocalIntranet conjunto de permissões com código da zona confiável e insere o novo código de grupo como um filho da raiz da hierarquia do grupo de código.

    caspol -addgroup All_Code -zone Trusted LocalIntranet

Para adicionar um grupo de código que atinge um editor de software específico

  • Use o –pub opção e especificar um arquivo de certificado, um arquivo assinado ou a representação hexadecimal de um certificado x. 509.

    Arquivos a partir de um editor de software devem ser assinados para essa condição funcionar adequadamente. A condição de associação pode ser construída com base de um arquivo de certificado real ou um arquivo EXE assinado.

    Suponha que o arquivo de certificado para FourthCoffee (FourthCoffee.cer) está disponível. O comando a seguir adiciona um grupo de códigos na diretiva de máquina para códigos publicados por FourthCoffee e associa o nada conjunto de permissões com o novo grupo. O grupo de código é adicionado como um grupo de códigos filho da raiz.

    caspol –machine –addgroup 1 –pub –cert FourthCoffee.cer Nothing

Para adicionar um grupo de códigos que código de destinos de um site específico

  • Use o –site opção e especificar a URL do site da Web.

    Observação

    Devido à possibilidade do nome DNS spoofing, usando um site como uma associação a condição não é uma maneira eficaz de verificar a identidade do código.Sempre que possível, use uma condição de associação de nome forte, a condição de associação de editor ou a condição de associação de hash.

    O comando a seguir associa o Intranet o código de conjunto de permissões www.microsoft.com.

    caspol –addgroup 1 –site www.microsoft.com Intranet

Para adicionar um grupo de código que visa o código de uma URL específica

  • Use o –url opção e especificar a URL do site.

    A URL deve incluir um protocolo, como, por exemplo, http://, http:// ou FTP://: / /. Além disso, um caractere curinga (*) pode ser usado para especificar vários conjuntos de uma URL específica.

    Observação

    Como uma URL pode ser identificada usando vários nomes, usando uma URL como uma condição de associação não é uma forma segura de verificar a identidade do código.Sempre que possível, use uma condição de associação de nome forte, uma condição de associação de editor ou a condição de associação de hash.

    caspol –user –addgroup 1 –url https://www.contoso.com/bin/* FullTrust
caspol –user –addgroup 1 –url https://www.contoso.com/bin/MyAssembly.dll FullTrust

Para adicionar um grupo de código substitui outras permissões no nível de diretiva

  • Definir o –exclusive o sinalizador para o novo grupo de código.

    O comando a seguir adiciona um grupo de código sob o Intranet_cg código de grupo. O novo grupo de códigos concede a tudo permissão para definir se a zona for confiável, substituindo quaisquer permissões que podem conceder a outros grupos de código.

    caspol –addgroup "Intranet_cg" –zone Trusted Everything –exclusive on

Para adicionar um grupo de código com uma condição de associação personalizado

  • Use o –custom opção e especificar um arquivo XML que contém a serialização de XML da condição de associação personalizado.

    Caspol. exe suporta o uso de condições de associação personalizado na diretiva, o que torna o sistema de diretiva altamente extensível.

    O comando a seguir adiciona um novo grupo de códigos para a raiz da diretiva de usuário. Este novo grupo de códigos contém uma condição de associação personalizado encontrada no NewMembershipCondition.xml arquivo e concede completa confiança a assemblies correspondentes a esta condição de associação.

    caspol –user –addgroup All_Code –custom NewMembershipCondition.xml FullTrust

Para adicionar um grupo de código com um nome e descrição

  1. Use o – Name opção e especifique um nome para o grupo de códigos. Aspas duplas (" ") são necessários ao redor de nomes que contêm espaços.

  2. Use o –description opção e especifique uma descrição para o grupo de códigos.

Você pode usar o nome posteriormente para se referir a um grupo de códigos. O nome fornece um suporte melhor do rótulos numéricos para alterações de diretiva de execução de scripts.

Diretiva padrão é fornecida com os nomes padrão. Se não explicitamente alterada por um administrador, os nomes padrão facilitam para os administradores usando Caspol. exe para acessar grupos de código específico através de diretivas e computadores.

O comando a seguir adiciona um grupo de código sob o All_Code grupo na diretiva de máquina. O novo grupo de código verifica se há um FourthCoffee nome forte (como encontrado no Signed.exe) e concede FullTrust a todo o código é tão assinado. O grupo de códigos é denominado FouthCoffeeStrongName e recebe uma descrição apropriada.

caspol –machine –addgroup All_Code –strong –file signed.exe FullTrust –name FouthCoffeeStrongName –description "Code group granting trust to code signed by FourthCoffee"

Observação

Se o mesmo nome está presente em mais de um grupo de código, Caspol. exe resolve para o primeiro grupo de código que ele possa encontrar com o nome fornecido.Ele pesquisa todos os grupos de códigos filho de um grupo de código antes de pesquisar os grupos de irmãos.

Consulte também

Referência

Caspol. exe (Code Access Security Policy Tool)

Conceitos

Modelo de diretiva de segurança

Outros recursos

Configurando a diretiva de segurança usando Code Access Security Policy Tool (Caspol. exe)

Configurando grupos de código usando Caspol. exe