Дополнительные вопросы безопасности в формах Windows Forms
Определенные параметры безопасности .NET Framework могут привести к тому, что ваше приложение будет выполняться по-разному в среде с частичным доверием и на локальном компьютере. .NET Framework ограничивает доступ, помимо прочего, к таким важнейшим локальным ресурсам, как файловая система, сеть и неуправляемые API. Параметры безопасности влияют на возможность вызова интерфейса API Microsoft Windows или других интерфейсов API, которые не могут быть проверены системой безопасности. Безопасность также влияет на другие аспекты приложения, включая доступ к файлам и данным, и вывод на печать. Дополнительные сведения о доступе к файлам и данным в среде с частичным доверием см. в разделе Более безопасный доступ к файлам и данным в Windows Forms. Дополнительные сведения о выводе на печать в среде с частичным доверием см. в разделе Более безопасная печать в Windows Forms.
В следующих разделах описывается работа с буфером обмена, управление окнами и вызов API Windows из приложений, работающих в среде с частичным доверием.
Доступ к буферу обмена
Класс UIPermission управляет доступом к буферу обмена, а связанное с ним значение перечисления UIPermissionClipboard указывает на уровень доступа. В следующей таблице приведены возможные уровни разрешения.
| Значение UIPermissionClipboard | Description |
|---|---|
| AllClipboard | Буфер обмена можно использовать без ограничений. |
| OwnClipboard | Буфер обмена можно использовать с некоторыми ограничениями. Возможность размещения данных в буфере обмена (операции с командами копирования и вырезания) не ограничена. Встроенные элементы управления, которые принимают операцию вставки, например текстовое поле, могут принимать данные из буфера обмена, но пользовательские элементы управления не могут программно считывать данные из буфера обмена. |
| NoClipboard | Буфер обмена использовать нельзя. |
По умолчанию зона локальной интрасети получает доступ к AllClipboard, а зона Интернета — к OwnClipboard. Это означает, что приложение может копировать данные в буфер обмена, но не может программно вставлять или считывать данные из буфера обмена. Благодаря таким ограничениям программы, не имеющие полного доверия, не могут считывать содержимое из буфера обмена, скопированное другим приложением. Если приложению требуется полный доступ к буферу обмена, но у вас нет соответствующих разрешений, для приложения необходимо повысить уровень разрешений. Дополнительные сведения о повышении уровня разрешений см. в разделе Общее администрирование политик безопасности.
Управление окнами
Класс UIPermission также управляет разрешением на выполнение операций с окнами и другими интерфейсами, а связанное с ним значение перечисления UIPermissionWindow указывает уровень доступа. В следующей таблице приведены возможные уровни разрешения.
По умолчанию зона локальной интрасети получает доступ к AllWindows, а зона Интернета — к SafeTopLevelWindows. Это означает, что в зоне Интернета приложение может выполнять большинство операций с окнами и пользовательским интерфейсом, но внешний вид окна будет изменяться. В измененном окне при первом запуске отображается всплывающее уведомление. В таком окне также изменен заголовок, а в строке заголовка должна быть кнопка "Закрыть". Всплывающее уведомление и строка заголовка информируют пользователя приложения о том, что данное приложение выполняется в режиме частичного доверия.
| Значение UIPermissionWindow | Description |
|---|---|
| AllWindows | Пользователи могут использовать все окна и события пользовательского ввода без каких-либо ограничений. |
| SafeTopLevelWindows | Пользователи могут использовать для рисования только более безопасные окна верхнего уровня и дочерние окна, а также события пользовательского ввода для пользовательского интерфейса в таких окнах и дочерних окнах. Такие более безопасные окна имеют специальные метки, а также ограничения на минимальный и максимальный размер. Подобные ограничения предотвращают потенциально опасные атаки с подменой данных, например имитацию экранов входа в систему или рабочего стола системы, и ограничивают программный доступ к родительским окнам, связанным интерфейсам API фокуса, а также использование элемента управления ToolTip, |
| SafeSubWindows | Пользователи могут использовать для рисования только более безопасные дочерние окна, а также события пользовательского ввода для пользовательского интерфейса в таких дочерних окнах. Примером такого более безопасного дочернего окна является элемент управления, отображаемый в браузере. |
| NoWindows | Пользователи не могут использовать никакие окна и события пользовательского интерфейса. Пользовательский интерфейс использовать нельзя. |
Каждый уровень разрешений, определяемый перечислением UIPermissionWindow, позволяет выполнять меньшее количество действий, чем вышестоящий. В таблицах ниже показаны действия, выполнение которых ограничивается значениями SafeTopLevelWindows и SafeSubWindows. Точные разрешения, необходимые для каждого члена, представлены в справочном разделе для этого члена в документации по библиотеке классов .NET Framework.
Разрешение SafeTopLevelWindows ограничивает действия, представленные в таблице ниже.
| Компонент | Ограниченные действия |
|---|---|
| Application | — Задание значения для свойства SafeTopLevelCaptionFormat. |
| Control | — Получение значения для свойства Parent. — Задание значения для свойства Region.— Вызов методов FindForm, Focus, FromChildHandle и FromHandle, PreProcessMessage, ReflectMessage, или SetTopLevel. — Вызов метода GetChildAtPoint в том случае, если возвращаемый элемент управления не является дочерним по отношению к вызывающему элементу. — Изменение фокуса элемента управления в контейнерном элементе управления. |
| Cursor | — Задание значения для свойства Clip. — Вызов метода Hide. |
| DataGrid | — Вызов метода ProcessTabKey. |
| Form | — Получение свойства ActiveForm или свойства MdiParent. — Задание значения для свойств ControlBox, ShowInTaskbar или TopMost. — Задание значения для свойства Opacity ниже 50%. — Задание для свойства WindowState значения Minimized программным способом. — Вызов метода Activate. — Использование значений перечисления None,FixedToolWindow и SizableToolWindowFormBorderStyle. |
| NotifyIcon | — Использование компонента NotifyIcon полностью ограничено. |
Значение SafeSubWindows ограничивает выполнение действий, указанных в таблице ниже, в дополнение к ограничениям, устанавливаемым значением SafeTopLevelWindows.
| Компонент | Ограниченные действия |
|---|---|
| CommonDialog | — Отображение диалогового окна, унаследованного от класса CommonDialog. |
| Control | — Вызов метода CreateGraphics. — Задание значения для свойства Cursor. |
| Cursor | — Задание значения для свойства Current. |
| MessageBox | — Вызов метода Show. |
Размещение элементов управления сторонних производителей
Если ваши формы размещают элементы управления сторонних производителей, могут возникать другие операции управления окнами. Элемент управления стороннего производителя — это любой пользовательский UserControl, который разработан и скомпилирован не лично вами, а другим лицом. Несмотря на то, что вариантом размещения воспользоваться довольно сложно, теоретически элемент управления стороннего производителя может расширить свою поверхность отрисовки и полностью занять область вашей формы. Затем такой элемент управления может сымитировать важное диалоговое окно и запросить у ваших пользователей такие сведения, как сочетание имени пользователя и пароля или номера банковских счетов.
Чтобы ограничить такой потенциальный риск, используйте элементы управления только доверенных сторонних производителей. Если вы используете элементы управления стороннего производителя, загруженные из непроверяемого источника, рекомендуем просмотреть исходный код на предмет наличия потенциальной уязвимости. Убедившись, что источник не является вредоносным, скомпилируйте сборку самостоятельно и проверьте, соответствует ли исходный код сборке.
Вызовы API Windows
Если при разработке приложения требуется вызов функции из интерфейса API Windows, то вами осуществляется доступ к неуправляемому коду. В этом случае при работе с вызовами Windows API или значениями выполняемые действия кода с окном или операционной системой определить невозможно. Класс SecurityPermission и значение UnmanagedCode в перечислении SecurityPermissionFlag управляют предоставлением доступа к неуправляемому коду. Приложение может получить доступ к неуправляемому коду только при наличии разрешения UnmanagedCode. По умолчанию вызывать неуправляемый код могут только приложения, которые выполняются локально.
Некоторые элементы Windows Forms предоставляют неуправляемый доступ, который требует разрешения UnmanagedCode. В следующей таблице перечислены элементы пространства имен System.Windows.Forms, которым требуется такое разрешение. Дополнительные сведения о разрешениях, требуемых для элемента, см. в разделе документации по библиотеке классов .NET Framework.
| Компонент | Элемент |
|---|---|
| Application | - AddMessageFilterМетод Свойство - CurrentInputLanguage - ExitМетод - ExitThreadМетод Событие - ThreadException |
| CommonDialog | - HookProcМетод Метод - OwnerWndProc - ResetМетод - RunDialogМетод |
| Control | - CreateParamsМетод - DefWndProcМетод - DestroyHandleМетод - WndProcМетод |
| Help | Методы - ShowHelp - ShowHelpIndexМетод |
| NativeWindow | Класс - NativeWindow |
| Screen | - FromHandleМетод |
| SendKeys | - SendМетод - SendWaitМетод |
Если приложение не имеет разрешения на вызов неуправляемого кода, оно должно запросить разрешение UnmanagedCode. В противном случае стоит подумать о других способах реализации таких возможностей. В большинстве случаев Windows Forms предоставляет управляемую альтернативу функциям API Windows. Если альтернативного способа нет, а приложению необходимо получать доступ к неуправляемому коду, повысьте уровень разрешений для такого приложения.
Благодаря разрешению на вызов неуправляемого кода приложение может выполнять практически любые действия. Следовательно, разрешение на вызов неуправляемого кода должно предоставляться только приложениям из доверенного источника. Кроме того, в зависимости от приложения, часть функциональных возможностей приложения, вызывающих неуправляемый код, может быть необязательной или использоваться только в среде с полным доверием. Дополнительные сведения об опасных разрешениях см. в разделе Опасные разрешения и администрирование политик. Дополнительные сведения о повышении уровня разрешений см. в разделе Общее администрирование политик безопасности.
См. также
.NET Desktop feedback
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по