Управление политикой безопасности

  • Статья
Важное примечаниеВажно

В версии .NET Framework 4 среда CLR больше не определяет политику безопасности для компьютеров.Корпорация Майкрософт рекомендует использовать вместо политики безопасности среды CLR политики ограниченного использования программ Windows.Сведения этого раздела относятся к .NET Framework 3.5 и более ранним версиям; они неприменимы к версии 4 и выше.Дополнительные сведения об этом и других изменениях см. в разделе Изменения системы безопасности в платформе .NET Framework 4.

Политика безопасности — это настраиваемый набор правил, которым следует среда CLR при определении разрешений, предоставляемых коду. Код определяется своим файлом сборки, который является либо исполняемым файлом (с расширением EXE), либо библиотекой динамической компоновки (с расширением DLL). Среда выполнения проверяет характеристики сборки, например веб-сайт или зону происхождения кода, чтобы определить возможность доступа кода к ресурсам. Эти характеристики определяются объектом System.Security.Policy.Evidence, связанным со сборкой. Для объекта Evidence сборки, как правило, устанавливаются значения Url, Zone, StrongName и Hash. Во время выполнения среда выполнения использует Evidence с целью предоставления коду доступа только к тем ресурсам, для которых он получил разрешение.

Политика безопасности определяет несколько групп кода и назначает каждой из них набор разрешений. Система безопасности использует класс Evidence для определения групп кода, к которым принадлежит сборка. После рассмотрения всех свидетельств сборка связывается с одной или несколькими группами кода, и результирующий набор предоставленных разрешений складывается из всех наборов разрешений, связанных с соответствующими группами кода.

Сборки, расположенные на компьютере, с которого они должны запускаться, по умолчанию принадлежат зоне MyComputer. Благодаря свидетельству зоны MyComputer код помещается в группу кода My_Computer_Zone и получает разрешение полного доверия. Набор разрешений полного доверия позволяет не выполнять проверки безопасности и предоставляет коду доступ ко всем защищенным ресурсам. По этой причине настоятельно рекомендуется устанавливать на компьютере приложения только из полностью доверенных источников. В платформе .NET Framework версии 3.5 с пакетом обновления 1 (SP1), полное доверие распространяется не только на сборки, установленные на компьютере, но и на код, запускаемый из интрасети. И в этом случае запускаться должны только полностью доверенные приложения интрасети. Администраторы политик безопасности могут восстановить ранее применявшуюся политику предоставления приложениям интрасети статуса частично доверенных.

Хотя политика безопасности по умолчанию подходит для большинства ситуаций, администраторы могут изменить или настроить ее в соответствии с требованиями конкретной организации. Среда выполнения предоставляет разрешения как для сборок, так и для доменов приложений, основанных на политике безопасности.

В этом подразделе

Связанные подразделы