Советы по администрированию
Важно |
---|
В версии .NET Framework 4 среда CLR больше не определяет политику безопасности для компьютеров.Корпорация Майкрософт рекомендует использовать вместо политики безопасности среды CLR политики ограниченного использования программ Windows.Сведения этого раздела относятся к .NET Framework 3.5 и более ранним версиям; они неприменимы к версии 4 и выше.Дополнительные сведения об этом и других изменениях см. в разделе Изменения системы безопасности в платформе .NET Framework 4. |
Рекомендации, описанные в этом разделе, применимы к любому сценарию администрирования. Их следует иметь в виду при установке и администрировании политики безопасности.
Долговременные стратегии администрирования политики
Определите допустимые категории доверия, которые можно использовать для администрирования политики. Определите несколько групп кода, чтобы выделить код, который скорее всего будет выполняться в текущей среде, и определите разрешения, которые должна получить каждая группа. Тщательно продумайте политику с учетом этих условий и выполните ее развертывание. При первоначальной настройке среды лучше установить общую политику, а не вводить ее по частям в соответствии с требованиями для запуска различных приложений.
Уровни администрирования
Выбор уровня политики для администрирования определяется предполагаемой областью охвата. Администрирование политики безопасности следует осуществлять на самом низком уровне, затрагивающем наименьшее число пользователей и при этом удовлетворяющем сценарию администрирования. Например:
При администрировании политики, затрагивающей все рабочие станции и всех пользователей сети предприятия, дополнять политику следует на уровне предприятия. Не следует вносить добавление на уровне предприятия для одного компьютера, если это дополнение не распространяется на все компьютеры предприятия.
При администрировании политики, затрагивающей всех пользователей конкретного компьютера, дополнять политику следует на уровне компьютера.
При администрировании политики для конкретного пользователя или группы пользователей добавления следует вносить на уровне пользователя.
Файловая система
Для хранения файлов политики безопасности следует использовать файловую систему NTFS во всех случаях, когда это возможно. NTFS позволяет обеспечивать защиту файлов, основанную на предоставлении прав пользователям и группам, и разрешает редактирование файлов конфигурации безопасности только пользователям, обладающим административными привилегиями определенного уровня. В системах, не использующих файловую систему NTFS, могут возникать уязвимые места в структуре безопасности, что позволяет пользователям, не имеющим надлежащих прав, вносить изменения в политику безопасности.