CLR 集成代码访问安全性

公共语言运行时 (CLR) 支持用于托管代码的一种称为代码访问安全性的安全模式。 在这种模式下,根据代码的标识来对程序集授予权限。 有关详细信息,请参阅 .NET Framework 软件开发包中的“代码访问安全性”部分。

决定授予程序集的权限的安全策略定义在三个不同的位置:

  • 计算机策略:这是对安装SQL Server的计算机中运行的所有托管代码有效的策略。

  • 用户策略:这是对进程承载的托管代码有效的策略。 对于SQL Server服务正在运行。

  • 主机策略:在本例中,这是 CLR (的主机设置的策略,SQL Server) 该主机中运行的托管代码有效。

CLR 支持的代码访问安全机制基于如下假设:运行时既可承载完全可信任的代码,也可承载部分可信任的代码。 受 CLR 代码访问安全性保护的资源通常由托管应用程序编程接口包装,这些接口在允许访问资源之前需要相应的权限。 仅当调用堆栈中) 程序集级别 (的所有调用方都具有相应的资源权限时,才满足对权限的要求。

在SQL Server内部运行时授予托管代码的代码访问安全权限集授予SQL Server中加载的程序集的一组权限,用户和计算机级策略可能会进一步限制授予用户代码的最终权限集。

SQL Server 主机策略级别权限集

SQL Server主机策略级别授予程序集的代码访问安全权限集由创建程序集时指定的权限集确定。 有三个权限集:SAFE使用 EXTERNAL_ACCESSUNSAFECREATE ASSEMBLY (Transact-SQL ) ) 的 PERMISSION_SET 选项指定 (。

SQL Server。 此策略并非针对在 SQL Server 创建 CLR 实例时将生效的默认应用程序域。

SQL Server系统程序集的固定策略和用户程序集的用户指定的策略。

CLR 程序集和 SQL Server 系统程序集的固定策略为程序集授予完全信任的权限。

SQL Server主机策略的用户指定部分基于为每个程序集指定三个权限存储桶之一的程序集所有者。 有关以下列出的安全权限的详细信息,请参阅 .NET Framework SDK。

SAFE

仅允许内部计算和本地数据访问。 SAFE 是最具限制性的权限集。 由具有 SAFE 权限的程序集执行的代码无法访问外部系统资源,例如文件、网络、环境变量或注册表。

SAFE 程序集具有以下权限和值:

权限 值/说明
SecurityPermission Execution: 用于执行托管代码的权限。
SqlClientPermission Context connection = truecontext connection = yes:只能使用上下文连接并且连接字符串只能指定值“context connection=true”或“context connection=yes”。

AllowBlankPassword = false: 不允许使用空密码。

EXTERNAL_ACCESS

EXTERNAL_ACCESS程序集具有与程序集相同的权限 SAFE ,具有访问外部系统资源(如文件、网络、环境变量和注册表)的额外功能。

EXTERNAL_ACCESS 程序集还具有以下权限和值:

权限 值/说明
DistributedTransactionPermission Unrestricted: 允许分布式事务。
DNSPermission Unrestricted: 从域名服务器请求信息的权限。
EnvironmentPermission Unrestricted: 允许对系统和用户环境变量进行完全访问。
EventLogPermission Administer: 允许执行以下操作:创建事件源、读取现有日志、删除事件源或日志、对项做出响应、清除事件日志、侦听事件以及访问所有事件日志的集合。
FileIOPermission Unrestricted: 允许对文件和文件夹进行完全访问。
KeyContainerPermission Unrestricted: 允许对密钥容器进行完全访问。
NetworkInformationPermission Access: 允许进行 Ping 操作。
RegistryPermission 允许对 HKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_CURRENT_USERHKEY_CURRENT_CONFIGHKEY_USERS. 的读取权限。
SecurityPermission Assertion: 能够断言此代码的所有调用方都具有执行该操作所需的权限。

ControlPrincipal: 能够操作主体对象。

Execution: 用于执行托管代码的权限。

SerializationFormatter: 能够提供序列化服务。
SmtpPermission Access: 允许与 SMTP 主机端口 25 建立出站连接。
SocketPermission Connect: 允许与传输地址建立出站连接(所有端口、所有协议)。
SqlClientPermission Unrestricted: 允许对数据源进行完全访问。
StorePermission Unrestricted: 允许对 X.509 证书存储区进行完全访问。
WebPermission Connect: 允许与 Web 资源建立出站连接。

UNSAFE

UNSAFE 允许程序集不受限制地访问SQL Server内外的资源。 从 UNSAFE 程序集内部执行代码时也可以调用非托管代码。

UNSAFE 程序集被授予 FullTrust

重要

SAFE是执行计算和数据管理任务而不访问SQL Server外部资源的程序集的建议权限设置。 EXTERNAL_ACCESS默认情况下,程序集作为SQL Server服务帐户执行,应仅向受信任的登录名授予以EXTERNAL_ACCESS服务帐户身份运行的登录名执行权限。 从安全角度来看,EXTERNAL_ACCESSUNSAFE 程序集是等同的。 但是,EXTERNAL_ACCESS 程序集提供了 UNSAFE 程序集所不具备的各种可靠性和健壮性保护。 指定UNSAFE允许程序集中的代码对SQL Server执行非法操作。 有关在 SQL Server 中创建 CLR 程序集的详细信息,请参阅管理 CLR 集成程序集

访问外部资源

如果用户定义类型 (UDT)、存储过程或其他类型的构造程序集均使用 SAFE 权限集进行注册,则在构造中执行的托管代码将无法访问外部资源。 但是,如果EXTERNAL_ACCESS指定 了 或 UNSAFE 权限集,并且托管代码尝试访问外部资源,SQL Server将应用以下规则:

如果 Then
执行上下文对应于某个 SQL Server 登录帐户。 拒绝访问外部资源的尝试并引发一个安全异常。
执行上下文与 Windows 登录名相对应并且执行上下文为原始调用方。 外部资源在 SQL Server 服务帐户的安全上下文下访问。
调用方不是原始调用方。 拒绝访问并引发一个安全异常。
执行上下文与 Windows 登录名相对应并且执行上下文是原始调用方,而该调用方已被模拟。 访问使用调用方安全上下文,而非服务帐户。

权限集汇总

下表总结了授予 SAFEEXTERNAL_ACCESSUNSAFE 权限集的权限以及为其设定的限制。

SAFE EXTERNAL_ACCESS UNSAFE
Code Access Security Permissions 仅执行 执行和访问外部资源 不受限制(包括 P/Invoke)
Programming model restrictions 无限制
Verifiability requirement
Local data access
Ability to call native code

另请参阅

CLR 集成安全性
宿主保护属性和 CLR 集成编程
CLR 集成编程模型限制
CLR 宿主环境