辨識項
.gif "重要事項") 重要事項 |
|---|
在 .NET Framework 4 版 中,Common Language Runtime (CLR) 不會為電腦提供安全性原則。Microsoft 建議您使用 Windows 軟體限制原則做為 CLR 安全性原則的取代項目。本主題中的資訊適用於 .NET Framework 3.5 (含) 以前版本,而不適用於 4 (含) 以後版本。如需這項變更和其他變更的詳細資訊,請參閱 .NET Framework 4 中的安全性變更。 |
辨識項是 Common Language Runtime 用來根據安全性原則作決定的資訊。 辨識項會為 Runtime 指出程式碼具有特定的特性。 常用的辨識項形式包括數位簽章和程式碼來源位置,但是您也可以自行設計辨識項,用來表示對應用程式有用的其他資訊。 組件和應用程式定義域都是根據辨識項收到使用權限授權。
下表顯示主應用程式可提供給 Runtime 的常用辨識項類型。
辨識項 |
說明 |
|---|---|
應用程式目錄 |
應用程式的安裝目錄 |
雜湊 |
密碼編譯雜湊,例如 SHA1 |
發行者 |
軟體發行者的簽章,也就是程式碼的 Authenticode 簽署人 |
網站 |
來源網站,例如 https://www.microsoft.com/taiwan. |
強式名稱 |
組件的密碼編譯強式名稱 |
URL |
來源的 URL |
區域 |
來源區域,例如網際網路區域 |
除了表格中所列的辨識項形式以外,也可以將應用程式或系統定義的辨識項提供給 Runtime。 受信任的應用程式定義域主機可將有關組件或應用程式定義域的辨識項提供給 Runtime。 Runtime 會利用這項資訊來評估企業、電腦和使用者原則 (如果是由受信任的應用程式定義域主機設定,要再加上組件的應用程式定義域原則),然後將使用權限集合傳回並授與組件或應用程式定義域。 如果受信任的應用程式定義域主機沒有提供辨識項的使用權限,組件或應用程式定義域會收到已授與主應用程式的使用權限。
Runtime 可從受信任的應用程式定義域主機或直接從載入器收到有關組件的辨識項。 有些辨識項 (例如程式碼來源的位置) 通常來自受信任的應用程式定義域主機,因為只有主應用程式知道這項資訊。 受信任的應用程式定義域主機可覆寫載入器所提供的辨識項,然後提供自己的辨識項。
其他的辨識項 (例如組件的數位簽章) 是程式碼本身就有的,可來自載入器或受信任的應用程式定義域主機。 一般而言,Runtime 在載入程式碼時會驗證每一個組件的數位簽章。 如果數位簽章有效,受信任的應用程式定義域主機便會將簽章資訊當成辨識項,傳遞至 Runtime 的原則機制。 此外,組件或受信任的應用程式定義域主機可提供自訂辨識項,當做屬於組件一部分的資源。 系統管理員和開發人員可定義自訂辨識項並擴充安全性原則,以便能辨認和使用它。
Runtime 的原則機制會使用來自受信任的應用程式定義域主機和組件兩者的辨識項,決定程式碼片段在程式碼群組中的成員資格。