Иллюстрированный самоучитель по Architecture .NET

Именованные наборы разрешений. Изменение политики безопасности.

Именованный набор разрешений состоит из не менее чем одного разрешения на доступ, причем у этого набора есть имя. Используя такое имя, администратор может связать кодовую группу с соответствующим набором разрешений. С именованным набором разрешений может быть связано более одной кодовой группы. И хотя администраторы могут определять свои собственные именованные наборы, но имеется также и несколько встроенных:

  • Nothing (Ничего). Нет разрешений, то есть работать нельзя;
  • Execution (Выполнение). Разрешен только запуск, но нельзя использовать защищенные ресурсы;
  • Internet. Набор разрешений, определяемый политикой по умолчанию, подходит для содержимого неизвестного происхождения;
  • Locallntranet. Набор разрешений, определяемый политикой по умолчанию, применяемой в пределах предприятия;
  • Everything (Все). Все стандартные (то есть встроенные) разрешения, за исключением разрешения опускать проверку;
  • FullTrust. Полный доступ ко всем ресурсам, защищенным разрешениями, которые могут быть неограниченными.

Из всех встроенных именованных наборов разрешений изменять можно только Everything (Все). В любом случае вы можете определять свои собственные наборы разрешений.

Изменение политики безопасности

Политика безопасности хранится в нескольких XML-файлах конфигурации. Конфигурация защиты машины находится в файле security.config, который хранится в папке \WINNT\Microsoft.NETXFramework\vx.x.xxxx\CONFIG. Конфигурация защиты пользователя также хранится в файле security .config, но этот файл хранится в другой папке, \Documents and Settings\UserName\Application DataXMicrosoft\CLR Security Config\vx.x.xxxx.

Редактировать эти XML-файлы напрямую не рекомендуется. Делать изменения в политике на уровнях предприятия, машины и пользователя можно с помощью сервисной программы caspol.exe (Code Access Security Policy, Политика защиты доступа к коду), запускаемой с командной строки.

Иллюстрированный самоучитель по Architecture .NET › Защита › Именованные наборы разрешений. Изменение политики безопасности.
Рис. 13.4. Наборы разрешений и группы для политики на уровне машины

Сервисная программа администрирования .NET Admin Tool, которая также позволяет изменять политику, имеет более дружественный интерфейс. Она была описана в главе 7 "Сборки и развертывание". Эта сервисная программа является дополнительным модулем, присоединенным к консоли ММС, ее можно запустить двойным щелчком на файле \WINNT\Microsoft.NET\Framework\vl. 0.2914 \mscorcf g.mse. (Если версия сервисной программы больше, то папка будет другой.). На рис. 13.4 показаны кодовые группы и наборы разрешений, определенные для машины, а также уровни политики безопасности текущего пользователя – именно так, как они отображаются в левой области окна сервисной программы администрирования .NET Admin Tool.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.