Именованные наборы разрешений. Изменение политики безопасности.
Именованный набор разрешений состоит из не менее чем одного разрешения на доступ, причем у этого набора есть имя. Используя такое имя, администратор может связать кодовую группу с соответствующим набором разрешений. С именованным набором разрешений может быть связано более одной кодовой группы. И хотя администраторы могут определять свои собственные именованные наборы, но имеется также и несколько встроенных:
- Nothing (Ничего). Нет разрешений, то есть работать нельзя;
- Execution (Выполнение). Разрешен только запуск, но нельзя использовать защищенные ресурсы;
- Internet. Набор разрешений, определяемый политикой по умолчанию, подходит для содержимого неизвестного происхождения;
- Locallntranet. Набор разрешений, определяемый политикой по умолчанию, применяемой в пределах предприятия;
- Everything (Все). Все стандартные (то есть встроенные) разрешения, за исключением разрешения опускать проверку;
- FullTrust. Полный доступ ко всем ресурсам, защищенным разрешениями, которые могут быть неограниченными.
Из всех встроенных именованных наборов разрешений изменять можно только Everything (Все). В любом случае вы можете определять свои собственные наборы разрешений.
Изменение политики безопасности
Политика безопасности хранится в нескольких XML-файлах конфигурации. Конфигурация защиты машины находится в файле security.config, который хранится в папке \WINNT\Microsoft.NETXFramework\vx.x.xxxx\CONFIG. Конфигурация защиты пользователя также хранится в файле security .config, но этот файл хранится в другой папке, \Documents and Settings\UserName\Application DataXMicrosoft\CLR Security Config\vx.x.xxxx.
Редактировать эти XML-файлы напрямую не рекомендуется. Делать изменения в политике на уровнях предприятия, машины и пользователя можно с помощью сервисной программы caspol.exe (Code Access Security Policy, Политика защиты доступа к коду), запускаемой с командной строки.
Рис. 13.4. Наборы разрешений и группы для политики на уровне машины
Сервисная программа администрирования .NET Admin Tool, которая также позволяет изменять политику, имеет более дружественный интерфейс. Она была описана в главе 7 "Сборки и развертывание". Эта сервисная программа является дополнительным модулем, присоединенным к консоли ММС, ее можно запустить двойным щелчком на файле \WINNT\Microsoft.NET\Framework\vl. 0.2914 \mscorcf g.mse. (Если версия сервисной программы больше, то папка будет другой.). На рис. 13.4 показаны кодовые группы и наборы разрешений, определенные для машины, а также уровни политики безопасности текущего пользователя – именно так, как они отображаются в левой области окна сервисной программы администрирования .NET Admin Tool.