Administração com atributos do grupo de códigos
Importante |
---|
No .NET Framework versão 4, o common language runtime (CLR) está se afastando fornecendo a diretiva de segurança de computadores.Microsoft recomenda o uso de diretivas de restrição de Software do Windows como um substituto para a diretiva de segurança do CLR.As informações neste tópico se aplica à.NET Framework versão 3.5 e anterior; não se aplica à versão 4.0 e posterior.Para obter mais informações sobre esta e outras alterações, consulte Alterações de segurança na.NET Framework 4. |
Suponha que você seja um administrador de empresa responsável pela administração de diretiva de segurança para um número de estações de trabalho. No domínio corporativa típica, o administrador da rede tem privilégios administrativos em cada servidor e cada cliente. No entanto, não é incomum para usuários individuais ter privilégios administrativos em uma única estação de trabalho. Como resultado, o administrador de rede tem privilégios administrativos no nível de diretiva da empresa e o administrador de estação de trabalho tem privilégios administrativos no nível de diretiva da máquina. Nessa situação, o administrador da rede parece ter mais controle sobre a diretiva, porque a diretiva corporativa é avaliada primeiro e a diretiva de máquina não é permitida para afrouxar as decisões de segurança feitas pelo administrador de nível corporativo. No entanto, o administrador de nível de máquina pode ainda aumentar a segurança, dividindo potencialmente aplicativos confiáveis, caso contrário, seriam tenha recebido permissão para executar. Por esse motivo, os mais altos níveis de diretiva podem optar por excluir as decisões de diretiva de nível inferior de serem avaliadas.
Você pode fazer isso, aplicando o LevelFinal ou Exclusive atributo para um grupo de códigos usando uma das ferramentas de diretiva de segurança.
Atributo de nível Final
Quando aplicado a um grupo de código, o LevelFinal atributo exclui qualquer nível de diretiva de serem avaliadas abaixo do nível atual. Por exemplo, se você aplicar o LevelFinal atributo para o grupo de códigos de intranet local em nível corporativo, qualquer grupo de códigos no nível da máquina não será avaliado, mesmo se um administrador de nível de máquina tiver feito alterações. Aplicando o LevelFinal garantias de atributo que um assembly associado a um grupo de códigos, marcado com esse atributo será nunca receber menos permissões por causa das decisões tomadas por um menor diretiva nível administrador. Para obter informações sobre a configuração do LevelFinal de atributo em um padrão ou um grupo de código personalizado, consulte o .NET Framework (Mscorcfg) ou ferramenta de política de segurança de acesso de código (Caspol. exe).
Atributo exclusivo
Quando aplicado a um grupo de código, o Exclusive atributo impede que outros grupos de código no mesmo nível de diretiva sejam ignoradas quando o tempo de execução calcula as permissões para os assemblies que são o grupo de código exclusivo. No entanto, o níveis de diretiva acima e abaixo do nível atual ainda são avaliados. Este atributo permite a um grupo de código específico tomar a decisão exclusivamente para o nível de política atual sobre quais permissões são concedidas a conjuntos que correspondam a esse grupo. Isso é útil quando você deseja conceder um conjunto específico de permissões a conjuntos específicos, sem conceder permissões a partir de outras correspondências de grupo de código no mesmo nível de diretiva.
Observe que um assembly não é permitido executar se ele pertencer a mais de um grupo de código são marcados como exclusivo. Portanto, use o Exclusive atributo moderadamente durante a administração de diretiva de segurança personalizado. Para obter informações sobre a configuração do Exclusive atributo em um interno personalizado ou em código de grupo, consulte o .NET Framework (Mscorcfg) ou ferramenta de política de segurança de acesso de código (Caspol. exe).