Partilhar via


Segurança de acesso a código da integração CLR

Aplica-se a: SQL Server

O CLR (common language runtime) dá suporte a um modelo de segurança denominado segurança de acesso para código gerenciado. Nesse modelo, são concedidas permissões a assemblies com base na identidade do código. Para obter mais informações, consulte a seção "Segurança de acesso do código" no Software Development Kit do .NET Framework.

A política de segurança que determina as permissões concedidas a assemblies é definida em três locais diferentes:

  • Política de computador: essa é a política em vigor para todo o código gerenciado em execução no computador no qual o SQL Server está instalado.

  • Política de usuário: trata-se da política em vigor para o código gerenciado hospedado por um processo. Para o SQL Server, a política de usuário é específica para a conta do Windows na qual o serviço do SQL Server está sendo executado.

  • Política de host: essa é a política configurada pelo host do CLR (nesse caso, SQL Server) que está em vigor para o código gerenciado em execução nesse host.

O mecanismo da segurança de acesso do código para o qual o CLR oferece suporte se baseia na pressuposição de que o runtime pode hospedar tanto o código totalmente confiável quanto o parcialmente confiável. Os recursos protegidos pela segurança de acesso ao código CLR normalmente são encapsulados por interfaces de programação de aplicativos gerenciados que exigem a permissão correspondente antes de permitir o acesso ao recurso. A demanda para a permissão é satisfatória apenas quando todos os chamadores (no nível de assembly) na pilha de chamadas tiverem a permissão do recurso correspondente.

O conjunto de permissões de segurança de acesso ao código que são concedidas ao código gerenciado ao ser executado dentro do SQL Server é a interseção do conjunto de permissões concedidas pelos três níveis de política acima. Mesmo que o SQL Server conceda um conjunto de permissões a um assembly carregado no SQL Server, o eventual conjunto de permissões concedido ao código do usuário pode ser restrito ainda mais pelas políticas de nível de usuário e de computador.

Conjuntos de permissões do nível de política do host do SQL Server

O conjunto de permissões de segurança de acesso ao código concedidas a assemblies pelo nível de política de host do SQL Server é determinado pelo conjunto de permissões especificado ao criar o assembly. Há três conjuntos de permissões: SAFE, EXTERNAL_ACCESS e UNSAFE (especificados usando a opção PERMISSION_SET de CREATE ASSEMBLY (Transact-SQL)).

O SQL Server fornece um nível de política de segurança no nível do host para o CLR ao hospedá-lo; Essa política é um nível de política adicional abaixo dos dois níveis de política que estão sempre em vigor. Essa política é definida para cada domínio de aplicativo criado pelo SQL Server. Essa política não se destina ao domínio de aplicativo padrão que estaria em vigor quando o SQL Server criasse uma instância do CLR.

A política de nível de host do SQL Server é uma combinação da política fixa do SQL Server para assemblies do sistema e da política especificada pelo usuário para assemblies de usuário.

A política fixa para assemblies CLR e assemblies do sistema SQL Server concede a eles confiança total.

A parte especificada pelo usuário da política de host do SQL Server é baseada no proprietário do assembly que especifica um dos três buckets de permissão para cada assembly. Para obter mais informações sobre as permissões de segurança listadas abaixo, consulte o SDK do .NET Framework.

SAFE

Somente a computação interna e o acesso a dados local são permitidos. SAFE é o conjunto de permissões mais restritivo. O código executado por um assembly com permissões SAFE não pode acessar recursos externos do sistema, como arquivos, rede, variáveis de ambiente ou o registro.

Os assemblies SAFE têm as seguintes permissões e valores:

Permissão Valor(es)/descrição
SecurityPermission Execução: permissão para executar código gerenciado.
SqlClientPermission Conexão de contexto = true, conexão de contexto = yes: somente a conexão de contexto pode ser usada e a cadeia de conexão só pode especificar um valor de "conexão de contexto=true" ou "conexão de contexto=sim".

AllowBlankPassword = false: senhas em branco não são permitidas.

EXTERNAL_ACCESS

EXTERNAL_ACCESS assemblies têm as mesmas permissões que os assemblies SAFE , com a capacidade adicional de acessar recursos externos do sistema, como arquivos, redes, variáveis ambientais e o Registro.

EXTERNAL_ACCESS assemblies também têm as seguintes permissões e valores:

Permissão Valor(es)/descrição
DistributedTransactionPermission Irrestrito: transações distribuídas são permitidas.
DNSPermission Irrestrito: Permissão para solicitar informações de Servidores de Nomes de Domínio.
EnvironmentPermission Irrestrito: O acesso total às variáveis de ambiente do sistema e do usuário é permitido.
EventLogPermission Administrar: as seguintes ações são permitidas: criar uma fonte de eventos, ler logs existentes, excluir fontes ou logs de eventos, responder a entradas, limpar um log de eventos, ouvir eventos e acessar uma coleção de todos os logs de eventos.
FileIOPermission Irrestrito: o acesso total a arquivos e pastas é permitido.
KeyContainerPermission Irrestrito: o acesso total aos contêineres de chaves é permitido.
NetworkInformationPermission Acesso: O ping é permitido.
Permissão de registro Permite direitos de leitura para HKEY_CLASSES_ROOT, HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG e HKEY_USERS.
SecurityPermission Asserção: capacidade de afirmar que todos os chamadores desse código têm a permissão necessária para a operação.

ControlPrincipal: capacidade de manipular o objeto principal.

Execução: permissão para executar código gerenciado.

SerializationFormatter: capacidade de fornecer serviços de serialização.
SmtpPermission Acesso: Conexões de saída para a porta 25 do host SMTP são permitidas.
SocketPermission Conectar: conexões de saída (todas as portas, todos os protocolos) em um endereço de transporte são permitidas.
SqlClientPermission Irrestrito: o acesso total à fonte de dados é permitido.
StorePermission Irrestrito: o acesso total aos repositórios de certificados X.509 é permitido.
WebPermission Conectar: conexões de saída com recursos da Web são permitidas.

UNSAFE

O UNSAFE permite que assemblies tenham acesso irrestrito a recursos, dentro e fora do SQL Server. O código executado de dentro de um assembly UNSAFE também pode chamar código não gerenciado.

Os assemblies UNSAFE recebem FullTrust.

SAFE é a configuração de permissão recomendada para assemblies que executam tarefas de computação e gerenciamento de dados sem acessar recursos fora do SQL Server.

EXTERNAL_ACCESS é recomendado para assemblies que acessam recursos fora do SQL Server. EXTERNAL_ACCESS assemblies por padrão são executados como a conta de serviço do SQL Server. É possível que EXTERNAL_ACCESS código represente explicitamente o contexto de segurança da Autenticação do Windows do chamador. Como o padrão é executar como a conta de serviço do SQL Server, a permissão para executar EXTERNAL_ACCESS só deve ser concedida a logons confiáveis para serem executados como a conta de serviço.

Do ponto de vista da segurança, os assemblies EXTERNAL_ACCESS e UNSAFE são idênticos. No entanto, EXTERNAL_ACCESS montagens fornecem várias proteções de confiabilidade e robustez que não estão em montagens INSEGURAS .

Especificar UNSAFE permite que o código no assembly execute operações ilegais no espaço de processo do SQL Server e, portanto, pode comprometer a robustez e a escalabilidade do SQL Server. Para obter mais informações sobre como criar assemblies CLR no SQL Server, consulte Gerenciando assemblies de integração CLR.

Importante

O SQL Server contém assemblies CLR que o mecanismo do mecanismo de banco de dados usa para fornecer determinadas funcionalidades. O Microsoft.SQLServer.Types assembly incluído na instalação do SQL Server aparece nos metadados como um assembly UNSAFE . Isso ocorre por design. Esses assemblies são considerados confiáveis e seguros por padrão.

Acessando recursos externos

Se um UDT (tipo definido pelo usuário), procedimento armazenado ou outro tipo de assembly de construção estiver registrado com o conjunto de permissões SAFE , o código gerenciado em execução na construção não poderá acessar recursos externos. No entanto, se os conjuntos de permissões EXTERNAL_ACCESS ou UNSAFE forem especificados e o código gerenciado tentar acessar recursos externos, o SQL Server aplicará as seguintes regras:

If Então
O contexto de execução corresponde a um logon do SQL Server. As tentativas de acessar recursos externos são negadas, e ocorre uma exceção de segurança.
O contexto de execução corresponda a um logon do Windows e seja o chamador original. O recurso externo é acessado no contexto de segurança da conta de serviço do SQL Server.
O chamador não for o chamador original. O acesso será negado, e ocorrerá uma exceção de segurança.
O contexto de execução corresponder a um logon do Windows e o contexto da execução for o chamador original, e o chamador tiver sido representado. O acesso usará o contexto de segurança do chamador, não a conta de serviço.

Resumo do conjunto de permissões

O gráfico a seguir resume as restrições e permissões concedidas aos conjuntos de permissões SAFE, EXTERNAL_ACCESS e UNSAFE.

Funcionalidade SEGURO EXTERNAL_ACCESS INSEGURO
Permissões de segurança de acesso ao código Somente execução Execução + acesso a recursos externos Irrestrito (inclusive P/Invoke)
Restrições do modelo de programação Sim Sim Sem restrições
Requisito de verificabilidade Sim Sim No
Acesso a dados locais Sim Sim Sim
Capacidade de chamar código nativo No No Sim

Confira também

Segurança da integração CLR
Atributos de proteção de host e programação da Integração CLR
Restrições do modelo de programação da integração CLR
Ambiente hospedado de CLR