安全性原則管理
重要事項 |
---|
在 .NET Framework 4 版 中,Common Language Runtime (CLR) 不會為電腦提供安全性原則。Microsoft 建議您使用 Windows 軟體限制原則做為 CLR 安全性原則的取代項目。本主題中的資訊適用於 .NET Framework 3.5 (含) 以前版本,而不適用於 4 (含) 以後版本。如需這項變更和其他變更的詳細資訊,請參閱 .NET Framework 4 中的安全性變更。 |
安全性原則是 Common Language Runtime 在決定要授與程式碼的使用權限時所遵照的一組可設定規則。 程式碼是以其組件檔來識別,而這個組件檔不是可執行檔 (.exe) 就是程式庫 (.dll)。 執行階段會檢查組件的可辨識特性 (例如程式碼來源的網站或區域),然後決定程式碼對資源的存取權限。 這些特性是定義成與組件關聯的 System.Security.Policy.Evidence。 組件的常見 Evidence 包括 Url、Zone、StrongName 和 Hash。 在執行期間,執行階段會使用 Evidence 確保程式碼只存取已授與它存取權限的資源。
安全性原則會定義幾個程式碼群組,並將每個群組與一組使用權限相關聯。 安全性系統會使用 Evidence 來判斷組件所屬的程式碼群組。 在考慮完所有的辨識項 (Evidence) 之後,組件會與一個或多個程式碼群組產生關聯,而授與給此組件的使用權限,包括所有與相符程碼群組關聯的使用權限。
根據預設,如果執行組件的電腦就是存放組件的電腦,這些組件就會位於 MyComputer 區域中。 MyComputer 區域辨識項會將程式碼放在 My_Computer_Zone 程式碼群組中,並授與它完全信任的使用權限。 完全信任的使用權限集合會略過安全性檢查,並授與程式碼存取所有受保護資源的權限。 因此,您只能在自己的電腦安裝來自您完全信任之來源的應用程式,這一點非常重要。 在 .NET Framework 3.5 版 Service Pack 1 (SP1) 中,完全信任已擴充到您從內部網路及從自己的電腦執行的組件。 同樣地,您也只能執行自己完全信任的內部網路應用程式。 安全性原則管理員可以選擇將內部網路應用程式的原則,還原到先前所授與的部分信任狀態。
雖然預設安全性原則適用於大部分的情況,但是系統管理員仍可依據組織的特定需求來修改或自訂安全性原則。 Runtime 會根據安全性原則,將使用權限同時授與組件 (Assembly) 和應用程式定義域。
在本節中
安全性原則模型
描述安全性原則系統的元件。使用權限授權
描述 Common Language Runtime 如何將使用權限授與程式碼。預設安全性原則
描述預設的安全性原則設定方式。管理安全性原則
描述系統管理員如何檢視和修改安全性原則。HOW TO:啟用 Managed 執行的 Internet Explorer 安全性設定
描述 Microsoft Internet Explorer 安全性設定對 Managed 執行的影響。
相關章節
安全性原則的最佳作法
說明管理員可用來維護電腦或企業安全性原則的技術。重要的安全性概念
介紹使用 .NET Framework 安全性之前您必須了解的基本概念。使用權限
描述使用權限物件和執行階段如何使用它們。程式碼存取安全性
詳細描述 .NET Framework 程式碼存取安全性,並提供將它用於您的程式碼中的指示。安全性工具
列出並簡要描述包含在 .NET Framework 中的安全性工具。