Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Código Access política Security Tool (Caspol.exe)

The ferramenta Code Access Security Policy enables users and administrators to Modify política de segurança for the Computador nível de política, nível de política the usuário, and the nível de política corporação.


                      
                        caspol
                      
                       [
                      options
                      ]
                    

OPTION

Descrição

-addfulltrust assembly_file

OR

-af assembly_file

Adds an assembly that Implements a personalizado objeto de segurança (such as a personalizado permissão or a personalizado condição associação) to the full Confiar lista assembly for a specific nível de política. O argumento assembly_file especifica o assembly para adicionar. Esse arquivo deve ser assinado com um nome forte. Você pode assinar um conjunto de módulos (assembly) com um nome de alta segurança usando o ferramenta Nome de Alta Segurança (Sn.exe).

Whenever a conjunto de permissões containing a personalizado permissão is Added to Policy, the assembly Implementing the personalizado permissão must be added to the full Confiar lista for that nível de política. Assemblies that personalizado implementar Objects Security (such as personalizado Groups codificar or conditions associação) Used in a política de segurança (such as the Computador Policy) Always should be added to the lista assembly confiança completa.

cb6t8dtz.alert_caution(pt-br,VS.80).gifCuidado:
Se o assembly que implementa o objeto de segurança personalizada faz referência a outros assemblies, você deve adicionar primeiro os assemblies referenciados à lista de assemblies confiáveis.Custom Segurança Objects Created Using Visual Basic, C++, and JScript Reference Either Microsoft.VisualBasic.dll, Microsoft.VisualC.dll, or Microsoft.JScript.dll, respectively.Esses conjuntos de módulos (assemblies) não está no completo Confiar lista assembly Por padrão.You Must adicionar the apropriado assembly to the confiança completa Lista Before You adicionar a personalizado objeto de segurança.Failure to SO will interromper the Segurança, causing assemblies all to fail to sistema carregar.Nessa situação, a opção Caspol. exe -all - reset não corrige segurança.Para reparar segurança, você deve manualmente editar a segurança Arquivos para remover o personalizado objeto de segurança.

-addgroup {parent_label | parent_name}mship pset_namesinalizadores

OR

-AG {parent_label | parent_name}mship pset_namesinalizadores

Adds a new Código GRUPO to the Código GRUPO hierarquia. Você pode especificar o parent_label ou parent_name. O argumento parent_label especifica o rotular (such as 1. ou 1.1.) do Código GRUPO que é o pai do Código GRUPO que está sendo adicionado. The argumento parent_name specifies the name of the Código GRUPO that is the pai of the Código GRUPO being ADDED. Porque parent_label e parent_name podem ser usados de forma intercambiável, Caspol.exe deve ser capaz distinguir entre eles. Portanto, parent_name não é possível começar com um número. Além disso, parent_name só pode conter A-Z, 0-9 e o caractere de sublinhado.

The condição associação for the New specifies the argumento mship Código GRUPO. Para obter mais informações, consulte a tabela de argumentos mship posteriormente nesta seção.

O argumento pset_name é o nome de conjunto de permissões que será associado com a nova Código GRUPO. You can also set one or more Flags for the New Agrupar. Para obter mais informações, consulte a tabela de argumentos Sinalizadores posteriormente nesta seção.

-addpset {psfile| psfile pset_name}

OR

-ap {named_psfile| psfile pset_name}

Adiciona um novo conjunto permissão nomeada à diretiva. The must be authored in XML and stored in an. Arquivo XML. Se o Arquivo XML contém o nome do conjunto de permissões, somente esse arquivo (psfile) for especificado. If the arquivo XML Does Not Contain the Permissão set name, You Must especificar both the arquivo XML Name (psfile) and the Permissão set name (pset_name).

Note that all Permissions Used in a conjunto de permissões must be defined in assemblies contained in the Global Assembly armazenar em cache.

-a[ll]

Indicates that all Options seguinte this one aplicar to the Computador, usuário, and Policies corporação. O -Tudo opção sempre se refere à diretiva do efetuou - em usuário. See the -customall opção To referir to the política de usuário of a usuário Outro than the atual usuário.

-chggroup {rótulo |Nome} {mship| pset_name |

flags }

OR

-CG{rótulo |Nome} {mship| pset_name |

flags }

As alterações uma Código condição associação do GRUPO, conjunto de permissões ou as configurações do exclusivo, LevelFinal, nomeou descrição sinalizadores. Você pode especificar o rótulo ou nome. O Rótulo argumento especifica a Rótulo (como 1. ou 1.1.) do Código GRUPO. The argumento Name specifies the name of the Código GRUPO to alteração. Porque rótulo e nome podem ser usados de forma intercambiável, Caspol.exe deve ser capaz distinguir entre eles. Portanto, nome não é possível começar com um número. Além disso, nome só pode conter A-Z, 0-9 e o caractere de sublinhado.

The argumento pset_name specifies the name of the conjunto de permissões to associar with the Código GRUPO. Consulte as tabelas posteriormente essa seção para obter informações sobre as mship e sinalizadores argumentos.

-chgpset pset_name psfile

OR

-cp psfile pset_name

Changes a nomeado Permissão Set. The psfile argumento Supplies the Novo definição for the conjunto de permissões; It is a serializado Permissão arquivo set in formato XML. O argumento pset_name Especifica o nome do conjunto de permissão que você deseja alterar.

-customall path

OR

-CA path

Indica que todas as opções seguinte este aplicar uma para o Computador, corporação e o personalizado especificado diretivas usuário. You Must especificar the localidade of the personalizado Segurança arquivo de configuração with the argumento caminho. usuário 's

-cu[stomuser] path

Allows the Administration of a Personalizar política de usuário that does not Belong to the usuário on whose Behalf Caspol.exe is currently execução. You Must especificar the localidade of the personalizado Segurança arquivo de configuração with the argumento caminho. usuário 's

-da empresa

OR

-en

Indicates that all Opções seguinte this one aplicar to the corporação nível Policy. Users who are not Administrators corporação Do Not Have sufficient Rights to modify the Policy corporação, Although they can Exibir IT. In Scenarios nonenterprise, this policy, Por padrão, does not interfere with Computador and política de usuário.

-e[xecution] {on | off}

Ativa ou desativa o mecanismo que verifica a permissão Executar antes o código começa a executar.

-f[orce]

Suprime teste Self-destruct da ferramenta e altera a diretiva conforme especificado pelo usuário. Normally, Caspol.exe Checks Whether any Changes Policy would evitar Caspol.exe itself de execução corretamente; If SO, Caspol.exe not the Policy Alterar and PRINTS an Error. To forçar Caspol.exe to Alterar Policy even if this Prevents Caspol.exe itself from execução, use the opção –force.

-h[elp]

Exibe a sintaxe de comando e opções para Caspol.exe.

-l[ist]

Lista de hierarquia de grupos de códigos e a permissão conjuntos para especificado Computador, usuário, corporação ou todos os níveis de diretiva. Caspol.exe displays the Código rotular 's GRUPO first, followed by the name, if it is not NULL.

-listdescription

Lists all Código GRUPO Descriptions for the specified nível de política.

-listfulltrust

OR

-LF

Lists the contents of the full Confiar lista assembly for the specified nível de política.

-listgroups

OR

-LG

Displays the Código Groups of the specified or Levels policy all. Caspol.exe displays the Código rotular 's GRUPO first, followed by the name, if it is not NULL.

-listpset ou -LP

Displays the Permissão Sets for the specified or Levels policy all.

-m[achine]

Indicates that all Options this one to the Computador Policy. Users who are not Administrators Do Not Have sufficient Rights to modify the Computador Policy, Although they can exibição IT. For Administrators, -Computador is the usar como padrão.

-polchgprompt { em | desativar}

OR

-págs. { em | desativar}

Ativa ou desativa o prompt que será exibido sempre que Caspol.exe é executado usando uma opção que poderia causar alterações de diretiva.

-quiet

OR

-q

Desativa temporariamente o prompt que normalmente é exibido para uma opção que faz com que as alterações de diretiva. O modelo global Alterar prompt configuração não Alterar. Use o Opção somente em uma base único comando para evitar desativando o prompt para todos os comandos Caspol.exe.

-r[ecover]

Recupera a diretiva de um arquivo de backup. Whenever a Policy Alterar is made, Caspol.exe Stores the old Policy in a .

-remfulltrust assembly_file

OR

-RF assembly_file

Removes an assembly from the full Confiar lista of a nível de política. This operação should be performed if a conjunto de permissões that contains a Personalizar permissão no longer is used by Policy. However, you should remover an assembly that Implements a personalizado permissão from the full Confiar lista only if the assembly not implementar any Other personalizado Permissions that are being Used still. Quando você remove um conjunto de módulos (assembly) da lista, você também deve remover quaisquer outros conjuntos de módulos (assemblies) que ele depende.

-remgroup {rótulo |Nome}

OR

-RG {label | nome}

Removes the Código GRUPO specified by Either its rotular or Name. Se especificado Código GRUPO tem filho Código grupos, Caspol.exe também remove todos o filho Código grupos.

-rempset pset_name

OR

-rp pset_name

Remove a permissão especificada definidas a partir da diretiva. O argumento pset_name indica qual permissão definida para remover. Caspol.exe removes the conjunto de permissões only if it is not associado with any Código GRUPO. Os conjuntos de permissão padrão (interno) não é possível remover; For Details, see Named Permissão Sets.

-Redefinir

OR

-RS

Returns Policy to its estado usar como padrão and it persists No Disco. This is useful whenever seems a Policy changed to be Beyond reparar and you desejar to iniciar over com the Defaults instalação. Redefinindo também pode ser conveniente quando você deseja usar a diretiva padrão como um ponto de partida para modificações em arquivos de configuração de segurança específicos. Para obter mais informações, consulte editar manualmente os arquivos de configuração de segurança.

-resetlockdown

OR

-rsld

Returns Policy to a Mais restrictive versão of the estado usar como padrão and persists it to disco; creates a de backup of the Previous Computador Policy and persists it to a arquivo chamado security.config.bac. The Policy Locked Down is similar to the POLICY usar como padrão, Except that the Policy não grants permissão to Código from the Local Intranet, Trusted Sites, and Internet zones and the correspondente Código Groups não have filho Código Groups.

-resolvegroup assembly_file

OR

-RSG assembly_file

Mostra os grupos de códigos que um conjunto específico (assembly_file) pertence. Por padrão, this opção displays the Computador, usuário, and corporação Levels Policy to which the assembly belongs. Para exibição apenas uma nível de política, use esta opção com um de -Computador, -usuárioou -opção corporação.

-resolveperm assembly_file

OR

-rsp assembly_file

Displays Permissions all that the specified (or ) of Segurança Policy would Grant the assembly If the assembly were Allowed to . O argumento assembly_file especifica o conjunto de módulos (assembly). If You the - all, Caspol.exe calculates the permissions for the assembly based on , Computador, and Policy ; caso contrário, usar como padrão Comportamento Rules aplicar.

-s[ecurity] {on | off}

Turns Código Security acessar on or OFF. Specifying the -s off opção not desativar Role-Based Segurança.

Cuidado quando segurança de acesso a código for desativado, Todo o Código demandas acessar bem-sucedida. Desativar a segurança de acesso ao código torna o sistema vulnerável a ataques por código mal-intencionado como vírus e worms. Turning off Segurança gains some adicional desempenho but should only be When Other Segurança Measures have been taken to help Make sure Overall sistema Segurança is not breached. Exemplos de Outros precauções de segurança incluem desconectando de redes Público, proteger fisicamente computadores e assim por diante.

-u[ser]

Indicates that all Opções seguinte this one aplicar to the política de usuário for the usuário on whose Behalf Caspol.exe is execução. Para os usuários não-administrativos, -usuário é o padrão.

-?

Exibe a sintaxe de comando e opções para Caspol.exe.

The argumento mship, which specifies the condição associação for a grupo de códigos, can be used with the -addgroup and -chggroup Opções. Cada argumento mship é implementado como uma classe do .NET Framework. Para especificar mship , use uma das seguintes opções.

Argumento

Descrição

-Tudo

Specifies Todo o Código. Para obter mais informações Sobre esta condição associação, consulte o Classe AllMembershipCondition.

-appdir

Especifica o diretório de aplicativo. Se você especificar –appdir Como condição de associação, a evidência URL de Código é comparado com a evidência de que diretório de aplicativo Código. If Ambos evidência values are the same, this condição associação is satisfied. For more informações Sobre this condição associação, See the Class ApplicationDirectoryMembershipCondition.

-Personalizado xmlfile

Adds a Personalizar . The Mandatory xmlfile argumento specifies the. Arquivo XML that contains serialização XML of the personalizado condição associação.

-hash hashAlg{-hex hashValue | -file assembly_file}

Especifica o código que tenha o hash determinado conjunto de módulos (assembly). To Use a hash as a Código membro de grupo condição, You Must especificar Either the valor de hash or the arquivo assembly. Para obter mais informações sobre essa condição associação, consulte o Classe.

-pub { -certcert_file_name|

-file signed_file_name | -hexhex_string }

Especifica o código que tenha o editor do software determinado, conforme indicado por um arquivo de certificado, uma assinatura em um arquivo ou a representação hexadecimal de um x 509 certificado. Para obter mais informações sobre essa condição associação, consulte o Classe.

-site website

Especifica o código que possui o determinado site de origem. Por exemplo:

-site www.proseware.com

For more informações Sobre this condição associação, See the Class SiteMembershipCondition.

-strong -file file_name {name | -noname} {version | -noversion}

Specifies Código that has a specific nome forte, as designated by the arquivo name, the name assembly as a seqüência de caracteres, and the versão assembly in the formato principal.menor.compilar.Revision. Por exemplo:

- alta segurança - arquivo myAssembly.exe myAssembly 1.2.3.4

Para Mais informações sobre essa condição associação, consulte o Classe StrongNameMembershipCondition.

-url URL

Specifies Código that originates from the given URL. O URL deve incluir um protocolo, como http:// ou ftp: / /. Additionally, a caractere curinga (*) Can Be Used to especificar Múltiplo assemblies from a URL particular.

cb6t8dtz.alert_note(pt-br,VS.80).gifObservação:
Because a URL can be identified Using múltiplo Names, using a URL as a condição associação is not a way Safe to the identidade of ascertain Código.WHERE possible, use a condição associação nome forte, a Editor condição associação, or the condição associação hash.

For more informações Sobre this condição associação, See the Class UrlMembershipCondition.

-zone zonename

Especifica o código com a zona dada de origem. O argumento nome_da_zona pode ser uma das seguintes valores: MyComputer,Intranet,Trusted, Internet, or Não Confiável. For more informações Sobre this condição associação, See the ZoneMembershipCondition Class.

O argumento Sinalizadores, que pode ser usado com as opções –chggroup e –addgroup é especificado usando um dos seguinte.

Argumento

Descrição

-Descrição " description "

Se usado com a opção –addgroup, especifica a descrição de uma grupo de códigos para adicionar. Se usado com a opção –chggroup, especifica a descrição de uma grupo de códigos para editar. The argumento descrição must be enclosed in Duplo Quotes.

-exclusivo {em | desativar}

Quando definida como , na indica que somente o conjunto de permissões associado com o Código GRUPO você estiver adicionando ou modificando é considerado quando alguns Código ajusta a condição de associação de Código GRUPO. When this opção is set to off, Caspol.exe considers the Sets permissão of all compatível Código Groups in the nível de política.

-LevelFinal {em | desativar}

Quando definida como , em indica que não nível de política abaixo o nível no qual o adicionado ou modificado Código GRUPO ocorre é considerado. This is used at the Computador . For exemplo, If You set this sinalizador for a grupo de códigos at the Computador nível and some matches codificar condição associação this grupo de códigos 's, Caspol.exe does not Calculate or aplicar the política de usuário for this codificar.

-nome " name "

Se usado com a opção –addgroup, especifica o nome de script para um grupo de códigos para adicionar. Se usado com o -chggroup opção, especifica o nome de script para um grupo de códigos para editar. The argumento Name must be enclosed in Duplo Quotes. O argumento nome não pode começar com um número e só pode conter A-Z, 0-9 e o caractere de sublinhado. Código GROUPS can be referred to by this name instead of by their rotular numeric. O nome também é altamente útil para fins de script.

Diretiva de segurança é expresso usando três níveis de diretiva: Computador Policy, política de usuário, and Policy corporação. O conjunto de permissões que recebe um conjunto de módulos (assembly) é determinado pela interseção de conjuntos de permissão permitido por esses níveis de diretiva três. Cada nível de diretiva é representado por uma estrutura hierárquica de grupos de códigos. EVERY Código GRUPO has a condição associação that which determines Código is a membro of that GRUPO. A nomeado conjunto de permissões is also associado with each Código GRUPO. Esta conjunto de permissões especifica as permissões permite que o tempo de execução Código que satisfaça a condição associação ter. A Código , along with its Sets, Defines and maintains each of . You can use the –user, -customuser, –Computador and - Options to Set the of .

Para obter mais informações sobre a diretiva de segurança e como o tempo de execução determina quais permissões para conceder ao código, consulte Gerenciamento de diretivas de segurança.

Referencing Código Groups and Sets Permission

To Facilitate References to codificar Groups in a hierarquia, the - opção lista Displays an indented Lista de Grupos de Código along with their Labels numerical (1, 1.1, 1.1.1, and on SO). The other linha de comando Operations that destino Código Groups use also the Labels numerical to referir to specific Código Groups.

Named Permissão Sets are relacionado by their Names. Displays the lista of the opção –List Código Groups followed by a lista of nomeado permissão Sets disponível In that Policy. Para obter uma lista e descrições dos conjuntos de permissão interno fornecidas pelo tempo de execução, consulte NOME define permissões.

Comportamento Caspol.exe

All options except -s[ecurity] {on | off} use the version of the .NET Framework that Caspol.exe was installed with. If you executar the Caspol.exe that was installed with versão X of the tempo de execução, the changes Aplicar only to that versão. Outro Installations Side-by-Side of the tempo de execução, IF ANY, are not affected. If you executar Caspol.EXE from the linha de comando without being in a Diretório for a specific versão de tempo de execução, the ferramenta is executado from the Primeiro Diretório versão de tempo de execução in the caminho (usually the most Recent versão de tempo de execução Installed).

The -s[ecurity] {on | off} option is a computer-wide operation. Turning off acessar codificar Segurança terminates Segurança Checks for all código gerenciado and For all users on the computador. Se estiverem instaladas versões lado a-o .NET Framework, isso Comando desativa a segurança para cada versão instalado o computador. Embora o -opção Lista mostra que segurança é desativada, nada mais claramente indica para outros usuários que a segurança foi desativada.

When a usuário without administrativo Rights Runs Caspol.exe, All Options referir to the política de usuário unless the –Computador opção is specified. When an administrador Runs Caspol.exe, All referir Options to the Computador Policy unless the opção –user is specified.

Caspol.exe must be Granted the equivalente of the Everything Permissão set to função. A ferramenta possui um mecanismo de proteção que impede que a diretiva que está sendo modificado de maneiras que impediria Caspol.exe de ser concedido as permissões que ele precisa executar. If you try to make such Changes, Caspol.exe notifies you that the alteração Policy requested will Interrupção the ferramenta, and the alteração Policy is rejected. Você pode desativar este mecanismo de proteção para um determinado comando usando a opção –force.

Editar manualmente os arquivos de configuração de segurança

Três arquivos de configuração de segurança correspondem aos níveis de diretiva três suporte Caspol.exe: One for the Computador Policy, One for Policy 's a given, and one for the Policy . Esses arquivos são criados no disco somente quando Computador, usuário, ou corporação diretiva é alterado usando Caspol.exe. Você pode usar a opção –reset em Caspol.exe para salvar o política de segurança usar como padrão No Disco, se necessário.

Na maioria dos casos, editar manualmente os arquivos de configuração de segurança não é recomendável. Porém, podem existir situações em que modificar esses arquivos se torna necessário, como quando um administrador quiser editar a configuração de segurança para um usuário específico.

-addfulltrust

Suponha que um conjunto de permissões contendo um personalizado permissão foi adicionada ao Computador diretiva. This Personalizar permissão is implemented in MyPerm.exe, and MyPerm.exe References classes in MyOther.exe. Both assemblies must be added to the full Confiar lista assembly. The seguinte Command adds the assembly MyPerm.exe to the lista confiança completa for the Computador Policy.

caspol -machine -addfulltrust MyPerm.exe

The seguinte Command adds the assembly MyOther.exe to the lista confiança completa for the Computador Policy.

caspol -machine -addfulltrust MyOther.exe

-addgroup

The seguinte Command adds a grupo de códigos filho to the raiz of the Computador hierarquia de grupos de códigos Policy. The New Código GRUPO is a membro of the zona Internet and is associado with the conjunto de permissões Execution.

caspol -machine -addgroup 1.  -zone Internet Execution

The seguinte Comando adds a grupo de códigos filho that Gives the local \\netserver\netshare compartilhar Permissions intranet.

caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet

-addpset

O comando a seguir adiciona a permissão Mypset definida como a diretiva de usuário.

caspol -user -addpset Mypset.xml Mypset

-chggroup

O seguinte comando altera o conjunto de permissões na política de usuário de Código GRUPO rotulado 1.2. Para o execução Permissão definido.

caspol -user -chggroup 1.2. Execution

O seguinte comando altera a condição na diretiva de usar como padrão de associação de Código GRUPO rotulado 1.2.1. e altera a configuração do exclusivo Sinalizar. The condição associação is defined to be Código that originates from the zona Internet and the sinalizador Exclusive is switched on.

caspol -chggroup 1.2.1. -zone Internet -exclusive on

-chgpset

O comando a seguir altera a permissão definida com nome Mypset como o conjunto de permissões contido newpset.xml. Note that the atual versão not suporte Changing permissão Sets that are being Used by the hierarquia de grupos de códigos.

caspol -chgpset Mypset newpset.xml

-Forçar

The seguinte Comando causes grupo de códigos raiz the política de usuário 's (rotulado 1) to be associado with the Nothing nomeado conjunto de permissões. This Prevents Caspol.exe de .

caspol -force -user -chggroup 1 Nothing

-Recuperar

The seguinte Command recovers the Most Recently Saved Computador Policy.

caspol -machine -recover

-remgroup

The seguinte Comando removes the rotulado grupo de códigos 1.1. If this Código GRUPO has any filho Código Groups, Those Groups are also Deleted.

caspol -remgroup 1.1.

-rempset

O comando a seguir remove a permissão execução definida da diretiva de usuário.

caspol -user -rempset Execution

O comando a seguir remove Mypset a partir do nível de diretiva de usuário.

caspol -rempset MyPset

-resolvegroup

The seguinte Command shows All Groups codificar of the Computador Policy that myassembly belongs to.

caspol -machine -resolvegroup myassembly

The command shows All Groups of the Computador, , and specified that myassembly belongs to.

caspol -customall "c:\config_test\security.config" -resolvegroup myassembly

-resolveperm

The command calculates the permissions for testassembly based on the Computador and Levels .

caspol -all resolveperm testassembly

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft