Caspol.exe (أداة نهج الأمان للوصول للتعليمات البرمجية)
أداة نهج الأمان للوصول للتعليمات البرمجية "(CAS) (Caspol.exe) تتيح للمستخدمين والمسؤولين تعديل نهج الأمان لمستوى نهج الجهاز و مستوى سياسة المستخدم ومستوى السياسة العامة للمؤسسة.
.gif "ملاحظة هامة") هام |
|---|
في .NET Framework الإصدار 4 و الإصدارات الأحدث، Caspol.exe لا يؤثر على سياسة CAS إلا إذا تم تعين العنصر<legacyCasسياسة> إلى true.لمزيد من المعلومات، راجع تغييرات الأمان في .NET Framework 4. |
يتم تلقائياً تثبيت أداة الأمان للوصول للتعليمات البرمجية مع Visual Studio, و لتشغيل الأداة استخدم موجه أوامر Visual Studio.. في موجه الأوامر، اكتب ما يلي:
caspol [options]
المعلمات
الخيار |
الوصف |
|---|---|
-addfulltrustassembly_file أو -af assembly_file |
يضيف تجميع يطبّق كائن أمان مخصص (مثل أذونات مخصصة أو شرط عضوية مخصص) إلى قائمة التجميع ذات الثقة الكاملة لمستوى سياسة محددة, فالوسيطةassembly_file تقوم بتحديد التجميع للإضافة, و يجب أن يكون توقيع هذا الملف مع اسم قوي, و يمكنك توقيع تجميع مع اسم واضح باستخدام أداة الاسم المميز (Sn.exe). كلما تم إضافة إذن يحتوي على أذونات مخصصة إلى نهج, يجب إضافة التجميع القائم بتنفيذ الأذونات المخصصة إلى القائمة ذات الثقة الكاملة لهذا المستوى السياسي, و ينبغي دائماً إضافة التجميعات التي تقوم بتطبيق كائنات الأمان المخصصة (مثل مجموعات تعليمات برمجية أو شروط عضوية) المستخدمة في نهج أمان (مثل نهج الجهاز) إلى قائمة التجميع ذات الثقة الكاملة. تنبيه
إذا قام التجميع بتطبيق كائن الأمان المخصص فذلك يشير إلى تجميعات أخرى , يجب أن تقوم أولاً بإضافة التجميعات المشار إليها إلى قائمة التجميع ذات الثقة الكاملة,و كائنات الأمان المخصصة التي تم إنشاؤها باستخدام Visual Basic و++C وJScript تشير لكل من Microsoft.VisualBasic.dll أو Microsoft.VisualC.dll أو Microsoft.JScript.dll على التوالي,فبشكل افتراضي هذه التجميعات ليست في قائمة التجميع ذات الثقة الكاملة,لكن قبل إضافة كائن أمان مخصص يجب عليك إضافة التجميع المناسب إلى القائمة ذات الثقة التامة,وإن الفشل في القيام بذلك سوف يقوم بقطع نظام الأمان مما يؤدي إلى الفشل في تحميل كافة التجميعات,ففي هذه الحالة، فإن الخيار Caspol.exe -الكل - يعيد تعيين المعاملةلا يعمل على إصلاح الأمان,و لإصلاح الأمان، يجب عليك تحرير الملفات الأمنية يدوياً من أجل إزالة كائن الأمان المخصص.
|
-addgroup {parent_label | parent_name}mship pset_name [علامات] أو -ag {parent_label | parent_name}mship pset_name [علامات] |
إضافة تعليمات برمجية جديدة إلى التجميع الهيكلي لمجموعة التعليمات البرمجية, و يمكنك تحديد إما parent_label أو parent_name . فالوسيطة parent_label تقوم بتحديد التسمية (مثل 1. أو 1.1.) من مجموعة التعليمات البرمجية التي هي الأصل في مجموعة التعليمات البرمجية التي يتم إضافتها, أما الوسيطة parent_name تقوم بتحديد الاسم لمجموعة التعليمات البرمجية التي هي الأصل في مجموعة التعليمات البرمجية التي يتم إضافتها, لأن parent_label و parent_name يمكن استخدامها بشكل تبادلي ،يجب أن يكون Caspol.exe قادراً على التمييز بينها ولذلك، parent_name لا يمكن أن يبدأ برقم, بالإضافة إلى ذلك، parent_name يمكن أن تحتوي فقط على A-Z و 0-9 و حرف التسطير أسفل السطر(_). الوسيطة mship تقوم بتحديد شرط العضوية لمجموعة التعليمات البرمجية الجديدة. لمزيد من المعلومات، راجع جدول الوسائط mship لاحقاً في هذا القسم. الوسيطة pset_name هي اسم مجموعة الأذونات التي سيتم اقترانها مع مجموعة التعليمات البرمجية الجديدة, و يمكنك أيضاً تعيين واحد أو أكثر من علامات للمجموعة الجديدة. لمزيد من المعلومات، راجع جدول الوسائط mship لاحقاً في هذا القسم. |
-addps-et {psfile | psfile pset_name} أو -ap {يسمى_psfile | psfile pset_name} |
يقوم بإضافة مجموعة أذونات مسماة حديثاً إلى السياسة, و يجب أن يتم كتابة مجموعة الإذن في XML و تخزينها في ملف .xml . فإذا كان ملف XML يحتوي على اسم مجموعة الإذن, يتم تحديد هذا الملف فقط(psfile), أما إذا كان ملف XML لا يحتوي على اسم مجموعة الإذن, يجب عليك تحديد كلاً من XML اسم الملف (psfile) و اسم مجموعة الإذن (pset_name). علماً بأنه يجب تعريف كافة الأذونات المستخدمة في مجموعة إذن في التجميعات الموجودة في ذاكرة التخزين المؤقتة للتجميع العمومي. |
-a[ll] |
يشير إلى أن جميع الخيارات التابعة لهذه تطبق نُهج المؤسسة و المستخدم و الجهاز, فالخيار -الكل دائماً يشير إلى سياسة المستخدم الذي تم تسجيل دخوله حالياً. راجع الخيار -customall للإشارة إلى سياسة المستخدم من مستخدم غير المستخدم الحالي. |
-chggroup {|اسم التسمية} {mship | pset_name | أعلام} أو -cg {|اسم التسمية} {mship | pset_name | أعلام} |
تغيير شرط عضوية مجموعة التعليمات البرمجية أو مجموعة إذن أو إعدادات من الأعلام خاص أو levelfinal أو اسم أو وصف, و يمكنك تحديد أياً من التسمية أو اسم, فالوسيطة تسمية تقوم بتحديد التسمية (مثل 1. أو 1.1.) من مجموعة التعليمات البرمجية, أما الوسيطة اسم تقوم بتحديد الاسم لمجموعة التعليمات البرمجية للتغيير . لأن التسمية و اسم يمكن استخدامها بشكل تبادلي, يجب أن يكون بإمكانك Caspol.exe إلى التمييز بينهما, ولذلك، اسم لا يمكن أن يبدأ مع رقماً. بالإضافة إلى ذلك، parent_name يمكن أن تحتوي فقط على A-Z و 0-9 و حرف التسطير أسفل السطر(_). الوسيطة pset_name تقوم بتحديد الاسم لمجموعة الإذن لربطها مع مجموعة التعليمات البرمجية. راجع الجداول لاحقاً في هذا المقطع للحصول على معلومات حول الوسائط mship و علامات. |
-chgpset pset_name psfile أو -cp psfile pset_name |
تغيير مجموعة إذن مسماة. الوسيطة psfile توفر تعريف جديد لمجموعة الإذن; و هو ملف مجموعة إذن متسلسل بتنسيق XML. الوسيطة pset_name تقوم بتحديد الاسم لمجموعة الإذن المراد تغييرها. |
-customall مسار أو -ca مسار |
يشير إلى أن جميع الخيارات التابعة لهذه تطبق نُهج المستخدم المخصص الذي تم تحديده و المؤسسة و الجهاز, و يجب تحديد الموقع لملف تكوين الأمان للمستخدم المخصص مع الوسيطة مسار. |
-cu[stomuser]مسار |
السماح لإدارة سياسة المستخدم المخصص التي لا تنتمي إلى المستخدم الذي له نيابة عن Caspol.exe هو قيد التشغيل حالياً, و يجب تحديد الموقع لملف تكوين الأمان للمستخدم المخصص مع الوسيطة مسار. |
Enterprise أو -en |
يشير إلى أن جميع الخيارات التابعة لهذه تطبق على سياسة مستوى المؤسسة, و لا يملك المستخدمون غير المسؤولين عن المؤسسة الحقوق الكافية لتعديل سياسة المؤسسة, على الرغم من تمكنهم من عرضها. في سيناريو nonenterprise, بشكل افتراضي هذه السياسة لا تتعارض مع نهج المستخدم و الجهاز. |
-e[xecution] {تشغيل | إيقاف} |
تشغيل أو إيقاف الآلية التي تتحقق من الحصول على الإذن للتشغيل قبل بدء التعليمات البرمجية للتنفيذ. .gif "ملاحظة") ملاحظة
تتم إزالة هذا التبديل في .NET Framework 4 و الإصدارات الأحدث.لمزيد من المعلومات، راجع تغييرات الأمان في .NET Framework 4.
|
-f[orce] |
منع أداة الاختبار self-destruct و تغيير السياسة كما هو محدد في قبل المستخدم. عادةً، Caspol.exe يتحقق ما إذا كانت أية تغييرات سياسية تحول دون Caspol.exe من العمل بشكل صحيح; فإذا وجدت فإن Caspol.exe لا يحفظ التغييرات السياسية و يطبع رسالة خطأ. استخدم الخيار –force لفرض Caspol.exe على تغيير السياسة حتى إذا كان هذا يمنع Caspol.exe من التشغيل. |
h-[elp] |
يعرض بناء جملة الأمر و الخيارات للحصول على Caspol.exe. |
-l[ist] |
يقوم بسرد التسلسل الهيكلي لمجموعة التعليمات البرمجية و مجموعة الإذن للجهاز المحدد أو المستخدم أو المؤسسة أو جميع مستويات السياسة, و يقوم Caspol.exe بعرض تسمية مجموعة التعليمات البرمجية أولاً، يليه الاسم ، إذا لم تكن null. |
-listdescription |
يقوم بسرد كافة أوصاف مجموعة التعليمات البرمجية لمستوى السياسة المحدد. |
-listfulltrust أو -lf |
يقوم بسرد محتويات قائمة التجميع ذات الثقة التامة لمستوى السياسة المحدد. |
-listgroups أو -lg |
عرض مجموعات التعليمات البرمجية من مستوى السياسة المحدد أو كافة مستويات السياسة, و يقوم Caspol.exe بعرض تسمية مجموعة التعليمات البرمجية أولاً، يليه الاسم ، إذا لم تكن null. |
-listpset أو -lp |
يقوم بعرض مجموعات الإذن لمستوى السياسة المحدد أو كافة مستويات السياسة. |
-m[achine] |
يشير إلى أن جميع الخيارات التابعة لهذه تطبق على سياسة مستوى الجهاز, و لا يمتلك المستخدمون غير المسؤولين الحقوق الكافية لتعديل سياسة الجهاز, على الرغم من تمكنهم من عرضها. للمستخدمين, -الجهاز هو الافتراضي. |
-polchgprompt {تشغيل | إيقاف} أو -pp {تشغيل | إيقاف} |
تمكين أو تعطيل الموجه الذي يتم عرضه كلما تم تشغيل Caspol.exe باستخدام خيار يؤدي إلى حدوث تغييرات في السياسة. |
-quiet أو -q |
تعطيل الموجه الذي يتم عرضه عادةً لخيار يؤدي إلى حدوث تغييرات في السياسة بشكل مؤقت, و لا يتم تغيير إعداد موجه التغيير العمومي. استخدم الخيار فقط على أساس أمر مفرد لتجنب تعطيل الموجه Caspol.exe لكافة الأوامر. |
- r[ecover] |
استرداد السياسة من ملف نسخ احتياطي, فعندما يتم إجراء تغيير نهج, فإن Caspol.exe يقوم بتخزين النهج القديم في ملف نسخ احتياطي. |
-remfulltrustassembly_file أو -rfassembly_file |
إزالة تجميع من القائمة ذات الثقة الكاملة لمستوى سياسة, و إذا لم تعد تستخدم مجموعة إذن تحتوي على إذن مخصص لم يعد مستخدم من قبل السياسة فيجب أن يتم إنجاز هذا التشغيل, و على الرغم من ذلك، يجب عليك إزالة تجميع يقوم بتطبيق إذن مخصص من القائمة ذات الثقة التامة فقط إذا كان التجميع لا يقوم بتطبيق أي أذونات مخصصة أخرى مازالت تستخدم, و عندما تقوم بإزالة تجميع من القائمة, فإنه يجب عليك أيضاً إزالة أي تجميعات أخرى تعتمد عليها. |
-remgroup {|اسم التسمية} أو -rg{label | اسم} |
إزالة مجموعة التعليمات البرمجية التي تم تحديدها إما بواسطة تسميتها أو اسمها, و إذا كان لدى مجموعة التعليمات البرمجية المحددة فرع مجموعات تعليمات برمجية, فإن Caspol.exe يقوم أيضاً بإزالة فرع مجموعات التعليمات البرمجية. |
-rempsetpset_name أو -rppset_name |
يزيل مجموعة الإذن المحددة من السياسة. الوسيطة pset_name تشير إلى تعيين أي إذن لإزالته, و Caspol.exe يقوم بإزالة مجموعة الإذن فقط في حالة عدم ارتباطها مع أي مجموعة تعليمات برمجية و يتعذر إزالة مجموعات الإذن (المضمنة) الافتراضية; للحصول على التفاصيل، راجع تعيين إذن المسماة. |
-يعيد تعيين المعاملة أو -rs |
إرجاع السياسة إلى حالتها الافتراضية ثم استمرارها إلى القرص, و هذا مفيد عندما يبدو أنه تم تغيير نهج إلى أن يكون خارج الإصلاح و تريد أن تبدأ عبر افتراضات التثبيت. إن إعادة التعيين يمكن أيضاً أن تكون مناسبة عند الرغبة في استخدام نهج افتراضي كنقطة انطلاق التعديلات على ملفات تكوين الأمان المحددة. لمزيد من المعلومات، راجع تحرير ملفات التكوين الأمنية يدوياً. |
-resetlockdown أو -rsld |
إرجاع السياسة إلى إصدار أكثر تقييداً من الحالة الافتراضية ثم استمرارها إلى القرص; بإنشاء نسخة احتياطية من نهج الجهاز السابق ثم استمرارها إلى ملف يسمى security.config.bac. إن النهج المؤمّن باستمرار مماثل للنهج الافتراضي إلا أن السياسة لا تمنح الإذن إلى التعليمات البرمجية من Local Intranetو Trusted Sites و Internet المناطق و مجموعات التعليمات البرمجية المقابلة لا يوجد لديها فرع لمجموعات التعليمات البرمجية. |
-resolvegroup assembly_file أو -rsgassembly_file |
إظهار مجموعات التعليمات البرمجية التي ينتمي إليها تجميع محدد (assembly_file), حيث يعرض هذا الخيار بشكل افتراضي الجهاز و المستخدم و مستويات السياسة للمؤسسة التي ينتمي إليها التجميع, و لعرض مستوى سياسة واحد فقط, استخدم هذا الخيار مع أي من -الجهاز أو -المستخدم أو -المؤسسة. |
-resolvegroup assembly_file أو -rspassembly_file |
يعرض كافة الأذونات التابعة لمستوى سياسة الأمان المحدد (أو الافتراضي) الذي يمنح التجميع إذا تم السماح بتشغيل التجميع. الوسيطة assembly_file تقوم بتحديد التجميع, و إذا قمت بتحديد الخيار-الكل , فإن Caspol.exe يقوم بحساب الأذونات للتجميع استناداً إلى المستخدم و الجهاز و السياسة للمؤسسة, وإلا سيتم تطبيق قواعد السلوك الافتراضي. |
-s [ecurity] {تشغيل | إيقاف} |
تشغيل أمان الوصول للتعليمات البرمجية أو إيقافه. تحديد الخيار -s إيقاف لا يقوم بتعطيل الأمان القائم على الدور. ملاحظة
تتم إزالة هذا التبديل في .NET Framework 4 و الإصدارات الأحدث.لمزيد من المعلومات، راجع تغييرات الأمان في .NET Framework 4.
تنبيه
جميع متطلبات الوصول للتعليمات البرمجية تنجح عندما يتم تعطيل أمان الوصول للتعليمات البرمجية,فإن تعطيل أمان الوصول للتعليمات البرمجية تجعل النظام عرضة للهجمات بواسطة التعليمات البرمجية الضارة مثل الفيروسات و الفيروسات المتنقلة,و إيقاف تشغيل الأمان يكسبك بعض الأداء الإضافي لكن يجب القيام بذلك فقط عند اتخاذ إجراءات الأمان الأخرى للمساعدة و تأكد من أنه لم يتم اختراق كافة نظام الأمان.أمثلة على احتياطات الأمان الأخرى التي تشمل قطع الشبكات العامة فعلياً و تأمين أجهزة الكمبيوتر, و هكذا.
|
-u[ser] |
يشير إلى أن جميع الخيارات التابعة لهذه تطبق على سياسة مستوى المستخدم للمستخدم الذي يقوم بتشغيلCaspol.exe . بالنسبة للمستخدمين nonadministrative -مستخدم هو الافتراضي. |
-? |
يعرض بناء جملة الأمر و الخيارات للحصول على Caspol.exe. |
الوسيطة mship التي تقوم بتحديد شرط العضوية لمجموعة تعليمات برمجية, يمكن استخدامها مع الخيارات -addgroup و -chggroup. كل وسيطة mship يتم تطبيقها كفئة .NET Framework., و لتحديد mship, استخدم أحد الإجراءات التالية.
الوسيطة |
الوصف |
|---|---|
-الكل |
تحديد كافة التعليمات البرمجية. لمزيد من المعلومات حول شرط العضوية, راجع فئة AllMembershipCondition. |
-appdir |
تحديد دليل التطبيق. إذا قمت بتحديد –appdir كـشرط العضوية, فإنه يتم مقارنة دليل URL للتعليمات البرمجية مع دليل التطبيق لتلك التعليمات البرمجية, و يتحقق شرط العضوية إذا كانت كِلتا قيم الدليل متشابهة. لمزيد من المعلومات حول شرط العضوية, راجع فئة AllMembershipCondition. |
-مخصص xmlfile |
إضافة شرط عضوية مخصص, فالوسيطة الإلزامية xmlfile تقوم بتحديد ملف .xml الذي يحتوي على التسلسل XML لشرط العضوية المخصص. |
-تجزئةAlg تجزئة {-سداسي عشرية تجزئة قيمة | -ملف assembly_file} |
تحديد التعليمات البرمجية التي تحتوي على تجزئة التجميع المعطى, و لاستخدام تجزئة كشرط عضوية لمجموعة التعليمات البرمجية, فإنه يجب عليك تحديد إما قيمة التجزئة أو ملف التجميع. لمزيد من المعلومات حول شرط العضوية, راجع فئة AllMembershipCondition. |
-pub { -cert cert_file_name| -ملف signed_file_name | -سداسي عشريةhex_string } |
تحديد التعليمات البرمجية التي تحتوي على ناشر البرنامج المعطى بواسطة ملف شهادة أو توقيع على ملف أو تمثيل سداسي عشري لشهادة 509X. لمزيد من المعلومات حول شرط العضوية, راجع فئة AllMembershipCondition. |
-موقع موقع ويب |
تحديد التعليمات البرمجية المحتوية على موقع محدد الأصل. فعلى سبيل المثال: -موقع www.proseware.com لمزيد من المعلومات حول شرط العضوية, راجع فئةSiteMembershipCondition. |
-ملف - قوياسم_الملف {اسم | -noname} {الإصدار | -noversion} |
تحديد التعليمات البرمجية التي تحتوي على اسم قوي كما تم تسميتها بواسطة اسم الملف و اسم التجميع كسلسلة و إصدار التجميع في التنسيق رئيسي.ثانوي.بنية.المراجعة. فعلى سبيل المثال: -ملف - قوي myAssembly.exe myAssembly 1.2.3.4 لمزيد من المعلومات حول شرط العضوية, راجع فئة StrongNameMembershipCondition. |
-url محدد موقع المعلوماتURL |
تحديد التعليمات البرمجية التي تنشأ من محدد موقع المعلومات (URL) المعطى, و إن URL يجب أن يتضمن بروتوكول مثل http:// أو ftp: //. بالإضافة إلى ذلك، يمكن استخدام حرف بدل (*) لتحديد عدة تجميعات من عنوان URL معين. ملاحظة
لأنه يمكن تعريف محدد موقع المعلومات(URL) باستخدام أسماء متعددة, و إن استخدام محدد موقع المعلومات(URL) كشرط عضوية ليست وسيلة آمنة للتحقق من هوية التعليمات البرمجية.حيثما أمكن استخدم شرط عضوية ذو اسم مميز أو شرط عضوية ناشر أو شرط عضوية التجزئة.
لمزيد من المعلومات حول شرط العضوية, راجع فئة UrlMembershipCondition. |
-منطقة zonename |
تحديد التعليمات البرمجية مع منطقة من أصل معين. الوسيطة zonename يمكن أن تكون إحدى القيم التالية: MyComputer أو إنترانت أو موثوق به أو إنترنت أو غير موثوق به. لمزيد من المعلومات حول شرط العضوية, راجع الفئة ZoneMembershipCondition. |
الوسيطة علامات التي يمكن استخدامها مع الخيارات –addgroup و –chggroup التي يتم تعيينها باستخدام أحد الخيارات التالية.
الوسيطة |
الوصف |
|---|---|
-description "description" |
إذا تم استخدامها مع الخيار –addgroup الذي يقوم بتحديد الوصف لمجموعة التعليمات البرمجية للإضافة, و إذا تم استخدامها مع الخيار –addgroup الذي يقوم بتحديد الوصف لمجموعة التعليمات البرمجية للتحرير, و الوسيطة وصف التي يجب إحاطتها بعلامات الاقتباس المزدوجة. |
-خاص {تشغيل|إيقاف} |
عند تعيين تشغيل ، يشير إلى أنه فقط مجموعة الإذن المرتبطة بمجموعة التعليمات البرمجية المضافة أو المعدلة بتم اعتبارها عندما تتناسب بعض التعليمات البرمجية مع شرط العضوية لمجموعة التعليمات البرمجية, و عندما يتم تحديد هذا الخيار إيقاف, فإن Caspol.exe يعتبر مجموعات الإذن لجميع مجموعات التعليمات البرمجية المتطابقة في مستوى السياسة. |
-levelfinal {تشغيل|إيقاف} |
عند تعيين تشغيل ، يشير إلى أنه لا يوجد مستوى للسياسة دون المستوى الذي يحدث فيه اعتبار لمجموعة التعليمات البرمجية المضافة أو المعدلة, وعادةً ما يستخدم هذا خيار في مستوى سياسة الجهاز. على سبيل المثال، إذا قمت بتعيين هذه العلامة لمجموعة تعليمات برمجية في مستوى الجهاز و بعض التعليمات البرمجية المتطابقة مع شرط العضوية لمجموعة التعليمات البرمجية, فإن Caspol.exe لا يقوم بحساب أو تطبيق مستوى سياسة المستخدم لهذه التعليمات البرمجية. |
-اسم "اسم" |
إذا تم استخدامها مع الخيار –addgroup الذي يقوم بتحديد اسم البرمجة لمجموعة التعليمات البرمجية للإضافة, و إذا تم استخدامها مع الخيار -chggroup الذي يقوم بتحديد اسم البرمجة لمجموعة التعليمات البرمجية للتحرير, و الوسيطة اسم التي يجب إحاطتها بعلامات الاقتباس المزدوجة, حيث أن الوسيطة اسم لا يمكن أن تبدأ برقم, و يمكن أن تحتوي فقط على A-Z و 0-9 و حرف التسطير أسفل السطر(_), و يمكن الإشارة لمجموعات التعليمات البرمجية بواسطة اسم بدلاً من التسمية الرقمية الخاصة بهم, و أيضاً اسم مفيد للغاية لأغراض البرمجة النصية. |
ملاحظات
يتم التعبير عن نهج الأمان باستخدام ثلاثة مستويات للسياسة: سياسة الجهاز و سياسة المستخدم و سياسة المؤسسة, و يتم تحديد مجموعة الأذونات التي يتلقها تجميع على حسب التقاطع لمجموعات الإذن المسموح بها بواسطة هذه المستويات السياسة الثلاثة, و يتم تمثيل كل مستوى للسياسة بواسطة بنية هرمية لمجموعات التعليمات البرمجية, و تحتوي كل مجموعة للتعليمات البرمجية على شرط العضوية الذي يقوم بتحديد أي من التعليمات البرمجية هي عضو في تلك المجموعة, و أيضاً ترتبط مجموعة إذن مسماة بكل مجموعة للتعليمات البرمجية, و مجموعة الإذن هذه تقوم بتحديد الأذونات وقت التشغيل الذي يسمح بالتعليمات البرمجية التي تفي بشرط العضوية أن تكون, و يقوم تسلسل مجموعة تعليمات برمجية مرتبط بمجموعات الإذن المسماة الخاصة به بتعريف و حفظ كل مستوى لنهج الأمان, حيث يمكنك استخدام الخيارات –مستخدم و -مستخدم مخصص و –جهاز و -مؤسسة لتعيين مستوى سياسة الأمان.
لمزيد من المعلومات حول سياسة الأمان و كيفية تحديد الأذونات التي تريد منح التعليمات البرمجية وقت التشغيل، راجع إدارة سياسة الأمان.
الرجوع إلى مجموعات التعليمات البرمجية ومجموعات الإذن
لتسهيل الإشارة إلى مجموعات التعليمات البرمجية في تسلسل هرمي, فإن الخيار -قائمة يقوم بتشغيل عرض قائمة بادئة بمسافة من مجموعات التعليمات البرمجية مع التسميات الرقمية الخاصة بهم (1 المنخفض، 1.1 1.1.1 ، وما إلى ذلك). سطر الأوامر من العمليات التي تستهدف مجموعات التعليمات البرمجية وتستخدم أيضاً التسميات الرقمية للإشارة إلى مجموعات محددة من التعليمات البرمجية.
يتم الإشارة إلى مجموعات الإذن المسماة بواسطة أسمائها, فالخيار –list يقوم بعرض قائمة مجموعات التعليمات البرمجية التي تليها قائمة مجموعات الإذن المسماة المتوفرة في هذه السياسة. للحصول على قائمة و أوصاف مجموعات الإذن المدمجة التي قدِّمت وقت التشغيل, راجع مجموعات الإذن المسماة.
سلوك Caspol.exe
جميع الخيارات باستثناء -s[ecurity] {تشغيل | إيقاف} استخدام الإصدار من برنامج .NET Framework الذي تم تثبيته مع Caspol.exe. إذا قمت بتشغيل Caspol.exe الذي تم تثبيته مع الإصدار X في وقت التشغيل, تطبق التغييرات على هذا الإصدار فقط, و في حالة وجود عمليات تثبيت أخرى جنباً إلى جنب في وقت التشغيل فإنها لا تتأثر, و إذا قمت بتشغيل Caspol.exe من سطر الأوامر دون أن يتواجد في دليل لوقت تشغيل إصدار محدد, فإنه يتم تنفيذ الأداة من وقت التشغيل الأول لإصدار الدليل في المسار(عادةً يتم تثبيت أحدث وقت تشغيل للإصدار).
-s [ecurity] {on | إن خيار إيقاف} عبارة عن عملية للكمبيوتر ككل. إن إيقاف تشغيل أمان الوصول للتعليمات البرمجية يقوم بإنهاء عمليات تدقيق الأمان للحصول على كافة التعليمات البرمجية التي تمت إدارتها بالإضافة إلى كافة المستخدمين على الكمبيوتر, و في حالة تثبيت إصدارات .NET Framework جنباً إلى جنب, فإن هذا الأمر يقوم بإيقاف الأمان لكل إصدار تم تثبيته على جهاز الكمبيوتر, على الرغم من أن الخيار -قائمة يبين أنه تم إيقاف تشغيل الأمان, فإنه لا يوجد أي شيء آخر يشير للمستخدمين الآخرين بأن الأمان تم إيقاف تشغيله.
عندما يقوم مستخدم لا يوجد لديه حقوق إدارية بتشغيل Caspol.exe, فإن جميع الخيارات تشير إلى مستوى السياسة للمستخدم ما لم يتم تحديد الخيار –الجهاز. عندما يقوم أحد المسؤولين بتشغيل Caspol.exe, فإن جميع الخيارات تشير إلى سياسة الجهاز ما لم يتم تحديد الخيار –المستخدم.
يجب أن يتم منح Caspol.exe ما يعادل مجموعة الإذن كل شيء لكي يعمل, فلدى الأداة آلية وقائية تمنع تعديل السياسة بطرق قد تمنع منح Caspol.exe الأذونات المطلوبة لتشغيله . و إذا حاولت إجراء تغييرات مماثلة, فإن Caspol.exe يقوم بإعلامك أن التغيير المطلوب للسياسة سوف يقوم بفصل الأداة ثم يتم رفض تغيير السياسة . فباستخدام الخيار –force يمكنك إيقاف الآلية الوقائية لأمر معطى .
تحرير ملفات تكوين الأمان يدوياً
تتوافق ملفات تكوين الأمان الثلاثة مع مستويات السياسة الثلاثة المعتمدة من قبل Caspol.exe: واحدة من أجل سياسة الجهاز, و واحدة من أجل سياسة المستخدم المعطاة، و الأخرى لسياسة المؤسسة. يتم إنشاء هذه الملفات على القرص فقط عندما يتم تغيير الجهاز أو المستخدم أو سياسة المؤسسة باستخدام Caspol.exe, فإذا لزم الأمر يمكنك استخدام الخيار –يعيد تعيين المعاملة في Caspol.exe لحفظ سياسة الأمان الافتراضية في القرص.
في معظم الحالات لا يستحسن تحرير ملفات تكوين الأمان يدوياً, ولكن قد تكون هناك سيناريوهات يصبح فيها تعديل هذه الملفات أمراً ضرورياً, مثل أن يرغب مسؤول بتحرير تكوين الأمان لمستخدم معين.
أمثلة
-addfulltrust
افترض أنه تم إضافة مجموعة إذن تحتوي على إذن مخصص إلى سياسة الجهاز, و هذا الإذن المخصص مطبّق في MyPerm.exe و MyPerm.exe فئات المراجع في MyOther.exe, فيجب أن تتم إضافة كِلتا التجميعات إلى قائمة التجميع ذات الثقة الكاملة, إن الأمر التالي يقوم بإضافة التجميع MyPerm.exe إلى القائمة ذات الثقة الكاملة لسياسة الجهاز.
caspol -machine -addfulltrust MyPerm.exe
إن الأمر التالي يقوم بإضافة التجميع MyOther.exe إلى القائمة ذات الثقة الكاملة لسياسة الجهاز.
caspol -machine -addfulltrust MyOther.exe
-addgroup
الأمر التالي يقوم بإضافة فرع لمجموعة تعليمات برمجية إلى جذر التسلسل الهيكلي لمجموعة التعليمات البرمجية لسياسة الجهاز, حيث تعتبر مجموعة التعليمات البرمجية الجديدة عضو في المنطقة إنترنت و مرتبطة بمجموعة الإذن التنفيذ.
caspol -machine -addgroup 1. -zone Internet Execution
يقوم الأمر التالي بإضافة فرع لمجموعة تعليمات برمجية التي تعطي المشترك \\netserver\netshare أذونات شبكة انترانت محلية.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
يقوم الأمر التالي بإضافة مجموعة الإذن Mypset إلى سياسة المستخدم.
caspol -user -addpset Mypset.xml Mypset
-chggroup
يقوم الأمر التالي بتغيير مجموعة الإذن في سياسة المستخدم لمجموعة التعليمات البرمجية المسماة 1.2. إلى مجموعة الإذن التنفيذ.
caspol -user -chggroup 1.2. Execution
يقوم الأمر التالي بتغيير شرط العضوية في السياسة الافتراضية لمجموعة التعليمات البرمجية المسماة 1.2.1. و يقوم بتغيير الإعداد للعلامة خاص. يتم تعريف شرط العضوية أن تكون عبارة عن التعليمات البرمجية التي تتبع من المنطقة إنترنت و تشغيل العلامة خاص.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
يقوم الأمر التالي بتغيير مجموعة الإذن مع الاسم Mypset إلى مجموعة الإذن المتضمنة في newpset.xml. لاحظ أن المنتج المطروح الحالي لا يدعم تغيير مجموعات الإذن التي يتم استخدامها بواسطة التسلسل الهيكلي لمجموعة التعليمات البرمجية.
caspol -chgpset Mypset newpset.xml
/force
يؤدي الأمر التالي لارتباط جذر مجموعة التعليمات البرمجية لسياسة المستخدم(1 مسماة) مع مجموعة الإذن المسماة لا شيء. وهذا يمنع تشغيل Caspol.exe.
caspol -force -user -chggroup 1 Nothing
-استرداد
تقوم الأوامر التالية باسترداد سياسة الجهاز المحفوظة مؤخراً.
caspol -machine -recover
-remgroup
يقوم الأمر التالي بإزالة مجموعة التعليمات البرمجية المسماة 1.1. إذا كان لدى مجموعة التعليمات البرمجية أي فرع لمجموعات التعليمات البرمجية، فسوف يتم حذف هذه المجموعات أيضاً.
caspol -remgroup 1.1.
-rempset
يقوم الأمر التالي بإزالة مجموعة الإذن التنفيذ من سياسة المستخدم.
caspol -user -rempset Execution
يقوم الأمر التالي بإزالة Mypset من مستوى سياسة المستخدم.
caspol -rempset MyPset
-resolvegroup
يقوم الأمر التالي بعرض كافة مجموعات التعليمات البرمجية لسياسة الجهاز التي تنتمي إليها myassembly .
caspol -machine -resolvegroup myassembly
يقوم الأمر التالي بعرض كافة مجموعات التعليمات البرمجية للجهاز و المؤسسة و السياسة المحددة للمستخدم المخصص التي تنتمي إليها myassembly.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
يقوم الأمر التالي بحساب الأذونات لـ testassembly معتمدة على الجهاز و مستويات سياسة المستخدم.
caspol -all resolveperm testassembly
راجع أيضًا:
المرجع
موارد أخرى
تكوين نهج أمان باستخدام الأداة نهج أمان الوصول إلى التعليمات البرمجية (Caspol.exe)