Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Правильное использование политики ограничений программного обеспечения может сделать бизнес более гибким, так как он предоставляет упреждающую платформу для предотвращения проблем, а не реактивную платформу, которая зависит от дорогостоящей альтернативы восстановлению системы после возникновения проблемы. Политика ограничения программного обеспечения была введена в выпуске Microsoft Windows XP для защиты систем от неизвестного и, возможно, опасного кода. Политика ограничений предоставляет механизм, в котором только доверенный код предоставляет неограниченный доступ к привилегиям пользователя. Неизвестный код, который может содержать вирусы или создавать конфликты с установленными в настоящее время программами, разрешается выполнять только в ограниченной среде (часто называемой песочницей ), где ему запрещено получать доступ к каким-либо пользователям привилегиям, связанным с безопасностью.
Политика ограничений программного обеспечения зависит от назначения уровней доверия коду, который может выполняться в системе. В настоящее время существуют два уровня доверия: Неограниченное и запрещено. Код с неограниченным уровнем доверия предоставляет неограниченный доступ к привилегиям пользователя, поэтому этот уровень доверия должен применяться только к полностью доверенному коду. Код с недопустимым уровнем доверия не допускается к доступу к любым привилегиям безопасности пользователя и может выполняться только в песочнице, которая помогает предотвратить загрузку неограниченного кода в его адресное пространство.
Настройка политики ограничений программного обеспечения для системы выполняется с помощью средства администрирования локальной политики безопасности, а конфигурация политики ограничений отдельных приложений COM+ выполняется программным способом или с помощью средства администрирования служб компонентов. Если уровень доверия политики ограничений не указан для приложения COM+, для определения уровня доверия приложения будут использоваться системные параметры. Параметры политики ограничения COM+ должны быть тщательно согласованы с параметрами по всей системе, так как приложение COM+ с неограниченным уровнем доверия может загружать только компоненты с уровнем неограниченного доверия; Запрещенное приложение COM+ может загружать компоненты с любым уровнем доверия, но не может получить доступ ко всем привилегиям пользователя.
Помимо уровней доверия политики ограничений программного обеспечения отдельных приложений COM+, два других свойства определяют, как политика ограничений используется для всех приложений COM+. Если включена SRPRunningObjectChecks, то попытки подключения к работающим объектам будут проверяться на соответствие уровням доверия. Выполняющийся объект не может иметь менее строгий уровень доверия, чем клиентский объект. Например, запущенный объект не может иметь запрещённый уровень доверия, если у клиентского объекта есть неограниченный уровень доверия.
Второе свойство определяет, как политика ограничений программного обеспечения обрабатывает подключения типа "активация как активатор". Если включена SRPActivateAsActivatorChecks, уровень доверия, настроенный для объекта сервера, сравнивается с уровнем доверия клиентского объекта, и будет использован более строгий уровень доверия для запуска объекта сервера. Если SRPActivateAsActivatorChecks не включен, серверный объект будет работать с уровнем доверия клиентского объекта независимо от уровня доверия, с которым он был настроен. По умолчанию включены функции SRPRunningObjectChecks и SRPActivateAsActivatorChecks.
Связанные разделы