既定のセキュリティ ポリシー

  • [アーティクル]

更新 : 2007 年 11 月

コンピュータ ポリシーは、次の表に示す既定値に設定されています。許可されるアクセス許可セットを決定するときは、すべてのポリシー レベルの積集合が計算されるため、コンピュータ ポリシーの設定によって既定のセキュリティ ポリシーが決定されます。これらの表は名前付きアクセス許可セットと既定のポリシー設定で使用されるアクセス許可を表しますが、すべての名前付きアクセス許可セットとセキュリティ ポリシーのカスタマイズで利用できるアクセス許可を示すものではありません。

コンピュータ ポリシーの既定のコード グループと、コード グループが既定で受け取る名前付きアクセス許可セットを次の表に示します。たとえば、ローカル コンピュータから発生したコードは My Computer Zone に割り当てられ、既定で完全な信頼を受け取ります。

コード グループ

既定で受け取る名前付きアクセス許可セット

  • My Computer Zone (ローカル コンピュータからのコード)

  • Microsoft Strong Name (Microsoft 厳密な名前で署名されたコード)

  • ECMA Strong Name (ECMA 厳密な名前で署名されたコード)

Full Trust

  • Local Intranet Zone (ローカル ネットワークからのコード)

Local Intranet

  • Internet Zone (インターネットからのコード)

  • Trusted Zone (Internet Explorer の信頼済みサイトからのコード)

Internet

  • All Code (すべてのマネージ コード)

  • Restricted Zone (制限付きサイトからのコード)

Nothing
03kwzyfc.alert_note(ja-jp,VS.90).gifメモ :

.NET Framework 1.0 Service Pack 1 および Service Pack 2 では、Internet Zone コード グループは Nothing という名前付きアクセス許可セットを受け取ります。.NET Framework のそれ以外のすべてのリリースでは、Internet Zone コード グループは、上の表で示したように、Internet という名前付きアクセス許可セットを受け取ります。

All コード グループは、既定で設定された Nothing アクセス許可セットを受け取りますが、一致する複数のコード グループを結合して (和集合という)、許可されるアクセス許可セットを計算するため、これらのコードにアクセス許可がまったく与えられないというわけではありません。

既定のアクセス許可セットを構成する個々のアクセス許可を次の表に示します。左側の列に個々のアクセス許可オブジェクトを掲載し、右側の列でアクセス許可セットにおける各オブジェクトの構成を表します。たとえば、Local Intranet Zone から発生したコードは Local Intranet アクセス許可セットを受け取ります。この表によると、Local Intranet アクセス許可セットは、無制限の DNSPermission、無制限の FileDialogPermission などで構成されていることがわかります。Internet Zone からのコードは、既定では Internet アクセス許可セットは受け取らず、Nothing アクセス許可セットを受け取ることに注意してください。

アクセス許可

Full Trust アクセス許可セット

(この表に示していないアクセス許可も含め、すべてのアクセス許可に対して無制限のアクセス権を持ちます)

Nothing アクセス許可セット

(アクセス許可はまったくなく、実行権限もありません)

Local Intranet アクセス許可セット

Internet アクセス許可セット

DnsPermission

制限なし

アクセスなし

制限なし

アクセスなし

EnvironmentPermission

制限なし

アクセスなし

Read Username (環境変数)

アクセスなし

EventLogPermission

制限なし

アクセスなし

Instrument

アクセスなし

FileDialogPermission

制限なし

アクセスなし

制限なし

開く

IsolatedStoragePermission

制限なし

アクセスなし

AssemblyIsolationByUser

9223372036854775807 のディスク クォータ

ApplicationIsolationByUser

512000 のディスク クォータ

PrintingPermission

制限なし

アクセスなし

DefaultPrinting

SafePriniting

ReflectionPermission

制限なし

アクセスなし

ReflectionEmit

アクセスなし

SecurityPermission

制限なし

アクセスなし

実行

アサーション

実行

UIPermission

制限なし

アクセスなし

制限なし

SafeTopLevelWindows

OwnClipboard

多くの場合、既定のセキュリティ ポリシーをそのまま利用できますが、管理者がそれぞれの組織の要件に応じてセキュリティ ポリシーを変更したりカスタマイズしたりできます。詳細については、「セキュリティ ポリシーの管理」を参照してください。

コードは、固有の LinkDemand に関連付けられた追加の制限の影響を受ける可能性があることに注意してください。LinkDemand はグローバル アセンブリ キャッシュに格納されたアセンブリによって自動的に実行され、完全な信頼を求めます。AllowPartiallyTrustedCallersAttribute がグローバル アセンブリ キャッシュ内のアセンブリに適用されていない場合、Full Trust アクセス許可セットを受け入れていないコードがアセンブリにリンクしようとすると、SecurityException が発生します。詳細と AllowPartiallyTrustedCallersAttribute を持つアセンブリのリストについては、「部分信頼コードからのライブラリの使用」を参照してください。

参照

概念

セキュリティ ポリシー モデル

部分信頼コードからのライブラリの使用

その他の技術情報

セキュリティ ポリシーの管理