COM+ でのソフトウェア制限ポリシーの使用
ソフトウェア制限ポリシーを適切に使用すると、問題が発生した後にシステムを復元するコストのかかる代替手段に依存する事後対応型フレームワークではなく、問題を防止するためのプロアクティブなフレームワークが提供されるため、ビジネスの機敏性を高めることができます。 ソフトウェア制限ポリシーは、不明で危険なコードからシステムを保護するために、Microsoft Windows XP のリリースで導入されました。 制限ポリシーは、信頼されたコードのみにユーザー特権への無制限のアクセス権が付与されるメカニズムを提供します。 現在インストールされているプログラムと競合するウイルスやコードを含む可能性のある不明なコードは、セキュリティに依存するユーザー特権へのアクセスが禁止されている制約付き環境 (サンドボックスと呼ばれる) でのみ実行できます。
ソフトウェア制限ポリシーは、システムで実行できるコードに信頼レベルを割り当てることに依存します。 現在、2 つの信頼レベル (無制限と許可なし) が存在します。 無制限の信頼レベルを持つコードには、ユーザーの特権への無制限のアクセス権が付与されるため、この信頼レベルは完全に信頼されたコードにのみ適用する必要があります。 許可されていない信頼レベルのコードは、セキュリティに依存するユーザー特権へのアクセスを禁止され、制限のないコードがそのアドレス空間に許可されていないコードを読み込むのを防ぐのに役立つサンドボックスでのみ実行できます。
システムのソフトウェア制限ポリシーの構成はローカル セキュリティ ポリシー管理ツールを使用して行われますが、個々の COM+ アプリケーションの制限ポリシー構成は、プログラムまたはコンポーネント サービス管理ツールを使用して行われます。 COM+ アプリケーションに制限ポリシー信頼レベルが指定されていない場合は、システム全体の設定を使用してアプリケーションの信頼レベルが決定されます。 無制限の信頼レベルを持つ COM+ アプリケーションは、無制限信頼レベルのコンポーネントのみを読み込むことができるため、COM+ 制限ポリシー設定はシステム全体の設定と慎重に調整する必要があります。許可されていない COM+ アプリケーションは、任意の信頼レベルのコンポーネントを読み込むことができますが、ユーザーのすべての特権にアクセスすることはできません。
個々の COM+ アプリケーションのソフトウェア制限ポリシー信頼レベルに加えて、他の 2 つのプロパティによって、すべての COM+ アプリケーションに対する制限ポリシーの使用方法が決まります。 SRPRunningObjectChecks が有効になっている場合、実行中のオブジェクトへの接続の試行は、適切な信頼レベルに対してチェックされます。 実行中のオブジェクトは、クライアント オブジェクトよりも厳密でない信頼レベルを持つことはできません。 たとえば、クライアント オブジェクトに無制限の信頼レベルがある場合、実行中のオブジェクトに許可されていない信頼レベルを設定することはできません。
2 番目のプロパティは、ソフトウェア制限ポリシーがアクティブ化としてのアクティブ化接続を処理する方法を決定します。 SRPActivateAsActivatorChecks が有効になっている場合、サーバー オブジェクト用に構成されている信頼レベルがクライアント オブジェクトの信頼レベルと比較され、より厳格な信頼レベルがサーバー オブジェクトの実行に使用されます。 SRPActivateAsActivatorChecks が有効になっていない場合、サーバー オブジェクトは、構成された信頼レベルに関係なく、クライアント オブジェクトの信頼レベルで実行されます。 既定では、SRPRunningObjectChecks と SRPActivateAsActivatorChecks の両方が有効になっています。
関連トピック
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示