Caspol.exe (Ferramenta de Política de Segurança de Acesso ao Código)
A ferramenta de Política de Segurança de Acesso ao Código (CAS) (Caspol.exe) permite que os utilizadores e administradores modifiquem a política de segurança ao nível da política do computador, ao nível da política de utilizador e ao nível da política empresarial.
Importante
A partir do .NET Framework 4, Caspol.exe não afeta a política CAS, a menos que o <elemento legacyCasPolicy> esteja definido como true. Quaisquer definições mostradas ou modificadas por CasPol.exe afetarão apenas as aplicações que optam por utilizar a política CAS.
Nota
A Segurança de Acesso ao Código (CAS) foi preterida em todas as versões de .NET Framework e .NET. As versões recentes do .NET não honram as anotações cas e produzem erros se forem utilizadas APIs relacionadas com CAS. Os programadores devem procurar meios alternativos para realizar tarefas de segurança.
Nota
Os computadores de 64 bits incluem versões de 64 bits e de 32 bits da política de segurança. Para garantir que as alterações de política se aplicam a aplicações de 32 bits e de 64 bits, execute as versões de 32 bits e de 64 bits do Caspol.exe.
A ferramenta Política de Segurança de Acesso ao Código é instalada automaticamente com .NET Framework e com o Visual Studio. Pode encontrar Caspol.exe em %windir%\Microsoft.NET\Framework\version em sistemas de 32 bits ou %windir%\Microsoft.NET\Framework64\version em sistemas de 64 bits. (Por exemplo, a localização é %windir%\Microsoft.NET\Framework64\v4.030319\caspol.exe para .NET Framework 4 num sistema de 64 bits.) Podem ser instaladas várias versões da ferramenta se o computador estiver a executar várias versões do .NET Framework lado a lado. Pode executar a ferramenta a partir do diretório de instalação. No entanto, recomendamos que utilize a Linha de Comandos do Programador do Visual Studio ou o PowerShell para Programadores do Visual Studio, o que não requer que navegue para a pasta de instalação.
Na linha de comandos, escreva o seguinte:
Sintaxe
caspol [options]
Parâmetros
| Opção | Descrição |
|---|---|
| -addfulltrustassembly_file ou -afassembly_file |
Adiciona uma assemblagem que implementa um objeto de segurança personalizado (como uma permissão personalizada ou uma condição de associação personalizada) à lista de assemblagem de confiança completa para um nível de política específico. O argumento assembly_file especifica a assemblagem a adicionar. Este ficheiro tem de ser assinado com um nome forte. Pode assinar uma assemblagem com um nome forte com a Ferramenta de Nome Forte (Sn.exe). Sempre que for adicionado um conjunto de permissões que contenha uma permissão personalizada à política, a assemblagem que implementa a permissão personalizada tem de ser adicionada à lista de fidedignidade completa para esse nível de política. As assemblagens que implementam objetos de segurança personalizados (como grupos de código personalizados ou condições de associação) utilizados numa política de segurança (como a política de máquinas) devem ser sempre adicionadas à lista completa de assemblagens de confiança. Atenção: Se a assemblagem que implementa o objeto de segurança personalizado fizer referência a outras assemblagens, primeiro tem de adicionar as assemblagens referenciadas à lista de assemblagens de confiança completa. Objetos de segurança personalizados criados com a referência Visual Basic, C++e JScript Microsoft.VisualBasic.dll, Microsoft.VisualC.dll ou Microsoft.JScript.dll, respetivamente. Estas assemblagens não estão na lista de assemblagem de confiança completa por predefinição. Tem de adicionar a assemblagem adequada à lista de fidedignidade completa antes de adicionar um objeto de segurança personalizado. Se não o fizer, irá interromper o sistema de segurança, fazendo com que todas as assemblagens não carreguem. Nesta situação, a opção Caspol.exe -all -reset não irá reparar a segurança. Para reparar a segurança, tem de editar manualmente os ficheiros de segurança para remover o objeto de segurança personalizado. |
| -addgroup {parent_label | parent_name} mship pset_name [flags] ou -ag {parent_label | parent_name} mship pset_name [flags] |
Adiciona um novo grupo de código à hierarquia do grupo de código. Pode especificar o parent_label ou o parent_name. O argumento parent_label especifica a etiqueta (como 1. ou 1.1.) do grupo de código que é o principal do grupo de código que está a ser adicionado. O argumento parent_name especifica o nome do grupo de código que é o principal do grupo de código que está a ser adicionado. Uma vez que parent_label e parent_name podem ser utilizados alternadamente, Caspol.exe têm de ser capazes de distinguir entre elas. Portanto, parent_name não pode começar com um número. Além disso, parent_name só podem conter A-Z, 0-9 e o caráter de sublinhado. O argumento mship especifica a condição de associação para o novo grupo de código. Para obter mais informações, consulte a tabela de argumentos de mship mais adiante nesta secção. O argumento pset_name é o nome do conjunto de permissões que será associado ao novo grupo de código. Também pode definir um ou mais sinalizadores para o novo grupo. Para obter mais informações, consulte a tabela de argumentos sinalizadores mais adiante nesta secção. |
| -addpset {psfile | psfile pset_name} ou -ap {named_psfile | psfilepset_name} |
Adiciona um novo conjunto de permissões com nome à política. O conjunto de permissões tem de ser criado em XML e armazenado num ficheiro .xml. Se o ficheiro XML contiver o nome do conjunto de permissões, apenas esse ficheiro (psfile) é especificado. Se o ficheiro XML não contiver o nome do conjunto de permissões, tem de especificar o nome do ficheiro XML (psfile) e o nome do conjunto de permissões (pset_name). Todas as permissões utilizadas num conjunto de permissões têm de ser definidas em assemblagens contidas na cache de assemblagem global. |
| -a[ll] | Indica que todas as opções que se seguem a esta se aplicam às políticas do computador, do utilizador e da empresa. A opção -all refere-se sempre à política do utilizador atualmente com sessão iniciada. Veja a opção -customall para se referir à política de utilizador de um utilizador que não seja o utilizador atual. |
| -chggroup {label |name} {mship | pset_name | sinalizadores }ou -cg {label |name} {mship | pset_name | sinalizadores } |
Altera a condição de associação de um grupo de código, o conjunto de permissões ou as definições dos sinalizadores exclusivos, levelfinal, name ou description . Pode especificar a etiqueta ou o nome. O argumento etiqueta especifica a etiqueta (como 1. ou 1.1.) do grupo de código. O argumento nome especifica o nome do grupo de código a alterar. Uma vez que a etiqueta e o nome podem ser utilizados de forma intercambiável, Caspol.exe têm de ser capazes de distinguir entre elas. Por conseguinte, o nome não pode começar com um número. Além disso, o nome só pode conter A-Z, 0-9 e o caráter de sublinhado. O argumento pset_name especifica o nome do conjunto de permissões para associar ao grupo de código. Consulte as tabelas mais adiante nesta secção para obter informações sobre os argumentos mship e flags . |
| -chgpsetpsfile pset_name ou -cppsfile pset_name |
Altera um conjunto de permissões com nome. O argumento psfile fornece a nova definição para o conjunto de permissões; é um ficheiro de conjunto de permissões serializado no formato XML. O argumento pset_name especifica o nome do conjunto de permissões que pretende alterar. |
| -personalizar caminho ou -cacaminho |
Indica que todas as opções que se seguem a esta se aplicam à máquina, à empresa e às políticas de utilizador personalizadas especificadas. Tem de especificar a localização do ficheiro de configuração de segurança do utilizador personalizado com o argumento caminho . |
| -cu[stomuser] caminho | Permite a administração de uma política de utilizador personalizada que não pertence ao utilizador em cujo nome Caspol.exe está atualmente em execução. Tem de especificar a localização do ficheiro de configuração de segurança do utilizador personalizado com o argumento caminho . |
| -enterprise ou -pt |
Indica que todas as opções que se seguem a esta se aplicam à política de nível empresarial. Os utilizadores que não são administradores empresariais não têm direitos suficientes para modificar a política empresarial, embora possam vê-la. Em cenários não empresariais, esta política, por predefinição, não interfere com a política do computador e do utilizador. |
| -e[xecution] {on | off} | Ativa ou desativa o mecanismo que verifica a permissão de execução antes de o código começar a ser executado. Nota: Este comutador é removido em versões .NET Framework 4 e posteriores. |
| -f[orce] | Suprime o teste de autodestruição da ferramenta e altera a política conforme especificado pelo utilizador. Normalmente, Caspol.exe verifica se alguma alteração de política impediria a execução correta de Caspol.exe propriamente dito; em caso afirmativo, Caspol.exe não guarda a alteração de política e imprime uma mensagem de erro. Para forçar Caspol.exe a alterar a política, mesmo que isso impeça Caspol.exe a execução, utilize a opção –force . |
| -h[elp] | Apresenta a sintaxe do comando e as opções para Caspol.exe. |
| -l[ist] | Lista a hierarquia do grupo de código e os conjuntos de permissões para o computador, utilizador, empresa ou todos os níveis de política especificados. Caspol.exe apresenta primeiro a etiqueta do grupo de código, seguida do nome, se não for nula. |
| -listdescription ou -ld |
Lista todas as descrições do grupo de código para o nível de política especificado. |
| -listfulltrust ou -lf |
Lista o conteúdo da lista de assemblagem de confiança completa para o nível de política especificado. |
| -listgroups ou -lg |
Apresenta os grupos de código do nível de política especificado ou de todos os níveis de política. Caspol.exe apresenta primeiro a etiqueta do grupo de código, seguida do nome, se não for nula. |
| -listpset ou -lp | Apresenta os conjuntos de permissões para o nível de política especificado ou todos os níveis de política. |
| -m[achine] | Indica que todas as opções que se seguem a esta se aplicam à política ao nível do computador. Os utilizadores que não são administradores não têm direitos suficientes para modificar a política do computador, embora possam vê-la. Para os administradores, -machine é a predefinição. |
| -polchgprompt {on | off} ou -pp {on | off} |
Ativa ou desativa o pedido que é apresentado sempre que Caspol.exe é executado utilizando uma opção que causaria alterações de política. |
| -quiet ou -q |
Desativa temporariamente o pedido que é normalmente apresentado para uma opção que causa alterações de política. A definição do pedido de alteração global não é alterada. Utilize a opção apenas numa base de comando única para evitar desativar o pedido para todos os comandos Caspol.exe. |
| -r[ecover] | Recupera a política a partir de um ficheiro de cópia de segurança. Sempre que for efetuada uma alteração de política, Caspol.exe armazena a política antiga num ficheiro de cópia de segurança. |
| -remfulltrustassembly_file ou -rfassembly_file |
Remove uma assemblagem da lista de fidedignidade completa de um nível de política. Esta operação deve ser efetuada se um conjunto de permissões que contém uma permissão personalizada já não for utilizado pela política. No entanto, deve remover uma assemblagem que implemente uma permissão personalizada da lista de fidedignidade completa apenas se a assemblagem não implementar outras permissões personalizadas que ainda estão a ser utilizadas. Quando remove uma assemblagem da lista, também deve remover quaisquer outras assemblagens de que dependa. |
| -remgroup {label |name} ou -rg {label | name} |
Remove o grupo de código especificado pela respetiva etiqueta ou nome. Se o grupo de código especificado tiver grupos de código subordinado, Caspol.exe também remove todos os grupos de código subordinado. |
| -rempsetpset_name ou -rppset_name |
Remove o conjunto de permissões especificado da política. O argumento pset_name indica o conjunto de permissões a remover. Caspol.exe remove o conjunto de permissões apenas se não estiver associado a nenhum grupo de código. Os conjuntos de permissões predefinidos (incorporados) não podem ser removidos. |
| -reset ou -rs |
Devolve a política ao estado predefinido e mantém-na no disco. Isto é útil sempre que uma política alterada parece estar irreparável e pretende recomeçar com as predefinições de instalação. A reposição também pode ser conveniente quando pretende utilizar a política predefinida como ponto de partida para modificações em ficheiros de configuração de segurança específicos. Para obter mais informações, consulte Editar Manualmente os Ficheiros de Configuração de Segurança. |
| -resetlockdown ou -rsld |
Devolve a política a uma versão mais restritiva do estado predefinido e mantém-na no disco; cria uma cópia de segurança da política do computador anterior e mantém-na num ficheiro chamado security.config.bac. A política bloqueada é semelhante à política predefinida, exceto que a política não concede permissão para codificar a Local Intranetpartir do , Trusted Sitese Internet as zonas e os grupos de código correspondentes não têm grupos de código subordinados. |
| -resolvegroupassembly_file ou -rsgassembly_file |
Mostra os grupos de código a que pertence uma assemblagem específica (assembly_file). Por predefinição, esta opção apresenta os níveis de política de computador, utilizador e empresa aos quais a assemblagem pertence. Para ver apenas um nível de política, utilize esta opção com a opção -machine, -user ou -enterprise . |
| -resolvepermassembly_file ou -rspassembly_file |
Apresenta todas as permissões que o nível de política de segurança especificado (ou predefinido) concederia à assemblagem se a assemblagem fosse autorizada a ser executada. O argumento assembly_file especifica a assemblagem. Se especificar a opção -all , Caspol.exe calcula as permissões para a assemblagem com base no utilizador, no computador e na política empresarial; caso contrário, aplicam-se as regras de comportamento predefinidas. |
| -s[ecurity] {on | off} | Ativa ou desativa a segurança de acesso ao código. Especificar a opção -s off não desativa a segurança baseada em funções. Nota: Este comutador é removido em versões .NET Framework 4 e posteriores. Atenção: Quando a segurança de acesso ao código é desativada, todos os pedidos de acesso ao código são bem-sucedidos. Desativar a segurança de acesso ao código torna o sistema vulnerável a ataques por código malicioso, como vírus e worms. Desativar a segurança obtém algum desempenho adicional, mas só deve ser feito quando outras medidas de segurança tiverem sido tomadas para ajudar a garantir que a segurança geral do sistema não é violada. Exemplos de outras precauções de segurança incluem desligar-se de redes públicas, proteger fisicamente computadores, etc. |
| -u[ser] | Indica que todas as opções que se seguem a esta aplicação aplicam-se à política de nível de utilizador do utilizador em cujo nome Caspol.exe está em execução. Para utilizadores não administrativos, -user é a predefinição. |
| -? | Apresenta a sintaxe do comando e as opções para Caspol.exe. |
O argumento mship , que especifica a condição de associação de um grupo de código, pode ser utilizado com as opções -addgroup e -chggroup . Cada argumento de mship é implementado como uma classe .NET Framework. Para especificar o mship, utilize um dos seguintes procedimentos.
| Argumento | Description |
|---|---|
| -allcode | Especifica todo o código. Para obter mais informações sobre esta condição de associação, consulte System.Security.Policy.AllMembershipCondition. |
| -appdir | Especifica o diretório da aplicação. Se especificar –appdir como a condição de associação, a prova de URL do código é comparada com a prova do diretório da aplicação desse código. Se ambos os valores de provas forem os mesmos, esta condição de associação será satisfeita. Para obter mais informações sobre esta condição de associação, consulte System.Security.Policy.ApplicationDirectoryMembershipCondition. |
| -xmlfile personalizado | Adiciona uma condição de associação personalizada. O argumento xmlfile obrigatório especifica o ficheiro .xml que contém a serialização XML da condição de associação personalizada. |
| -hash hashAlg {-hexhashValue-file | assembly_file } | Especifica o código que tem o hash de assemblagem especificado. Para utilizar um hash como condição de associação a um grupo de código, tem de especificar o valor hash ou o ficheiro de assemblagem. Para obter mais informações sobre esta condição de associação, consulte System.Security.Policy.HashMembershipCondition. |
| -pub { -certcert_file_name | -filesigned_file_name-hex | hex_string } |
Especifica o código que tem o publicador de software especificado, conforme indicado por um ficheiro de certificado, uma assinatura num ficheiro ou a representação hexadecimal de um certificado X509. Para obter mais informações sobre esta condição de associação, consulte System.Security.Policy.PublisherMembershipCondition. |
| -site do site | Especifica o código que tem o site de origem especificado. Por exemplo:-site** www.proseware.comPara obter mais informações sobre esta condição de associação, consulte System.Security.Policy.SiteMembershipCondition. |
| -strong -filefile_name {name-noname | } {version-noversion | } | Especifica o código que tem um nome forte específico, conforme designado pelo nome do ficheiro, o nome da assemblagem como uma cadeia e a versão de assemblagem no formato principal. menor. compilação. revisão. Por exemplo: -strong -file myAssembly.exe myAssembly 1.2.3.4 Para obter mais informações sobre esta condição de associação, consulte System.Security.Policy.StrongNameMembershipCondition. |
| -URL do URL | Especifica o código que tem origem no URL especificado. O URL tem de incluir um protocolo, como http:// ou ftp://. Além disso, um caráter universal (*) pode ser utilizado para especificar múltiplas assemblagens a partir de um URL específico. Nota: Uma vez que um URL pode ser identificado com vários nomes, utilizar um URL como condição de associação não é uma forma segura de determinar a identidade do código. Sempre que possível, utilize uma condição de associação de nome forte, uma condição de associação do editor ou a condição de associação hash. Para obter mais informações sobre esta condição de associação, consulte System.Security.Policy.UrlMembershipCondition. |
| -zonezonename | Especifica código com a determinada zona de origem. O argumento zonename pode ser um dos seguintes valores: MyComputer, Intranet, Trusted, Internet ou Não Fidedigno. Para obter mais informações sobre esta condição de associação, consulte a ZoneMembershipCondition Classe. |
O argumento sinalizadores , que pode ser utilizado com as opções –addgroup e –chggroup , é especificado com uma das seguintes opções.
| Argumento | Description |
|---|---|
| -description "descrição" | Se for utilizada com a opção –addgroup , especifica a descrição de um grupo de código a adicionar. Se for utilizada com a opção –chggroup , especifica a descrição para um grupo de código a editar. O argumento de descrição tem de estar entre aspas. |
| -exclusive {on|off} | Quando definido como ativado, indica que apenas o conjunto de permissões associado ao grupo de código que está a adicionar ou modificar é considerado quando algum código se adequa à condição de associação do grupo de código. Quando esta opção está definida como desativada, Caspol.exe considera os conjuntos de permissões de todos os grupos de código correspondentes ao nível da política. |
| -levelfinal {on|off} | Quando definido como ativado, indica que não é considerado nenhum nível de política abaixo do nível em que ocorre o grupo de código adicionado ou modificado. Normalmente, esta opção é utilizada ao nível da política do computador. Por exemplo, se definir este sinalizador para um grupo de código ao nível do computador e algum código corresponder à condição de associação deste grupo de código, Caspol.exe não calcula nem aplica a política de nível de utilizador para este código. |
| -name "nome" | Se utilizado com a opção –addgroup , especifica o nome do scripting para um grupo de código a adicionar. Se utilizado com a opção -chggroup , especifica o nome do scripting para um grupo de código a editar. O argumento de nome tem de estar entre aspas. O argumento de nome não pode começar com um número e só pode conter A-Z, 0-9 e o caráter de sublinhado. Os grupos de código podem ser referidos por este nome em vez de pela respetiva etiqueta numérica. O nome também é altamente útil para efeitos de scripting. |
Observações
A política de segurança é expressa com três níveis de política: política de computador, política de utilizador e política empresarial. O conjunto de permissões que uma assemblagem recebe é determinado pela interseção dos conjuntos de permissões permitidos por estes três níveis de política. Cada nível de política é representado por uma estrutura hierárquica de grupos de código. Cada grupo de código tem uma condição de associação que determina que código é membro desse grupo. Um conjunto de permissões com nome também está associado a cada grupo de código. Este conjunto de permissões especifica as permissões que o runtime permite que o código que satisfaz a condição de associação tenha. Uma hierarquia de grupo de código, juntamente com os respetivos conjuntos de permissões nomeados associados, define e mantém cada nível de política de segurança. Pode utilizar as opções -user, -customuser, –machine e -enterprise para definir o nível de política de segurança.
Para obter mais informações sobre a política de segurança e como o runtime determina as permissões a conceder ao código, veja Gestão de Políticas de Segurança.
Referenciar Grupos de Código e Conjuntos de Permissões
Para facilitar as referências a grupos de código numa hierarquia, a opção -list apresenta uma lista com avanço de grupos de código, juntamente com as respetivas etiquetas numéricas (1, 1.1, 1.1.1, etc.). As outras operações de linha de comandos que visam grupos de código também utilizam as etiquetas numéricas para fazer referência a grupos de código específicos.
Os conjuntos de permissões nomeados são referenciados pelos respetivos nomes. A opção –list apresenta a lista de grupos de código seguido de uma lista de conjuntos de permissões nomeados disponíveis nessa política.
Comportamento do Caspol.exe
Todas as opções exceto -s[ecurity] {on | off} utilizam a versão do .NET Framework com a qual Caspol.exe foi instalada. Se executar o Caspol.exe que foi instalado com a versão X do runtime, as alterações aplicam-se apenas a essa versão. Outras instalações lado a lado do runtime, se existirem, não são afetadas. Se executar Caspol.exe a partir da linha de comandos sem estar num diretório para uma versão de runtime específica, a ferramenta é executada a partir do primeiro diretório de versão de runtime no caminho (normalmente a versão de runtime mais recente instalada).
A opção -s[ecurity] {on | off} é uma operação ao nível do computador. Desativar a segurança de acesso ao código termina as verificações de segurança de todo o código gerido e de todos os utilizadores no computador. Se estiverem instaladas versões lado a lado do .NET Framework, este comando desativa a segurança de todas as versões instaladas no computador. Embora a opção -list mostre que a segurança está desativada, nada mais indica claramente aos outros utilizadores que a segurança foi desativada.
Quando um utilizador sem direitos administrativos é executado Caspol.exe, todas as opções referem-se à política ao nível do utilizador, a menos que a opção –machine seja especificada. Quando um administrador executa Caspol.exe, todas as opções referem-se à política do computador, a menos que a opção –utilizador seja especificada.
Caspol.exe tem de ser concedido o equivalente ao conjunto de permissões Tudo para funcionar. A ferramenta tem um mecanismo de proteção que impede que a política seja modificada de formas que impeçam que Caspol.exe sejam concedidas as permissões necessárias para serem executadas. Se tentar efetuar tais alterações, Caspol.exe notifica-o de que a alteração da política pedida irá interromper a ferramenta e a alteração da política é rejeitada. Pode desativar este mecanismo de proteção para um determinado comando com a opção –force .
Editar Manualmente os Ficheiros de Configuração de Segurança
Três ficheiros de configuração de segurança correspondem aos três níveis de política suportados pelo Caspol.exe: um para a política do computador, um para uma determinada política de utilizador e outro para a política empresarial. Estes ficheiros são criados no disco apenas quando a política de computador, utilizador ou empresa é alterada com Caspol.exe. Pode utilizar a opção –reset no Caspol.exe para guardar a política de segurança predefinida no disco, se necessário.
Na maioria dos casos, não é recomendado editar manualmente os ficheiros de configuração de segurança. Contudo, podem existir cenários em que a modificação destes ficheiros se torna necessária, como quando um administrador quer editar a configuração de segurança de um determinado utilizador.
Exemplos
-addfulltrust
Suponha que foi adicionado um conjunto de permissões que contém uma permissão personalizada à política do computador. Esta permissão personalizada é implementada nas MyPerm.execlasses e MyPerm.exe referencia no MyOther.exe. Ambas as assemblagens têm de ser adicionadas à lista de assemblagens de confiança completa. O comando seguinte adiciona a MyPerm.exe assemblagem à lista de fidedignidade completa da política do computador.
caspol -machine -addfulltrust MyPerm.exe
O comando seguinte adiciona a MyOther.exe assemblagem à lista de fidedignidade completa da política do computador.
caspol -machine -addfulltrust MyOther.exe
-addgroup
O comando seguinte adiciona um grupo de código subordinado à raiz da hierarquia do grupo de código de política do computador. O novo grupo de código é um membro da zona da Internet e está associado ao conjunto de permissões execução .
caspol -machine -addgroup 1. -zone Internet Execution
O comando seguinte adiciona um grupo de código subordinado que dá à partilha \\netserver\netshare permissões de intranet local.
caspol -machine -addgroup 1. -url \\netserver\netshare\* LocalIntranet
-addpset
O comando seguinte adiciona o Mypset conjunto de permissões à política de utilizador.
caspol -user -addpset Mypset.xml Mypset
-chggroup
O comando seguinte altera o conjunto de permissões na política de utilizador do grupo de código denominado 1.2. para o conjunto de permissões de Execução .
caspol -user -chggroup 1.2. Execution
O comando seguinte altera a condição de associação na política predefinida do grupo de código com a etiqueta 1.2.1. e altera a definição do sinalizador exclusivo . A condição de associação é definida como código proveniente da zona da Internet e o sinalizador exclusivo é ativado.
caspol -chggroup 1.2.1. -zone Internet -exclusive on
-chgpset
O comando seguinte altera o conjunto de permissões com o nome Mypset para o conjunto de permissões contido em newpset.xml. Tenha em atenção que a versão atual não suporta a alteração de conjuntos de permissões que estão a ser utilizados pela hierarquia do grupo de código.
caspol -chgpset Mypset newpset.xml
-force
O comando seguinte faz com que o grupo de código raiz da política de utilizador (identificado como 1) seja associado ao conjunto de permissões Nothing named. Isto impede a execução de Caspol.exe.
caspol -force -user -chggroup 1 Nothing
-recuperar
O comando seguinte recupera a política do computador guardado mais recentemente.
caspol -machine -recover
-remgroup
O comando seguinte remove o grupo de código identificado como 1.1. Se este grupo de código tiver grupos de código subordinados, esses grupos também serão eliminados.
caspol -remgroup 1.1.
-rempset
O comando seguinte remove o conjunto de permissões de Execução da política de utilizador.
caspol -user -rempset Execution
O comando seguinte é removido Mypset do nível de política de utilizador.
caspol -rempset MyPset
-resolvegroup
O comando seguinte mostra todos os grupos de código da política do computador a que myassembly pertence.
caspol -machine -resolvegroup myassembly
O comando seguinte mostra todos os grupos de código da máquina, empresa e política de utilizador personalizada especificada à qual myassembly pertence.
caspol -customall "c:\config_test\security.config" -resolvegroup myassembly
-resolveperm
O comando seguinte calcula as permissões para testassembly com base nos níveis de política do computador e do utilizador.
caspol -all -resolveperm testassembly
Ver também
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários