Развертывание политики безопасности

Статья
08/11/2011

Важно
В версии .NET Framework 4 среда CLR больше не определяет политику безопасности для компьютеров.Корпорация Майкрософт рекомендует использовать вместо политики безопасности среды CLR политики ограниченного использования программ Windows.Сведения этого раздела относятся к .NET Framework 3.5 и более ранним версиям; они неприменимы к версии 4 и выше.Дополнительные сведения об этом и других изменениях см. в разделе Изменения системы безопасности в платформе .NET Framework 4.

В версии .NET Framework 4 среда CLR больше не определяет политику безопасности для компьютеров.Корпорация Майкрософт рекомендует использовать вместо политики безопасности среды CLR политики ограниченного использования программ Windows.Сведения этого раздела относятся к .NET Framework 3.5 и более ранним версиям; они неприменимы к версии 4 и выше.Дополнительные сведения об этом и других изменениях см. в разделе Изменения системы безопасности в платформе .NET Framework 4.

Политика безопасности может быть развернута с помощью файла установщика Windows (.msi). Файл .msi представляет собой независимый установочный пакет, который можно развертывать, устанавливать и удалять разными способами. Например, файл .msi можно развернуть следующими способами.

Запустить файл .msi на компьютере, на котором развертывается политика, с локального или общего диска.
С помощью групповой политики на серверах Microsoft Windows.
С помощью сервера Microsoft Systems Management Server (SMS).

Создание файлов Windows Installer

В состав средства Mscorcfg.msc (средство настройки .NET Framework) входит мастер для создания файлов установщика Windows. Этот мастер может создать файл установщика, соответствующий одному из трех настраиваемых уровней политики (но не всем трем одновременно). При администрировании политики безопасности для всех трех настраиваемых уровней необходимо создать три разных файла установщика Windows и развертывать их по отдельности.

Мастер создает файл установщика, используя текущие параметры политики компьютера, на котором этот мастер запущен. Например, чтобы создать политику пользователя, предназначенную для развертывания в группе пользователей, следует настроить политику пользователя на текущем компьютере, создать с помощью мастера файл установщика и затем восстановить политику пользователя текущего компьютера в исходном виде.

Создание файла установщика Windows

Запустите средство настройки платформы .NET Framework (Mscorcfg.msc).
- В .NET Framework версии 1.0 или 1.1 введите в командной строке следующее: %Systemroot%\Microsoft.NET\Framework\номерВерсии\Mscorcfg.msc.
- В .NET Framework 2.0 или более поздней версии запустите Командная строка Visual Studio и пакета Windows SDK и введите mscorcfg.msc. Командная строка пакета SDK, предназначенная для автоматической установки облегчающих работу со средствами .NET Framework переменных среды SDK, входит в состав пакета SDK для .NET Framework версии 2.0. Последующие версии платформы .NET Framework создаются путем постепенного расширения возможностей .NET Framework версии 2.0. Поэтому командная строка SDK из пакета SDK для .NET Framework 2.0 — последняя доступная автономная командная строка SDK. Вместо нее можно использовать командные строки Visual Studio, имеющиеся в Visual Studio 2005 и более поздних версиях.
В левой области окна щелкните правой кнопкой мыши узел Политика безопасности среды выполнения.
В меню выберите команду Создать пакет развертывания.
Создайте файл .msi, следуя инструкциям мастера пакетов развертывания.

При развертывании политики с использованием файла установщика, созданного при помощи Mscorcfg.msc (средство настройки .NET Framework), выполняются следующие условия.

Установка политики влияет только на ту версию среды выполнения, для которой создавался файл установки. Например, при использовании средства настройки .NET Framework версии 2.0, файл установки будет влиять только на политику .NET Framework версии 2.0.
В некоторых случаях установщик не вырабатывает ошибку, если установку новой политики произвести не удается. Чтобы подтвердить успешную установку политики, следует проверить политику с помощью средства настройки .NET Framework, Caspol.exe (средство настройки политики управления доступом для кода) или проверив файлы политики вручную в текстовом редакторе после установки.
Для обновления отображения политики в средстве настройки .NET Framework, следует закрыть его и перезапустить.

Настраиваемое развертывание

Файлы установщика Windows можно развертывать несколькими способами, в том числе путем включения в скрипт запуска, путем рассылки по электронной почте или путем распространения с общего диска. Простейший способ развертывания политики безопасности из файла установщика Windows состоит в запуске файла на компьютере, на котором требуется обновить политику безопасности. Для этого достаточно дважды щелкнуть файл .msi. Чтобы отменить установку, щелкните файл .msi правой кнопкой мыши и выберите команду Удалить.

Необходимо убедиться, что учетная запись пользователя, с которой выполняется установка политики, имеет соответствующие привилегии для доступа к изменяемым файлам конфигурации. Например, если администратор вошел в систему с учетной записью, не имеющей разрешения на изменение файла конфигурации политики предприятия, а развертываемый файл .msi должен вносить такие изменения, то установка не будет выполнена успешно. Следует заметить, что пакет установщика Windows не сообщает об ошибке, если текущая учетная запись не обладает разрешением на изменение файла конфигурации.

Развертывание групповой политики

Если для администрирования политики используется сервер Windows, то при развертывании политики безопасности на рабочих станциях сети можно использовать файл установщика Windows в сочетании с групповой политикой. Достаточно импортировать файл установщика, используя оснастку консоли управления для настройки групповой политики, или поместить файл в существующий каталог, который служит местом установки. Если групповую политику настроить для публикации файла установщика, то при очередном входе пользователя в сеть политика безопасности будет обновлена. Следует заметить, что для развертывания политики безопасности с использованием групповой политики необходимо, чтобы в сети присутствовал контроллер домена. Дополнительные сведения об использовании групповой политики см. в справке Microsoft Windows Server.

Развертывание в SMS

Для публикации политики безопасности на компьютерах в сети можно использовать сервер Microsoft Systems Management Server (SMS) 2.0. SMS — это автономная серверная система, которая управляет установкой и настройкой программного обеспечения в крупных сетях предприятий. Сервер SMS особенно полезен в сетях, работающих под управлением Windows Server, поскольку он поддерживает функции групповой политики, доступные в сетях Windows Server. Необходимо преобразовать файл .msi в пакет программного обеспечения SMS с помощью одного из совместимых методов, а затем, используя SMS, установить пакет точно так же, как устанавливается любой другой пакет. Дополнительные сведения о создании и развертывании пакетов программного обеспечения SMS см. в документации по SMS.

См. также

Другие ресурсы

Общее администрирование политики безопасности

Лучшие методики для политики безопасности