Свидетельство
.gif "Важное примечание") Важно |
|---|
В версии .NET Framework 4 среда CLR больше не определяет политику безопасности для компьютеров.Корпорация Майкрософт рекомендует использовать вместо политики безопасности среды CLR политики ограниченного использования программ Windows.Сведения этого раздела относятся к .NET Framework 3.5 и более ранним версиям; они неприменимы к версии 4 и выше.Дополнительные сведения об этом и других изменениях см. в разделе Изменения системы безопасности в платформе .NET Framework 4. |
Свидетельство — это информация, которую среда CLR использует для принятия решений на основе политики безопасности. Свидетельство указывает среде выполнения, что код имеет конкретные характеристики. Общие формы свидетельства включают цифровую подпись и адрес источника кода, но свидетельство может быть также изменено пользователем для представления другой важной для приложения информации. Как сборкам, так и доменам приложения разрешения предоставляются на основании свидетельства.
В следующей таблице приведены общие типы свидетельств, которые узел может представить среде выполнения.
Свидетельство |
Описание |
|---|---|
Каталог приложения |
Каталог установки приложения. |
Хэш |
Криптографический хэш, например SHA1. |
Издатель |
Подпись издателя программного обеспечения; т.е. того, кто подписал код при помощи Authenticode. |
Веб-узел |
Узел источника, например https://www.microsoft.com. |
Строгое имя |
Криптографически строгое имя сборки. |
URL-адрес |
URL-адрес источника. |
Зона |
Зона источника, например зона Интернета. |
В дополнение к формам свидетельства, приведенным в таблице, среде выполнения также может быть представлено свидетельство, определенное приложением или системой. Доверенные узлы доменов приложений могут представить среде выполнения свидетельство сборки или домена приложения. Среда выполнения использует эти сведения для оценки политики предприятия, компьютера и пользователя (а также политики домена приложения для сборок, если она представлена доверенным узлом домена приложения) и возвращает набор разрешений для предоставления сборке или домену приложения. Если доверенный узел домена приложения не имеет разрешения на предоставление свидетельства, сборка или домен приложения получат разрешения, которые были предоставлены узлу.
Среда выполнения получает свидетельство сборок либо от доверенного узла домена приложения, либо непосредственно от загрузчика. Некоторые свидетельства, например об источнике кода, обычно поступают от доверенного узла домена приложения, поскольку только узел обладает этой информацией. Доверенные узлы домена приложения могут переопределить свидетельство от загрузчика и могут предоставить собственное свидетельство.
Другие свидетельства, такие как цифровая подпись сборки, находятся непосредственно в коде и могут быть получены как от загрузчика, так и от узла домена приложения. Обычно среда выполнения проверяет каждую цифровую подпись сборки, когда код загружен. Если цифровая подпись является допустимой, доверенный узел домена приложения передает информацию о подписи в качестве свидетельства механизму реализации политики среды выполнения. Кроме того, сборка или доверенный узел домена приложения могут предоставить пользовательское свидетельство как ресурс, являющийся частью сборки. Администраторы и разработчики могут определить пользовательское свидетельство и расширить политику безопасности для того, чтобы она была способна распознавать и использовать его.
Механизм реализации политики среды выполнения использует свидетельства как от доверенного узла домена приложения, так и от сборки для определения области членства кода в группе кода.