Использование политики ограничения программного обеспечения в COM+
Правильное использование политики ограничений программного обеспечения может сделать бизнес более гибким, так как он предоставляет упреждающую платформу для предотвращения проблем, а не реактивную платформу, которая зависит от дорогостоящей альтернативы восстановлению системы после возникновения проблемы. Политика ограничения программного обеспечения была введена в выпуске Microsoft Windows XP для защиты систем от неизвестного и, возможно, опасного кода. Политика ограничений предоставляет механизм, в котором только доверенный код предоставляет неограниченный доступ к привилегиям пользователя. Неизвестный код, который может содержать вирусы или код, конфликты с установленными в настоящее время программами, разрешено запускаться только в ограниченной среде (часто называемой песочницей), где она запрещена получать доступ к любым привилегиям пользователей с учетом безопасности.
Политика ограничений программного обеспечения зависит от назначения уровней доверия коду, который может выполняться в системе. В настоящее время существуют два уровня доверия: Неограниченное и запрещено. Код с неограниченным уровнем доверия предоставляет неограниченный доступ к привилегиям пользователя, поэтому этот уровень доверия должен применяться только к полностью доверенному коду. Код с уровнем доверия запрещен от доступа к любым привилегиям пользователя с учетом безопасности и может выполняться только в песочнице, которая помогает предотвратить загрузку запрещенного кода в адресное пространство.
Настройка политики ограничений программного обеспечения для системы выполняется с помощью средства администрирования локальной политики безопасности, а конфигурация политики ограничений отдельных приложений COM+ выполняется программным способом или с помощью средства администрирования служб компонентов. Если уровень доверия политики ограничений не указан для приложения COM+, для определения уровня доверия приложения будут использоваться системные параметры. Параметры политики ограничения COM+ должны быть тщательно согласованы с параметрами по всей системе, так как приложение COM+ с неограниченным уровнем доверия может загружать только компоненты с уровнем неограниченного доверия; Запрещенное приложение COM+ может загружать компоненты с любым уровнем доверия, но не может получить доступ ко всем привилегиям пользователя.
Помимо уровней доверия политики ограничений программного обеспечения отдельных приложений COM+, два других свойства определяют, как политика ограничений используется для всех приложений COM+. Если SRPRunningObjectChecks включен, попытки подключения к запущенным объектам будут проверка для соответствующих уровней доверия. Выполняющийся объект не может иметь менее строгий уровень доверия, чем клиентский объект. Например, запущенный объект не может иметь уровень доверия запрещено, если у клиентского объекта есть уровень доверия с неограниченным уровнем доверия.
Второе свойство определяет, как политика ограничений программного обеспечения обрабатывает подключения активации от имени активации. Если включенА функция SRPActivateAsActivatorChecks , уровень доверия, настроенный для объекта сервера, сравнивается с уровнем доверия клиентского объекта и более строгим уровнем доверия будет использоваться для запуска объекта сервера. Если SRPActivateAsActivatorChecks не включен, серверный объект будет работать с уровнем доверия клиентского объекта независимо от уровня доверия, с которым он был настроен. По умолчанию включены функции SRPRunningObjectChecks и SRPActivateAsActivatorChecks.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по