определяют, что группа кода должна добавляться к верхнему уровню (1.), условие членства в группе кода имеет тип
Publisher
, а последний параметр определяет множество полномочий для предоставления (
FullTrust
). Команда будет требовать подтверждения:
Microsoft (R) .NET Framework CasPol 1.0.xxxx.x
Copyright (c) Microsoft Corp 1999-2001. All rights reserved.
The operation you are performing will alter security policy.
Are you sure you want to perform this operations? (yes/no) у
Added union code group with "-pub" membership condition to the Machine level.
Success
Машина теперь сконфигурирована при наличии полного доверия всем сборкам, которые были подписаны с помощью сертификата ABC Corporation. Чтобы подтвердить это, выполним команду
caspol.exe -lg
, которая выводит новую группу доступа к коду (1.8):
Security is ON
Execution checking is ON
Policy change prompt is ON
Level = Machine
Code Groups:
1. All code: Nothing
1.1. Zone - MyComputer: Full Trust
1.1.1. Zone — Intranet: LocalIntranet
1.2.1. All code: Same site Socket and Web.
1.2.2. All code: Same directory FileIO - Read, PathDiscovery
Результаты работы утилиты показывают, что сборка получает множество полномочий
FullTrust
при соответствии новой группе кода.
Управление зонами
Мы уже говорили о зонах, предоставляемых Windows, которыми мы управляем с помощью инструментов безопасности из Internet Explorer. Вот эти четыре зоны:
□
Intranet
— все сайты Web, которые не находятся в интранет текущей организации.
□
Trusted Sites
— сайты Web, которые не способны разрушить данные пользователя.
□
Restricted Sites
— сайты Web, которые потенциально могут повредить компьютер.
□
Internet
— все сайты Web, не попавшие в другие зоны.
Эти настройки управляются из Internet Explorer, так как они применимы к сайтам, посещаемым с помощью браузера, имеющего доступ к коду .NET (либо загруженному, либо в элементах управления страниц). Если используется другой браузер, он скорее всего не будет поддерживать код .NET и поэтому не будет параметров для управления ассоциированными зонами.
Любой пользователь на машине может изменить настройки зон, однако, настройки системы безопасности для зон, которые они определяют, применимы только для его учетной записи, т. е. один пользователь не может изменить у другого пользователя настройки зон. Это говорит о существовании риска, что пользователь может изменить настройки зон, не понимая, что делает, и невольно открыть свою машину для атаки.