Die standardmäßigen Sicherheitsrichtlinien

Wichtiger HinweisWichtig

In .NET Framework, Version 4 ist es nicht mehr die Aufgabe der CLR (Common Language Runtime), Sicherheitsrichtlinien für Computer bereitzustellen.Microsoft empfiehlt die Verwendung von Windows-Richtlinien für die Softwareeinschränkung anstelle der CLR-Sicherheitsrichtlinie.Die Informationen in diesem Thema gelten für .NET Framework, Version 3.5 oder früher, nicht für Version 4 oder höher.Weitere Informationen über diese und andere Änderungen finden Sie unter Änderungen der Sicherheit in .NET Framework 4.

Die für die Computerrichtlinie festgelegten Standardwerte sind in den folgenden Tabellen aufgeführt. Da beim Bestimmen des zulässigen Berechtigungssatzes die Schnittmenge der Richtlinienebenen gebildet wird, werden mit den Computerrichtlinieneinstellungen in Wirklichkeit die Standardsicherheitsrichtlinien bestimmt. Beachten Sie, dass in diesen Tabellen nur die durch die standardmäßigen Richtlinieneinstellungen verwendeten benannten Berechtigungssätze und Berechtigungen dargestellt werden und nicht alle zum Anpassen der Sicherheitsrichtlinie verfügbaren benannten Berechtigungssätze und Berechtigungen.

In der folgenden Tabelle sind die Standardcodegruppen für die Computerrichtlinie sowie die benannten Berechtigungssätze aufgeführt, die sie standardmäßig empfangen. Beispielsweise wird Code, der vom lokalen Computer stammt, der Arbeitsplatzzone zugeordnet und erhält standardmäßig volle Vertrauenswürdigkeit.

Codegruppe

Standardmäßig empfangener benannter Berechtigungssatz

  • My Computer Zone (Code vom lokalen Computer)

  • Microsoft Strong Name (Code, der mit dem starken Microsoft-Namen signiert ist)

  • ECMA Strong Name (Code, der mit dem starken ECMA-Namen signiert ist)

Voll vertrauenswürdig

  • Local Intranet Zone (Code von einem lokalen Netzwerk)

Lokales Intranet

  • Internet Zone (Code aus dem Internet)

  • Trusted Zone (Code von vertrauenswürdigen Sites in Internet Explorer)

Internet

  • All Code (Gesamter verwalteter Code)

  • Restricted Zone (Code von eingeschränkten Sites)

Nothing

HinweisHinweis

Bei .NET Framework 1.0 Service Pack 1 und Service Pack 2 erhält die Codegruppe Internet Zone den benannten Berechtigungssatz Nothing.In allen anderen Releases von .NET Framework erhält die Codegruppe Internet Zone wie in der vorstehenden Tabelle beschrieben den benannten Berechtigungssatz Internet.

Obwohl die Codegruppe All Code für den gesamten Code die Nothing-Berechtigung als Standardeinstellung hat, bedeutet das nicht, dass kein Teil des Codes über Berechtigungen verfügt, da beim Berechnen der zulässigen Berechtigungen die Gesamtmenge aus übereinstimmenden Codegruppen gebildet wird.

In der folgenden Tabelle werden die einzelnen Berechtigungen aufgeführt, aus denen sich der entsprechende Standardberechtigungssatz jeweils zusammensetzt. In der linken Spalte werden die einzelnen Berechtigungsobjekte aufgeführt. In der rechten Spalte wird die Konfiguration dieser Objekte in den Berechtigungssätzen dargestellt. Beispielsweise erhält Code, der aus der lokalen Intranetzone stammt, den Berechtigungssatz Lokales Intranet. In dieser Tabelle wird gezeigt, dass der Berechtigungssatz Lokales Intranet aus uneingeschränkter DNSPermission, uneingeschränkter FileDialogPermission usw. besteht. Beachten Sie, dass Code aus der Internetzone standardmäßig nicht den Berechtigungssatz Internet, sondern den Berechtigungssatz Nothing erhält.

Berechtigung

FullTrust-Berechtigungssatz

(Uneingeschränkter Zugriff auf alle Berechtigungen, einschließlich der nicht aufgeführten)

Nothing-Berechtigungssatz

(Keine Berechtigungen, keine Berechtigung zum Ausführen)

LocalIntranet-Berechtigungssatz

Internet-Berechtigungssatz

DnsPermission

Uneingeschränkt

Kein Zugriff

Uneingeschränkt

Kein Zugriff

EnvironmentPermission

Uneingeschränkt

Kein Zugriff

Lesen des Benutzernamens (Umgebungsvariable)

Kein Zugriff

EventLogPermission

Uneingeschränkt

Kein Zugriff

Instrument

Kein Zugriff

FileDialogPermission

Uneingeschränkt

Kein Zugriff

Uneingeschränkt

Öffnen Sie .

IsolatedStoragePermission

Uneingeschränkt

Kein Zugriff

AssemblyIsolationByUser

Datenträgerkontingent 9223372036854775807

ApplicationIsolationByUser

Datenträgerkontingent 512000

PrintingPermission

Uneingeschränkt

Kein Zugriff

DefaultPrinting

SafePriniting

ReflectionPermission

Uneingeschränkt

Kein Zugriff

ReflectionEmit

Kein Zugriff

SecurityPermission

Uneingeschränkt

Kein Zugriff

Ausführung

Assertion

Ausführung

UIPermission

Uneingeschränkt

Kein Zugriff

Uneingeschränkt

SafeTopLevelWindows

OwnClipboard

Obwohl die Standardsicherheitsrichtlinien für viele Situationen geeignet sind, können Administratoren die Sicherheitsrichtlinien ändern, um sie den speziellen Anforderungen ihrer Organisation anzupassen. Weitere Informationen finden Sie unter Verwalten der Sicherheitsrichtlinien.

Beachten Sie, dass Code im Zusammenhang mit der inhärenten LinkDemand für vollständige Vertrauenswürdigkeit, die automatisch durch im globalen Assemblycache befindliche Assemblys durchgeführt wird, zusätzlichen Einschränkungen unterliegt. Wenn auf eine Assembly im globalen Assemblycache nicht das AllowPartiallyTrustedCallersAttribute angewendet wird, verursacht sämtlicher Code, der nicht den Berechtigungssatz Full Trust erhält, beim Versuch, eine Verknüpfung zu der Assembly herzustellen, eine SecurityException. Weitere Informationen sowie eine Liste der Assemblys mit dem AllowPartiallyTrustedCallersAttribute finden Sie unter Verwenden von Bibliotheken aus teilweise vertrauenswürdigem Code.

Siehe auch

Konzepte

Sicherheitsrichtlinienmodell

Verwenden von Bibliotheken aus teilweise vertrauenswürdigem Code

Weitere Ressourcen

Verwaltung der Sicherheitsrichtlinien