CLR-Integration und Codezugriffssicherheit

Gilt für: SQL Server

Die Common Language Runtime (CLR) unterstützt ein Sicherheitsmodell, das als Codezugriffssicherheit für verwalteten Code bezeichnet wird. In diesem Modell werden Assemblys Berechtigungen auf Grundlage der Identität des Codes gewährt. Weitere Informationen finden Sie im Abschnitt "Codezugriffsicherheit" im .NET Framework Software Development Kit.

Die Sicherheitsrichtlinie, die die Berechtigungen für Assemblys bestimmt, wird an drei verschiedenen Stellen definiert:

  • Computerrichtlinie: Dies ist die Richtlinie, die für den gesamten verwalteten Code gilt, der auf dem Computer ausgeführt wird, auf dem SQL Server installiert ist.

  • Benutzerrichtlinie: Diese Richtlinie ist für verwalteten Code gültig, der von einem Prozess gehostet wird. Für SQL Server ist die Benutzerrichtlinie spezifisch für das Windows-Konto, auf dem der SQL Server-Dienst ausgeführt wird.

  • Hostrichtlinie: Dies ist die Richtlinie, die vom Host der CLR (in diesem Fall SQL Server) eingerichtet wird, der für verwalteten Code in diesem Host ausgeführt wird.

Der von der CLR unterstützte Codezugriffs-Sicherheitsmechanismus basiert auf der Annahme, dass die Laufzeit sowohl vollständig vertrauenswürdigen als auch teilweise vertrauenswürdigen Code hosten kann. Die ressourcen, die durch CLR-Codezugriffssicherheit geschützt sind, werden in der Regel von verwalteten Anwendungsprogrammierschnittstellen umschlossen, die die entsprechende Berechtigung erfordern, bevor der Zugriff auf die Ressource zugelassen wird. Die Anforderung der Berechtigung ist nur dann erfüllt, wenn alle aufrufenden Prozesse (auf Assemblyebene) in der Aufrufliste über die entsprechende Ressourcenberechtigung verfügen.

Der Satz von Codezugriffssicherheitsberechtigungen, die verwaltetem Code gewährt werden, wenn sie in SQL Server ausgeführt werden, ist die Schnittmenge der Berechtigungen, die von den oben genannten drei Richtlinienebenen gewährt werden. Selbst wenn SQL Server eine Reihe von Berechtigungen für eine assembly gewährt, die in SQL Server geladen wurde, kann der letztendliche Satz von Berechtigungen, die dem Benutzercode erteilt werden, durch die Richtlinien auf Benutzer- und Computerebene weiter eingeschränkt werden.

Berechtigungssätze auf SQL Server Host-Richtlinienebene

Der Satz von Codezugriffssicherheitsberechtigungen, die Assemblys von der SQL Server-Hostrichtlinienebene gewährt werden, wird durch den Berechtigungssatz bestimmt, der beim Erstellen der Assembly angegeben wurde. Es gibt drei Berechtigungssätze: SAFE, EXTERNAL_ACCESS und UNSAFE (angegeben mithilfe der PERMISSION_SET Option CREATE ASSEMBLY (Transact-SQL)).

SQL Server stellt eine Sicherheitsrichtlinienstufe auf Hostebene für die CLR bereit, während sie gehostet wird; Diese Richtlinie ist eine zusätzliche Richtlinienebene unter den beiden Richtlinienebenen, die immer wirksam sind. Diese Richtlinie wird für jede Anwendungsdomäne festgelegt, die von SQL Server erstellt wird. Diese Richtlinie ist nicht für die Standardanwendungsdomäne gedacht, die wirksam wäre, wenn SQL Server eine Instanz der CLR erstellt.

Die SQL Server-Richtlinie auf Hostebene ist eine Kombination aus einer festen SQL Server-Richtlinie für Systemassemblys und eine vom Benutzer angegebene Richtlinie für Benutzerassemblys.

Die feste Richtlinie für CLR-Assemblys und SQL Server-Systemassemblys gewährt ihnen voll vertrauenswürdig.

Der vom Benutzer angegebene Teil der SQL Server-Hostrichtlinie basiert auf dem Assemblybesitzer, der einen von drei Berechtigungs-Buckets für jede Assembly angibt. Weitere Informationen über die unten aufgeführten Sicherheitsberechtigungen finden Sie unter .NET Framework SDK.

SAFE

Nur interne Berechnungen und lokaler Datenzugriff sind zulässig. SAFE ist der restriktivste Berechtigungssatz. Code, der von einer Assembly mit SAFE-Berechtigungen ausgeführt wird, kann nicht auf externe Systemressourcen wie Dateien, Das Netzwerk, Umgebungsvariablen oder die Registrierung zugreifen.

SAFE-Assemblys verfügen über die folgenden Berechtigungen und Werte:

Berechtigung Wert(e)/Beschreibung
SecurityPermission Ausführung: Berechtigung zum Ausführen von verwaltetem Code.
SqlClientPermission Kontextverbindung = true, Kontextverbindung = ja: Nur die Kontextverbindung kann verwendet werden, und die Verbindungszeichenfolge kann nur einen Wert von "context connection=true" oder "context connection=yes" angeben.

AllowBlankPassword = false: Leere Kennwörter sind nicht zulässig.

EXTERNAL_ACCESS

EXTERNAL_ACCESS Assemblys verfügen über die gleichen Berechtigungen wie SICHERE Assemblys, mit der zusätzlichen Möglichkeit, auf externe Systemressourcen wie Dateien, Netzwerke, Umgebungsvariablen und die Registrierung zuzugreifen.

EXTERNAL_ACCESS Assemblys verfügen außerdem über die folgenden Berechtigungen und Werte:

Berechtigung Wert(e)/Beschreibung
DistributedTransactionPermission Uneingeschränkt: Verteilte Transaktionen sind zulässig.
DNSPermission Uneingeschränkt: Berechtigung zum Anfordern von Informationen von Domänennamenservern.
EnvironmentPermission Uneingeschränkt: Vollzugriff auf System- und Benutzerumgebungsvariablen ist zulässig.
EventLogPermission Verwalten: Die folgenden Aktionen sind zulässig: Erstellen einer Ereignisquelle, Lesen vorhandener Protokolle, Löschen von Ereignisquellen oder Protokollen, Reagieren auf Einträge, Löschen eines Ereignisprotokolls, Überwachen von Ereignissen und Zugreifen auf eine Sammlung aller Ereignisprotokolle.
FileIOPermission Uneingeschränkt: Vollzugriff auf Dateien und Ordner ist zulässig.
KeyContainerPermission Uneingeschränkt: Vollzugriff auf Schlüsselcontainer ist zulässig.
NetworkInformationPermission Zugriff: Pinging ist zulässig.
RegistryPermission Ermöglicht Leserechten HKEY_CLASSES_ROOT, HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG und HKEY_USERS.
SecurityPermission Assertion: Fähigkeit, zu bestätigen, dass alle Aufrufer dieses Codes über die erforderliche Berechtigung für den Vorgang verfügen.

ControlPrincipal: Möglichkeit zum Bearbeiten des Prinzipalobjekts.

Ausführung: Berechtigung zum Ausführen von verwaltetem Code.

SerializationFormatter: Möglichkeit zum Bereitstellen von Serialisierungsdiensten.
SmtpPermission Zugriff: Ausgehende Verbindungen mit SMTP-Hostport 25 sind zulässig.
SocketPermission Verbinden: Ausgehende Verbindungen (alle Ports, alle Protokolle) für eine Transportadresse sind zulässig.
SqlClientPermission Uneingeschränkt: Vollzugriff auf die Datenquelle ist zulässig.
StorePermission Uneingeschränkt: Vollzugriff auf X.509-Zertifikatspeicher ist zulässig.
WebPermission Verbinden: Ausgehende Verbindungen mit Webressourcen sind zulässig.

UNSAFE

UNSAFE ermöglicht den uneingeschränkten Zugriff auf Ressourcen sowohl innerhalb als auch außerhalb von SQL Server. Code, der in einer UNSAFE-Assembly ausgeführt wird, kann auch nicht verwalteten Code aufrufen.

UNSAFE-Assemblys erhalten FullTrust.

SAFE ist die empfohlene Berechtigungseinstellung für Assemblys, die Berechnungs- und Datenverwaltungsaufgaben ausführen, ohne auf Ressourcen außerhalb von SQL Server zuzugreifen.

EXTERNAL_ACCESS wird für Assemblys empfohlen, die auf Ressourcen außerhalb von SQL Server zugreifen. EXTERNAL_ACCESS Assemblys werden standardmäßig als SQL Server-Dienstkonto ausgeführt. Es ist möglich , dass EXTERNAL_ACCESS Code die Identität des Sicherheitskontexts des Aufrufers für die Windows-Authentifizierung explizit imitiert. Da der Standardwert als SQL Server-Dienstkonto ausgeführt werden soll, sollte die Berechtigung zum Ausführen von EXTERNAL_ACCESS nur an Anmeldeinformationen übergeben werden, die als Dienstkonto ausgeführt werden.

Aus Sicherheitsperspektive sind EXTERNAL_ACCESS und UNSAFE-Assemblys identisch. EXTERNAL_ACCESS Assemblys bieten jedoch verschiedene Zuverlässigkeits- und Robustitätsschutzfunktionen, die sich nicht in UNSAFE-Assemblys befinden.

Wenn SIE UNSAFE angeben, kann der Code in der Assembly illegale Vorgänge für den SQL Server-Prozessbereich ausführen und somit die Stabilität und Skalierbarkeit von SQL Server beeinträchtigen. Weitere Informationen zum Erstellen von CLR-Assemblys in SQL Server finden Sie unter Verwalten von CLR-Integrationsassemblys.

Wichtig

SQL Server enthält CLR-Assemblys, die vom Datenbankmodul verwendet werden, um bestimmte Funktionen bereitzustellen. Die Microsoft.SQLServer.Types Assembly, die in der SQL Server-Installation enthalten ist, wird in den Metadaten als UNSAFE-Assembly angezeigt. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Diese Assemblys gelten standardmäßig als vertrauenswürdig und sicher.

Zugreifen auf externe Ressourcen

Wenn ein benutzerdefinierter Typ (USER-Defined Type, UDT), eine gespeicherte Prozedur oder ein anderer Konstruktassembly mit dem SAFE-Berechtigungssatz registriert ist, kann verwalteter Code, der im Konstrukt ausgeführt wird, nicht auf externe Ressourcen zugreifen. Wenn jedoch entweder die EXTERNAL_ACCESS - oder UNSAFE-Berechtigungssätze angegeben werden, und verwalteter Code versucht, auf externe Ressourcen zuzugreifen, wendet SQL Server die folgenden Regeln an:

Wenn Then
Der Ausführungskontext entspricht einer SQL Server-Anmeldung. Versuche, auf externe Ressourcen zuzugreifen, werden verweigert, und eine Sicherheitsausnahme wird ausgelöst.
Der Ausführungskontext entspricht einer Windows-Anmeldung, und der Ausführungskontext ist der ursprüngliche Aufrufer. Auf die externe Ressource wird unter dem Sicherheitskontext des SQL Server-Dienstkontos zugegriffen.
Bei dem Aufrufer handelt es sich nicht um den ursprünglichen Aufrufer. Der Zugriff wird verweigert, und eine Sicherheitsausnahme wird ausgelöst.
Der Ausführungskontext entspricht einer Windows-Anmeldung, und der Ausführungskontext ist der ursprüngliche Aufrufer und der Aufrufer wurde als Identitätswechsel bezeichnet. Für den Zugriff wird anstelle des Dienstkontos der Sicherheitskontext des Aufrufers verwendet.

Zusammenfassung des Berechtigungssatzes

Das folgende Diagramm fasst die Einschränkungen und Berechtigungen zusammen, die den SICHERHEITS-, EXTERNAL_ACCESS- und UNSAFE-Berechtigungssätzen gewährt wurden.

Funktionalität SAFE EXTERNAL_ACCESS UNSICHER
Codezugriffssicherheitsberechtigungen Nur ausführen Ausführen + Zugriff auf externe Ressourcen Uneingeschränkt (einschließlich P/Invoke)
Beschränkungen des Programmiermodells Yes Yes Keine Einschränkungen
Überprüfbarkeit erforderlich Yes Ja No
Lokaler Datenzugriff Ja Ja Ja
Aufrufbarkeit von systemeigenem Code No Nein Ja

Weitere Informationen

Sicherheit der CLR-Integration
Hostschutzattribute und Programmierung der CLR-Integration
CLR-Integration: Beschränkungen des Programmiermodells
Gehostete CLR-Umgebung