Implantando diretiva de segurança

Observação importanteImportante

No .NET Framework versão 4, o common language runtime (CLR) está se afastando fornecendo a diretiva de segurança de computadores.Microsoft recomenda o uso de diretivas de restrição de Software do Windows como um substituto para a diretiva de segurança do CLR.As informações neste tópico se aplica à.NET Framework versão 3.5 e anterior; não se aplica à versão 4.0 e posterior.Para obter mais informações sobre esta e outras alterações, consulte Alterações de segurança na.NET Framework 4.

Diretiva de segurança pode ser implantada facilmente em um arquivo do Windows Installer (. msi). Um arquivo. msi é um pacote de instalação independente que pode ser implantado, instalado e desinstalado de diversas maneiras. Por exemplo, você pode implantar um arquivo. msi em qualquer uma das seguintes maneiras:

  • Executando o arquivo. msi no computador onde você deseja implantar a diretiva, a partir do disco local ou de um compartilhamento.

  • Usando a diretiva de grupo em servidores Microsoft Windows.

  • Usando o Microsoft Systems Management Server (SMS).

A criação de arquivos do Windows Installer

O Mscorcfg. msc (.NET Framework Configuration Tool) fornece um Assistente para criação de arquivos do Windows Installer. O assistente pode criar um arquivo do instalador que corresponde a um dos três níveis de regras configuráveis, mas não todos eles simultaneamente. Se você estiver administrando a diretiva de segurança para todos os três níveis configuráveis, você deve criar três arquivos diferentes do Windows Installer e implantá-los individualmente.

O assistente cria o arquivo do instalador usando as configurações atuais da diretiva do computador onde o assistente é executado. Por exemplo, para criar uma diretiva de usuário para implantação de um grupo de usuários, configurar a diretiva de usuário no computador atual, criar o arquivo do instalador com o assistente e retornar a diretiva de usuário do computador atual para seu estado original.

Para criar um arquivo do Windows Installer:

  1. Executar o.NET Framework (Mscorcfg).

    • No.NET Framework versões 1.0 e 1.1, digite o seguinte no prompt de comando: %Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc.

    • No .NET Framework 2.0 e posterior, inicie o Prompt de comando Visual Studio e digite mscorcfg.msc. SDK do Prompt de comando, que define automaticamente as variáveis de ambiente SDK que permitem que você possa facilmente usar.NET Framework tools, incluída na .NET Framework versão 2.0 Software Development Kit (SDK). As versões subseqüentes do.NET Framework são criados incrementais em relação a.NET Framework versão 2.0. Conseqüentemente, o SDK Prompt de comando do.NET Framework 2.0 SDK é mais recente independente SDK Prompt de comando disponíveis. Como alternativa, você pode usar os prompts de comando Visual Studio que são fornecidos com Visual Studio de 2005 e versões posteriores.

  2. No painel esquerdo, clique com o botão direito do runtime Security Policy nó.

  3. No menu, escolha Criar o pacote de implantação.

  4. Siga as instruções do Assistente de pacote de implantação para criar o arquivo. msi.

Quando você implanta a diretiva usando um arquivo do instalador é criado pelo Mscorcfg. msc (.NET Framework Configuration Tool), o seguinte se aplica:

  • Instalação de diretiva afeta somente a versão do runtime que você escolheu ao criar o arquivo de instalação. Por exemplo, se você usar o.NET Framework Configuration tool versão 2.0, o arquivo de instalação altera somente.Diretiva do NET Framework versão 2.0.

  • Em alguns casos, o instalador não gera um erro se a falha na instalação de uma nova diretiva. Para verificar se a diretiva foi instaladas com êxito, inspecione diretivas usando o.Ferramenta de configuração do NET Framework, o Caspol. exe (Code Access Security Policy Tool), ou por meio da inspeção manualmente os arquivos de diretiva em um editor de texto após a implantação.

  • Para atualizar a diretiva exibida pelo.Ferramenta de configuração do NET Framework, você deve desligar a ferramenta e reiniciá-lo.

Implantação personalizada

Você pode implantar os arquivos do Windows Installer de várias maneiras, incluindo um script de inicialização, a distribuição por email ou a distribuição de uma unidade compartilhada. A maneira mais fácil de implantar a diretiva de segurança de um arquivo do Windows Installer é executado o arquivo no computador onde você deseja atualizar a diretiva de segurança. Para fazer isso, simplesmente clicando duas vezes no arquivo. msi. Para reverter a instalação, o arquivo. msi com o botão direito e escolha desinstalar.

Certifique-se de que a conta de usuário sob a qual a diretiva está instalada tem os privilégios adequados para acessar os arquivos de configuração que você está modificando. Por exemplo, se você fez logon usando uma conta que não tem permissão para modificar o arquivo de configuração do enterprise e o arquivo. msi, que você está implantando deve modificar o arquivo de configuração da empresa, a instalação não terá êxito. Observe que o pacote do Windows Installer não produz um erro se a conta atual não tem permissões suficientes para modificar o arquivo de configuração.

Implantação da diretiva de grupo

Se você usar um servidor Windows para administração de diretiva, você pode usar a diretiva de grupo com um arquivo do Windows Installer para implantar a diretiva de segurança para estações de trabalho na rede. Simplesmente importar o arquivo instalador usando o snap-in MMC da diretiva de grupo ou coloque o arquivo instalador em uma pasta preexistente que você pode usar como um ponto de instalação. Depois de configurar a diretiva de grupo para publicar o arquivo do instalador, a diretiva de segurança será atualizada na próxima vez em que os usuários fazem logon na rede. Observe que você precisa ter um controlador de domínio presente em sua rede para implantar a diretiva de segurança usando a diretiva de grupo. Para obter mais informações sobre como usar a diretiva de grupo, consulte a Ajuda do Microsoft Windows Server.

Implantação do SMS

Você pode usar o Microsoft Systems Management Server (SMS) para publicar a diretiva de segurança para computadores em uma rede. O SMS é um produto de servidor autônomo que gerencia a instalação de software e configuração em grandes empresas. O SMS é especialmente útil em redes baseadas no Windows Server porque ele oferece a funcionalidade de diretiva de grupo que têm de redes baseadas no Windows Server. Use um dos métodos compatíveis para converter o arquivo. msi em um pacote de software do SMS e, em seguida, usar o SMS para instalar o pacote da mesma maneira como qualquer outro pacote de software. Para obter mais informações sobre como criar e implantar os pacotes de software do SMS, consulte a documentação do SMS.

Consulte também

Outros recursos

Administração de diretiva de segurança geral

Práticas Recomendadas de Política de Segurança