Como: Adicionar grupos de código usando Caspol.exe
agrupar de amostra addition comandos
Quando você usa o Ferramenta de política de segurança de acesso do código (Caspol.exe) para adicionar um agrupar de código a uma hierarquia de grupos de código, você deve conjunto uma condição de associação e um permissão definido para o novo agrupar de códigos.Você também deve definir o rótulo ou nome do agrupar de códigos pai no qual você está adicionando um novo agrupar de códigos.Opcionalmente, você também pode conjunto outros sinalizadores no agrupar de códigos.Para obter mais informações sobre esses sinalizadores, consulte Diretiva segurança de acesso do código ferramenta (Caspol.exe).
Para adicionar um agrupar de códigos em uma hierarquia de agrupar de códigos
Digite o seguinte comando no aviso de comando:
caspol [-enterprise|-computador|-user] -addgroup {parentLabel|parentName} mship pset_name [-exclusive {on|logoff}]-levelfinal {em|off}] [-name name] [-description description text]
Especificar a opção de nível de diretiva antes do –addgroup opção.Se você omitir a opção de nível de diretiva, Caspol.exe adiciona o agrupar de códigos para o nível de diretiva padrão.Para os administradores do computador, o nível padrão é o nível de diretiva de máquina; para outros, é o nível de diretiva de usuário.Neste comando:
The parentLabel argumento é o rótulo do agrupar de códigos pai para o novo agrupar de código.Como alternativa, você pode usar o nome do pai do agrupar de códigos (parentName) em vez do parentLabel.Para obter essas informações, liste sistema autônomo grupos de códigos conforme descrito em sistema autônomo: Modo de exibição de grupos de código usando Caspol.exe.
The pconjunto_name argumento é o nome da permissão conjunto para associar o novo agrupar de códigos.Antes de uma permissão nomeada conjunto pode ser associado a um agrupar de códigos, ele deve ser conhecido no nível de diretiva de onde você está adicionando um novo agrupar de códigos.Por exemplo, se desejar associar uma permissão MyPset definida com um novo agrupar de códigos na diretiva de usuário, você deve já tiver adicionado MyPset conjunto de permissões para a diretiva de usuário.A única time um conjunto de permissão não precisa ser adicionado com antecedência é quando você usa um dos conjuntos de permissão padrão fornecidos pelo .NET estrutura.Para aprender a adicionar uma permissão conjunto para um nível de diretiva, consulte Como: Adicione conjuntos de permissão usando Caspol.exe.
The mship argumento é a condição de associação para o novo agrupar de códigos.Para obter a lista de valores para o mship argumento, consulte Código acesso diretiva de segurança ferramenta (Caspol.exe).
Observação: |
---|
Não é possível usar o –addgroup opção para adicionar um agrupar de códigos para mais de um nível de cada vez.Como cada adição deve ser feita separadamente porque outro código de agrupar rótulos e a disponibilidade de determinados permissão conjuntos podem causar confusão. |
agrupar de amostra addition comandos
Os procedimentos a seguir descrevem como realizar algumas das tarefas de adição do agrupar de códigos mais comuns.
Para adicionar um agrupar de códigos que atinge o código de intranet
Use o -zona opção e especifique Intranet sistema autônomo o valor de associação.
O comando a seguir associa o Tudo permissão definido com o código da intranet.O agrupar de códigos também recebe o nome de Intranet_CG. Você pode usar esse nome para referir-se o agrupar de códigos recém-criado, em vez de usar seus rótulos numéricos.
caspol –addgroup 1.1. –zone Intranet Everything –name "Intranet_CG"
Para adicionar um agrupar de códigos que código destinos de sites confiáveis do Internet Explorer
Use o –zona opção e especifique Confiável sistema autônomo o valor de associação.
O comando a seguir associa o LocalIntranet conjunto de permissões com código da zona confiável e insere o novo código de agrupar sistema autônomo um filho da raiz da hierarquia do agrupar de códigos.
caspol -addgroup All_Code -zone Trusted LocalIntranet
Para adicionar um agrupar de códigos que atinge um publicador de software específico
Use o –pub opção e especifique um arquivo de certificado, um arquivo assinado ou a representação hexadecimal de um certificado X.509.
Arquivos a partir de um publicador de software devem ser assinados adequadamente para essa condição trabalhar.A condição de associação pode ser construída com base nos de um arquivo de certificado real ou de um arquivo EXE assinado.
Suponha que o arquivo de certificado para FourthCoffee (FourthCoffee.cer) está disponível. O comando a seguir adiciona um agrupar de códigos na diretiva de computador para código publicado por FourthCoffee e associa o Nada permissão definido com o novo agrupar.O agrupar de códigos é adicionado sistema autônomo um agrupar de códigos filho da raiz.
caspol –machine –addgroup 1 –pub –cert FourthCoffee.cer Nothing
Para adicionar um agrupar de códigos esse código de destinos de um determinado site da Web
Use o –site opção e especifique a URL do site.
Observação: Devido à possibilidade de nome DNS spoofing, usando um site da Web sistema autônomo uma associação a condição não é uma maneira efetivo de verificar a identidade do código.Sempre que possível, use uma condição de associação nome forte, condição de associação de publicador ou a condição de associação hash.
O comando a seguir associa o Intranet permissão conjunto com código de www.microsoft.com.
caspol –addgroup 1 –site www.microsoft.com Intranet
Para adicionar um agrupar de códigos que visa o código de uma URL específica
Use o –URL opção e especifique a URL do site.
A URL deve incluir um protocolo, sistema autônomo http://, http:// ou ftp: / /.Além disso, um caractere curinga (*) pode ser usado para especificar vários módulos (assemblies) de uma URL específica.
Observação: sistema autônomo uma URL pode ser identificada usando vários nomes, usando uma URL sistema autônomo uma condição de associação não é uma forma segura de verificar a identidade do código.Sempre que possível, use uma condição de associação nome forte, uma condição de associação de publicador ou a condição de associação hash.
caspol –user –addgroup 1 –url https://www.contoso.com/bin/* FullTrust caspol –user –addgroup 1 –url https://www.contoso.com/bin/MyAssembly.dll FullTrust
Para adicionar um agrupar de códigos que substitui Outros permissões no nível de diretiva
conjunto o –exclusivo sinalizar para o novo agrupar de códigos.
O comando a seguir adiciona um agrupar de código sob o Intranet_cg agrupar de códigos. O novo agrupar de códigos concede o Tudo permissão conjunto se a zona é confiável, substituindo qualquer outra permissão podem conceder a outros grupos de código.
caspol –addgroup "Intranet_cg" –zone Trusted Everything –exclusive on
Para adicionar um agrupar de códigos com uma condição de associação personalizada
Use o –Custom de opção e especifique um arquivo XML que contém a serialização de XML da condição de associação personalizado.
Caspol.exe oferece suporte ao uso de condições de associação personalizado na diretiva, o que torna o sistema de diretivas altamente extensível.
O comando a seguir adiciona um novo agrupar de códigos para a raiz da diretiva de usuário.Esse novo agrupar de códigos contém uma condição de associação personalizada encontrada no NewMembershipCondition.xml arquivo e concede confiança total a essa condição de correspondência de módulos (assemblies).
caspol –user –addgroup All_Code –custom NewMembershipCondition.xml FullTrust
Para adicionar um agrupar de códigos com um nome e descrição
Use o – Name de opção e especifique um nome para o agrupar de códigos.Aspas duplas ("") são necessárias em torno de nomes que contenham espaços.
Use o –Description opção e especifique uma descrição para o agrupar de códigos.
Você pode usar o nome posteriormente para fazer referência a um agrupar de códigos.O nome fornece melhor suporte de rótulos numéricos para alterações de diretiva de script.
Diretiva padrão é entregue com nomes padrão.Se não explicitamente alterada por um administrador, os nomes padrão tornam mais fácil para os administradores usando Caspol.exe para acessar grupos de códigos específicos através de diretivas e computadores.
O comando a seguir adiciona um agrupar de códigos sob o All_Code agrupar na diretiva de computador.O novo agrupar de códigos verifica se há um FourthCoffee nome forte (sistema autônomo o encontrado em Signed.exe) e concede FullTrust a todo o código que é tão assinado. O agrupar de códigos chamado FouthCoffeeStrongName e é fornecido uma descrição apropriada.
caspol –machine –addgroup All_Code –strong –file signed.exe FullTrust –name FouthCoffeeStrongName –description "Code group granting trust to code signed by FourthCoffee"
Observação: |
---|
Se o mesmo nome está presente em mais de um agrupar de códigos, Caspol.exe resolvido para o primeiro agrupar de código pode encontrar com o nome fornecido.Ele pesquisa todos os grupos de códigos filho de um agrupar de códigos antes de pesquisar grupos irmão. |
Consulte também
Conceitos
Modelo de diretiva de segurança
Referência
Código Acessar Segurança Policy Tool (Caspol.exe)