Práticas recomendadas para segurança in Office Solutions (sistema de 2003)
Se aplica a |
|---|
As informações contidas neste tópico se aplicam apenas às especificado Ferramentas do Visual Studio para o Office projetos e as versões do Microsoft Office. Tipo de Projeto
Versão do Microsoft Office
For more information, see Recursos disponíveis pelo aplicativo e o tipo de projeto. |
Quando você planeja a política de segurança para personalizações em nível de documento e o nível de aplicativo Adicionar-ins, considere os seguintes problemas.
Adicionando condições à diretiva de segurança
O Microsoft .NET Framework fornece duas maneiras principais para você implantar a diretiva:
Criando um arquivo do Windows Instalador (.msi) usando a ferramenta de configuração do .NET Framework.For more information, see Implantação de diretiva de segurança.
Modificar a diretiva diretamente pelo script com a ferramenta de Política de segurança de Acessar ao código (Caspol.exe).For more information, see Configurando a diretiva de segurança usando o código Acessar Security Policy Tool (Caspol.exe).
O uso de um arquivo do Windows Instalador permite mais previsível avaliação da diretiva porque o nível de diretiva inteira (normalmente a Corporativa ou computador) é copiado para o computador do usuário final; no entanto, isso pode criar conflitos se grupos diferentes dentro de uma empresa quiser publicar diretiva independentemente de uns aos outros, ou se pessoas precisar fazer alterações em sua diretiva.
Usando Caspol.exe para modificar a diretiva permite que pessoas diferentes atualizar diretiva independentemente uns dos outros, mas qualquer Alterar de diretiva fornecida não é garantida com o efeito desejado por causa de desconhecido interações entre os grupos de códigos diferentes.Por exemplo, se um departamento implanta uma Alterar de diretiva conceder confiança Completo a um site de intranet particular, o departamento espera Tudo o Código provenientes do site para ser confiável.Mas se outro departamento implanta diretiva com um atributo de Exclusive negar o Acessar a esse site, nenhum código será executado.Para obter mais informações sobre o atributo Exclusive , consulte Administração com atributos de AAgruparar de códigos e Como: Criar grupos de código exclusivo ou nível final.
Os administradores precisam equilibrar a previsibilidade de arquivos do Windows Instalador com a flexibilidade de Caspol.exe na decisão sobre como atualizar diretiva.
Anotação que, embora também é possível Gravar código gerenciado para manipular diretamente diretiva por meio do Microsoft .NET Framework APIs, é difícil criar diretiva corretamente dessa maneira e a prática é altamente desencorajada.
Verificando a diretiva atual
Se um assembly não Executar, você pode investigar a possível causa examinando as permissões atribuídas ao assembly.O Microsoft .NET Framework fornece duas maneiras de verificar a diretiva atual para um assembly:
Usando o Avaliar um assembly Assistente que acompanha a ferramenta Microsoft .NET Framework 2.0 Configuration.Para obter informações sobre como acessar esse assistente, consulte Como: Executar tarefas de diretiva de segurança ComComumComum usando a ferramenta de configuração do .NET Framework (Mscorcfg.msc).
Executando os seguintes comandos em Caspol.exe:
caspol -all -lg caspol -rsg path_to_assemblyPara obter mais informações sobre os comandos Caspol.exe, consulte Código Acessar Segurança Policy Tool (Caspol.exe).
Essas ferramentas mostram a diretiva de segurança que é aplicada para o assembly e ComComumo a evidência do assembly mapeia para as regras no ComComumComum Idioma Tempo de execução (CLR).Isso revela se a diretiva está configurada corretamente, e se o assembly coincide com os grupos de código correto.Principais problemas que são revelados usando esta técnica Incluir os seguintes problemas:
Uma regra de rede (por exemplo, atribuir confiança Completo ao http://Servidor/) foi adicionada à zona Meu computador quando deveria ser LocalIntranet ou ele foi adicionado ao LocalIntranet quando deveria TrustedSites.
Há um erro em Nome do Arquivo ou URL.
O caminho de diretório está faltando o asterisco que indica que Tudo arquivos e subpastas sob essa pasta devem ser incluídas na diretiva.
For more information, see Resolvendo problemas de diretiva de segurança usando Caspol.exe.
Configuração Diretiva padrão para a Corporativa
O Visual Studio permite que as empresas definir suas próprias diretivas padrão.Normalmente, quando você executa uma Redefinir na diretiva de segurança, a diretiva reverte Voltar para as configurações padrão que estão presentes quando o Framework é instalado.Usando a diretiva padrão de Corporativa específicos, uma Redefinir restaura o Basic diretiva conforme definido pela Corporativa específica.Por exemplo, a Corporativa pode adicionar um editor confiável ao nível de Corporativa e bloquear Tudo o Código da zona da Internet.
Para obter mais informações sobre como retornar à diretiva padrão, consulte Como: Retornar para as configurações de diretiva de segurança padrão usando Caspol.exe e Ferramenta de configuração do .NET framework (Mscorcfg.msc).Para obter mais informações sobre diretiva de segurança padrão, consulte Diretiva de segurança padrão.
Recomendações gerais
Considere as seguintes diretrizes ao determinar a diretiva para as soluções do Office:
Sempre usar grupos de código nomeado em vez de contar com seus números (por exemplo, usar MyComputer_Zone em vez do 1.1).Embora ele seja possível que um usuário renomear um AAgruparar (por exemplo, renomear Internet para meu computador), é menos provável que a chance da alteração de números.
Ser tão restritivas quanto possível em que código uma regra se aplicará a.Nunca adicionar regras ao AAgruparar All_Code no nível do computador; sempre Adicionar-las para uma zona ou outro sub-Agrupar em zonas.É melhor não têm regras que regem o código que você não espera.
Têm as regras mais amplamente aplicáveis em primeiro lugar, para a zona de exemplo, em seguida, site, Editor, em vez do publisher, site, em seguida, zona.Dessa forma, as regras de zona específica pode ser aplicadas a código específico e não serão aplicadas a Tudo códigos do editor antes de você Localizar out se as restrições são necessários.
Se um AAgruparar pai, por exemplo, o AAgruparar LocalIntranet_Zone, não existir mais, você deve recriá-lo.Anotação que você deve fazer isso com o Nada conjunto de Permissãosões.O conjunto de permissões impede que as permissões padrão seja aplicado a que o administrador tenha desativado, excluindo o AAgruparar de códigos de Nada.Por exemplo, se o administrador excluir LocalIntranet_Zone, em seguida, Tudo códigos de intranet local interromperá Executando.Quando você recriar o AAgruparar de códigos e usar o Nada permissão definida, nenhum permissões são Adicionados que não existiam antes.
Desativar avisos de Alterar de diretiva em arquivos em lotes e lembre-se ativá-los novamente posteriormente se eles estivessem para começar com.Dessa forma, seus arquivos em lotes serão não parados, aguardando a entrada do usuário.Essa configuração afeta Tudo usuários, não apenas o usuário atual.For more information, see Como: Suprimir Avisos de Alterar de Política Usando Caspol.exe.
Ao usar Caspol.exe, especificar explicitamente o nível de diretiva para modificar (Corporativa, Computador ou usuário); Não confie na padrão.O padrão pode não estar correto para a diretiva que você está modificando.For more information, see Níveis de Diretiva de segurança.
Não use o Exclusive ou Level-Final atributos, a menos que absolutamente necessário, porque pode causar um comportamento inesperado se um novo AAgruparar de códigos seja adicionado.For more information, see Atributos do AAgruparar de código.
Consulte também
Conceitos
Requisitos de segurança para executar o Office Solutions (sistema de 2003)
Considerações de segurança específicas para soluções do Office