部署安全策略

重要说明重要事项

在 .NET Framework 4 版中,公共语言运行时 (CLR) 不再为计算机提供安全策略。Microsoft 建议使用 Windows 软件限制策略替代 CLR 安全策略。此主题中的信息适用于 .NET Framework 3.5 和更低版本,不适用于 4 和更高版本。有关此更改和其他更改的更多信息,请参见 .NET Framework 4 中的安全性更改

可以轻松地在 Windows Installer (.msi) 文件中部署安全策略。 .msi 文件是独立的安装包,可以用多种方法部署、安装和卸载该文件。 例如,可以使用以下任一方法来部署 .msi 文件:

  • 在需要在其上部署策略的计算机上,从本地磁盘或从共享位置运行 .msi 文件。

  • 在 Microsoft Windows 服务器上使用组策略。

  • 使用 Microsoft Systems Management Server (SMS)。

创建 Windows Installer 文件

Mscorcfg.msc(.NET Framework 配置工具) 提供用于创建 Windows Installer 文件的向导。 该向导可以创建与三个可配置策略级别之一相对应(而不是与全部三个同时对应)的安装程序文件。 如果正在管理包含所有三个可配置级别的安全策略,则必须创建三个不同的 Windows Installer 文件并分别进行部署。

该向导使用它在其上执行的计算机的当前策略设置来创建安装程序文件。 例如,若要创建将部署到一组用户的用户策略,则应在当前计算机上配置用户策略,使用该向导创建安装程序文件,然后将当前计算机的用户策略返回到其原始状态。

创建 Windows Installer 文件:

  1. 运行 .NET Framework 配置工具 (Mscorcfg.msc)。

    • 在 .NET Framework 1.0 和 1.1 版中,在命令提示符下键入:%Systemroot%\Microsoft.NET\Framework\versionNumber\Mscorcfg.msc

    • 在 .NET Framework 2.0 及更高版本中,启动 Visual Studio 和 Windows SDK 命令提示,然后键入 mscorcfg.msc。 SDK 命令提示包含在 .NET Framework version 2.0 Software Development Kit (SDK)(.NET Framework 2.0 版软件开发工具包 (SDK))中,它可自动设置 SDK 环境变量。通过这些环境变量,您可以方便地使用 .NET Framework 工具。 .NET Framework 的后续版本是以递增方式构建于 .NET Framework 2.0 版之上的。 因此,.NET Framework 2.0 SDK 中的 SDK 命令提示是目前最新的独立版 SDK 命令提示。 或者,也可以使用随 Visual Studio 2005 和更高版本提供的 Visual Studio 命令提示。

  2. 在左窗格中,右击**“运行时安全策略”**节点。

  3. 从菜单中选择**“创建部署包”**。

  4. 按照“部署包向导”的说明来创建 .msi 文件。

当使用 Mscorcfg.msc(.NET Framework 配置工具) 创建的安装程序文件部署策略时,将应用以下内容:

  • 当创建安装文件时,策略安装仅对您所针对的运行时的版本产生影响。 例如,如果使用 .NET Framework 配置工具 2.0 版,则安装文件仅更改 .NET Framework 2.0 版策略。

  • 在某些情况下,如果安装新策略失败,安装程序不会生成错误。 要验证是否已成功安装策略,请在部署之后,使用 .NET Framework 配置工具 Caspol.exe(代码访问安全策略工具) 或在文本编辑器中手动检查策略文件来检查策略。

  • 要更新 .NET Framework 配置工具显示的策略,必须关闭并重新启动此工具。

自定义部署

可以用若干方法部署 Windows Installer 文件,这些方法包括:启动脚本、电子邮件分发或从共享驱动器分发。 从 Windows Installer 文件部署安全策略的最简单方法是:从需要在其上更新安全策略的计算机上运行该文件。 只需双击 .msi 文件就可以完成该操作。 若要回滚安装,请右击 .msi 文件并选择**“卸载”**。

请确保安装策略时使用的用户帐户拥有充分的特权可以访问您正在修改的配置文件。 例如,如果您当前使用没有修改企业配置文件权限的帐户登录,而正在部署的 .msi 文件必须修改企业配置文件,则安装不会成功。 注意,即使当前帐户没有充分的权限来修改配置文件,Windows Installer 包也不会产生错误。

组策略部署

如果使用 Windows 服务器管理策略,则可以对 Windows Installer 文件使用组策略,以将安全策略部署到网络上的工作站。 可以直接使用组策略 MMC 管理单元导入安装程序文件,或将安装程序文件放在用作安装点的一个预先存在的目录中。 为发布安装程序文件而配置完组策略后,安全策略会在用户下一次登录网络时得到更新。 注意,您的网络中必须有一个域控制器,才能使用组策略部署安全策略。 有关使用组策略的更多信息,请参见 Microsoft Windows Server 帮助。

SMS 部署

可以使用 Microsoft Systems Management Server (SMS) 将安全策略发布到网络上的计算机。 SMS 是一个独立的服务器产品,它用来管理大型企业中的软件安装和配置。 SMS 在基于 Windows Server 的网络中特别有用,因为它提供基于 Windows Server 的网络所具有的“组策略”功能。 可以使用兼容的方法之一将 .msi 文件转化为 SMS 软件包,然后使用 SMS,像安装其他任何软件包一样安装该软件包。 有关创建和部署 SMS 软件包的更多信息,请参见 SMS 文档。

请参见

其他资源

通用安全策略管理

安全策略最佳实施策略