Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Korrekt användning av principen för begränsning av programvara kan göra ditt företag mer agilt eftersom det ger ett proaktivt ramverk för att förebygga problem, snarare än ett reaktivt ramverk som förlitar sig på det kostsamma alternativet att återställa ett system när ett problem har uppstått. Principen för begränsning av programvara infördes i och med lanseringen av Microsoft Windows XP för att skydda system från okänd och eventuellt farlig kod. Begränsningsprincipen tillhandahåller en mekanism där endast betrodd kod ges obegränsad åtkomst till en användares behörigheter. Okänd kod, som kan innehålla virus eller kod som står i konflikt med installerade program, tillåts endast köras i en begränsad miljö (kallas ofta sandbox-) där det inte är tillåtet att komma åt säkerhetskänsliga användarbehörigheter.
Principen för begränsning av programvara är beroende av att tilldela förtroendenivåer till den kod som kan köras på ett system. För närvarande finns det två förtroendenivåer: Obegränsad och Otillåten. Kod som har en obegränsad förtroendenivå ges obegränsad åtkomst till användarens behörigheter, så den här förtroendenivån bör endast tillämpas på fullständigt betrodd kod. Kod med en otillåten förtroendenivå tillåts inte komma åt säkerhetskänsliga användarbehörigheter och kan endast köras i en sandbox-miljö som förhindrar att obegränsad kod läser in den otillåtna koden i adressutrymmet.
Konfigurationen av principen för begränsning av programvara för ett system görs via det administrativa verktyget Lokal säkerhetsprincip, medan begränsningsprincipens konfiguration av enskilda COM+-program görs antingen programmatiskt eller via administrationsverktyget för Komponenttjänster. Om begränsningsprincipens förtroendenivå inte har angetts för ett COM+-program används de systemomfattande inställningarna för att fastställa programmets förtroendenivå. Inställningarna för COM+-begränsningsprinciper måste noggrant samordnas med de systemomfattande inställningarna eftersom ett COM+-program som har en obegränsad förtroendenivå endast kan läsa in komponenter med en obegränsad förtroendenivå. Ett otillåtet COM+-program kan läsa in komponenter med valfri förtroendenivå men kan inte komma åt alla användarens behörigheter.
Förutom förtroendenivåerna för principer för begränsning av programvara för enskilda COM+-program avgör två andra egenskaper hur begränsningsprincipen används för alla COM+-program. Om SRPRunningObjectChecks är aktiverat, kommer försök att ansluta till körande objekt att kontrolleras för korrekta förtroendenivåer. Det aktiva objektet kan inte ha en mindre strikt förtroendenivå än klientobjektet. Det objekt som körs kan till exempel inte ha en otillåten förtroendenivå om klientobjektet har en obegränsad förtroendenivå.
Den andra egenskapen avgör hur principen för begränsning av programvara hanterar aktivera-som-aktiverare anslutningar. Om SRPActivateAsActivatorChecks är aktiverat jämförs den förtroendenivå som är konfigurerad för serverobjektet med klientobjektets förtroendenivå och den strängare förtroendenivån används för att köra serverobjektet. Om SRPActivateAsActivatorChecks inte är aktiverat körs serverobjektet med klientobjektets förtroendenivå oavsett vilken förtroendenivå det har konfigurerats med. Som standard är både SRPRunningObjectChecks och SRPActivateAsActivatorChecks aktiverade.
Relaterade ämnen