Administración de directivas de seguridad

  • Artículo
Nota importanteImportante

En .NET Framework versión 4, Common Language Runtime (CLR) está dejando de proporcionar directivas de seguridad para los equipos.Microsoft recomienda usar las directivas de restricción de software de Windows en lugar de la directiva de seguridad de CLR.La información de este tema se aplica a .NET Framework 3.5 y versiones anteriores; no se aplica a la versión 4 ni a versiones posteriores.Para obtener más información sobre estos y otros cambios, vea Cambios de seguridad en .NET Framework 4.

La directiva de seguridad es el conjunto de reglas configurable que Common Language Runtime sigue cuando debe determinar qué permisos conceder al código. El código se identifica por su archivo de ensamblado, que es un ejecutable (.exe) o una biblioteca (.dll). El runtime examina las características identificables del ensamblado, como el sitio web o la zona donde se origina dicho código, para determinar el acceso que el código puede tener a los recursos. Esas características se definen como un objeto System.Security.Policy.Evidence, que está asociado al ensamblado. Un objeto Evidence típico de un ensamblado es Url, Zone, StrongName o Hash. Durante la ejecución, el runtime usa el objeto Evidence para asegurarse de que el código solo tiene acceso a los recursos para los que ha recibido permiso de acceso.

La directiva de seguridad define varios grupos de código y asocia cada grupo a un conjunto de permisos. El sistema de seguridad usa Evidence para determinar los grupos de código a los que pertenece un ensamblado. Después de examinar todas las pruebas, se asocia el ensamblado a uno o varios grupos de código, y el conjunto de permisos concedidos resultante es todo el conjunto de permisos asociados a todos los grupos de código correspondientes.

De forma predeterminada, los ensamblados que residen en el equipo donde se van a ejecutar están en la zona MyComputer. La evidencia de la zona MyComputer coloca el código en el grupo de código My_Computer_Zone y le concede permisos de plena confianza. El conjunto de permisos de plena confianza omite las comprobaciones de seguridad y concede al código acceso a todos los recursos protegidos. Por ese motivo, es muy importante que en el equipo se instalen solo aplicaciones procedentes de orígenes de plena confianza. En el Service Pack 1 (SP1) de .NET Framework 3.5, la plena confianza se extiende a los ensamblados que se ejecutan desde una intranet y desde el equipo. De nuevo, solo deben ejecutarse aplicaciones de intranet que sean de plena confianza. Los administradores de la directiva de seguridad pueden optar por restaurar la directiva de las aplicaciones de intranet al estado de confianza parcial anteriormente concedido.

Si bien la directiva de seguridad predeterminada es adecuada para la mayoría de las situaciones, los administradores pueden modificarla o personalizarla según las necesidades específicas de la organización. El motor en tiempo de ejecución otorga permisos a los ensamblados y a los dominios de aplicación basándose en la directiva de seguridad.

En esta sección

Secciones relacionadas