c#2005net30高级编程(第5版)第19章NET的安全性.pdf

《c#2005net30高级编程(第5版)第19章NET的安全性.pdf》由会员分享，可在线阅读，更多相关《c#2005net30高级编程(第5版)第19章NET的安全性.pdf（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、,NET的安全性当用户坐在计算机前，单击应用程序上的按钮时，应用程序会在后台作出响应，如果用户试图使用一个没有相关模块的特性，应用程序就会与Internet连接，把模块下载到全局程序集缓存中，并开始执行模块，所有的一切都没有给出提示。这种后台升级功能己经在许多.NET应用程序中使用了，但是，我们必须关注与所谓的“移动代码（mobile code）”相关的安全问题。也就是说，有什么证据能说明计算机下载的代码是可以信任的？怎样知道所下载的模块就是我们需要的模块？C L R 在后台做了什么工作，以确保W eb站点上的控件没有读取私人的电子邮件？.NET执行程序集的安全性策略。.NET根据它拥有的程序

2、集信息（例如程序集来自哪里,它们是由谁发布的），把具有相似特征的程序集组合在一起。例如，运行库把本地内联网上的所有代码放在一组。然后，使用安全性策略（通常由系统管理员使用代码访问安全策略工具caspol.exe命令行实用程序或Microsoft管理控制台来定义）在非常小的粒度级别上决定应该赋予代码什么权限。需要做什么工作才能确保机器或某个应用程序的安全？什么也不需要，因为所有的代码都自动运行在CLR的安全环境中，但可以在必要时禁用安全性。除了相信正在执行的代码是可信赖的之外，还要允许应用程序的用户访问他们需要的特性（但不要太多），这一点也是非常重要的。依靠基于角色的安全性，.NET可以对用户和

3、角色进行有效的管理。本章将讨论.NET中有助于管理安全的一些特性，其中包括.NET怎样避开有害的代码、怎样管理安全性策略，以及怎样编程访问安全子系统等。除此之外，还将讨论怎样安全地部署.NET应用程序，并且给出一些小的应用程序示例，以巩固本章介绍的概念。1 9.1 代码访问的安全性代码访问的安全性是.NET的一个特性，它根据代码的信任级别来管理代码。如果CLR非常信赖代码，允许它们运行，就会开始执行代码。但是，根据提供给程序集的权限，代码也许要在有限制的环境中运行。如果代码没有得到足够的信赖去运行，或者虽然代码运行了，但试图执行没有相关权限的操作，则会产生一个安全异常（其类型是Security

4、Exception或它的子类）。代码访问的安全性系统意味着可以停止有害代码的运行，也可以允许代码运第III部 分 基 类 库行在受保护的环境中，在受保护的环境中，我们相信代码不会进行破坏。例如，如果用户试图运行一个应用程序，执 行 从 Internet上下载的代码，则默认的安全性策略将生成一个异常，该应用程序会启动失败。同样，如果用户从网络驱动器上运行应用程序，则那个应用程序可以运行，但是如果那个应用程序试图访问本地驱动器上的文件，运行库就会产生一个异常，根据应用程序中处理错误的程序，应用程序会退出对文件的访问，或者退出执行。对于大多数应用程序而言，.NET代码访问的安全性都是非常有用的，但它

5、在后台起作用。代码访问的安全性提供了高水平的保护，以远离有害的代码，但是，通常我们涉及不到这个方面。而只考虑安全性策略的管理，尤其是在把桌面应用程序配置为信赖提供应用程序的软件厂商的代码时，就更要考虑安全性策略的管理。在开发应用程序时，对于其中包含的元素，如果要严密地控制它们的安全性，则可以使用代码访问的安全性。例如，如果公司的数据库中包含极其机密的数据，则可以使用代码访问的安全性，规定什么代码允许访问数据库，而什么代码不允许访问数据库.代码访问的安全性的主要目的是保护资源（例如本地磁盘、网络和用户接口等）免受有害代码的破坏，而不是使软件免受用户的破坏。对于与用户相关的安全问题，通常可以使用

6、Windows内置的用户安全子系统，或者利用.NET中基于角色的安全性，这些内容将在本章的后面讨论。代码访问的安全性以两个高层次的概念为基础，即代码组（Code Group）和权限（Permission）下面讨论这两个概念，因为它们构成了后面章节的基础：代码组：代码组用于把具有相似特征的代码集合到一组。通常，集合时所依据的最重要特征就是代码来自哪里。例如，代码组包括“Internet”（代码来自Internet）和“Intranet”（代码来自LAN）。把程序集放到代码组中所使用的信息称为“证据”。CLR收集的其他证据包括代码的发布者、代码的强名以及下载代码的URI等。代码组的排列是层次状的，

7、程序集总是与儿个代码组相匹配。层次根部的代码组称为“AUCode”，包含其他所有的代码组。层次用于确定程序集属于哪一个代码组，如果程序集提供的证据与树中的代码组不匹配，则程序集不属于树的任何一个代码组。权限：权限是允许每一个代码组执行的动作。例如，权限包括“可以访问用户界面”和“可以访问本地存储器”等。系统管理员通常在Enterprise级、Machine级 和 User级上管理权限。CLR 中的 Virtual Execution System 用）于载入和运行程序。Virtual Execution System 提供了执行托管代码所需要的功能，并使用程序集元数据把模块在运行期间连接在一起

8、。当VES载入程序集时，VES通常把程序集与一个或多个代码组相匹配。每一个代码组都被赋予了一个或多个权限，指定各个代码组中的程序集可以执行什么动作。例如，如果MyComputer代码组被赋予FilelOPermission权限，则意味着来臼本地机器的程序集可以读写本地文件系统。19.1.1 代码组代码组有一个称之为成员条件的入口需求（entry requirement）如果要把程序集划归某542个代码组，该程序集就必须符合那个代码组的成员条件。例如，成员条件可以是“程序集来自http:站点”或“这个软件的发布者是Microsoft公司”等。每一个代码组都有一个并且只有一个成员条件。在.NET中

9、，代码组可以使用的成员条件如下：Zone：代码来自的区域 Site：代码来自的Web站点 Strong name：代码唯，的、可验证的名称。强名详见第16章。Publisher：代码发布者 URL：代码来自的具体位置 Hash value：程序集的散列值 Skip verification：请求Skip verification的代码避开代码验证检查。代码的验证可以确保代码以定义合理和可接受的方式访问类型。运行库不能确保类型不安全的代码是安全的。Application directory：程序集在应用程序中的位置 All code：符合条件的所有代码 Custom：与用户相关的条件上述成员条件

10、的第一个类型就是Z o n e,这个类型是最常用的。Zone是一段代码区域的开端，表示下面的内容：MyComputer、Internet、Intranet、Trusted 或 Untrusted。使用 InternetExplorer中的安全选项可以对这些区域进行管理，后面在讨论怎样管理安全性策略时，再讨论这些内容。虽然设置是在Internet Explorer中管理的，但是它们将应用于整个机器。很明显，那些配置选项在非Microsoft浏览器中是不能使用的，实际上，使用.NET Framework编写的页面控件只能在Internet Explorer上工作。代码组的安排是层次状的，根部是AH

11、 Code成员条件，如 图 19-1所示。从这个图中可以看出，每一个代码组都有一个成员条件，并且指定赋予代码组的权限。注意，如果程序集不符合代码组中的成员条件，则 CLR不会给它匹配那个代码组下面的代码组。图 19-1第III部 分 基 类 库1.Caspol.exe代码访问安全性策略工具本章将花大量的篇幅介绍命令行工具：代码访问安全性策略工具。要得到它的选项列表，只需输入下面的命令：caspol.exe?使用下面的命令把输出发送给个文本文件：caspol.exe output.txt.NET也包括,个Microsoft Management Console管理单元，它用于管理代码访问的安全性

12、。但是，这里只使用命令行实用程序caspol.exe,以易于理解本章的示例，还可以创建脚本，更改安全性策略，在把策略应用到大量的机器上时，这是非常有用的。使用caspol.exe,可以查看机器上的代码组。caspol.exe的执行结果是列出机器上代码组的层次结构，并描述每一个代码组。键入如下命令：caspol.exe-listdescription另外，-listdescription选项还有一个缩写方式：-Id。下面是该命令的结果：Microsoft(R).NET Framework CasPol 2.0.50215.44Copyright(C)Microsoft Corporation.A

13、ll rights reserved.Security is ONExecution checking is ONPolicy change prompt is ONLevel=MachineFull Trust Assemblies:1.All_Code:Code group grants no permissions and forms the root of the codegroup tree.1.1.My_Computer_Zone:Code group grants full trust to all code originatingon the local computer1.1

14、.1.Microsoft_Strong_Name:Code group grants full trust to code signedwith the Microsoft strong name.1.1.2.ECMA_Strong_Name:Code group grants full trust to code signed withthe ECMA strong name.1.2.LocalIntranet_Zone:Code group grants the intranet permission set tocode from the intranet zone.This permi

15、ssion set grants intranet codethe right to use isolated storage,full UI access,some capability to doreflection,and limited access to environment variables.1.2.1.Intranet_Same_Site_Access:All intranet code gets the right toconnect back to the site of its origin.1.2.2.Intranet_Same_Directory_Access:Al

16、l intranet code gets the right toread from its install directory.1.3.Internet_Zone:Code group grants code from the Internet zone theInternet permission set.This permission set grants Internet code the right544to use isolated storage and limited UI access.1.3.1.Internet_Same_Site_Access:All Internet

17、code gets the right toconnect back to the site of its origin.1.4.Restricted_Zone:Code coming from a restricted zone does not receive anypermissions.1.5.Trusted_Zone:Code from a trusted zone is granted the Internetpermission set.This permission set grants the right to use isolatedstorage and limited

18、UI access.1.5.1.Trusted_Same_Site_Access:All Trusted Code gets the right toconnect back,to the site of its origin.Success.NET安全子系统确保每一个代码组中的代码只能做某些事情。例如，Internet区域中的代码在默认状态下比本地驱动器中的代码有更严格的限制；本地驱动器中的代码通常有访问本地磁盘上数据的权限，但是Internet中的程序集在默认状态下就没有这个权限。使用caspol.exe和它在Microsoft Management Console中的等价选项，可以为每一

19、个代码访问组指定信任级别，还可以按照更小的粒度方式管理代码组和权限。再看看代码访问组，但是，这次的信息比上次要少一些。确保以本地管理员身份登录后，打开命令提示窗口，输入下面的命令：caspol.exe-listgroups得到如下信息：Microsoft(R).NET Framework CasPol 2.0.50215.44Copyright(C)Microsoft Corporation.All rights reserved.Security is ONExecution checking is ONPolicy change prompt is ONLevel=MachineCode

20、Groups:1.All code:Nothing1.1.Zone-MyComputer:FullTrust1.1.1.StrongName-002400000480000094000000060200000024000052534131000400000100010007D1FA57C4AED9F0A32E84AA0FAEFD0DE9E8FD6AEC8F87FB03766c834c99921EB23BE79AD9D5DCC1DD9AD236132102900B723CF980957FC4E177108FC607774F29E8320E92EA05ECE4E821C0A5EFE8F1645C4

21、C0C93C1AB99285D622CAA652C1DFAD63D745D6F2DE5F17E5EAF0FC4963D261C8A12436518206DC093344D5AD293:FullTrust1.1.2.StrongName-00000000000000000400000000000000:FullTrust1.2.Zone-Intranet:LocalIntranet1.2.1.All code:Same site Web.1.2.2.All code:Same directory FilelO-Read,PathDiscovery,1.3.Zone-Internet:Intern

22、et1.3.1.All code:Same site Web.第III部 分 基 类 库1.4.Zone-Untrusted:Nothing1.5.Zone-Trusted:Internet1.5.1.All code:Same site Web.Success在输出结果的开头，是 Security is ON。在本章后面的内容中，我们将会看到Security可以先关闭，然后再打开。在默认状态下，Execution Checking设置的值是o n,这意味着所有的程序集在运行之前，必须给它们赋予执行权限。如果使用caspol(caspol.exe-execution onloff)关闭执行检查

23、，则程序集没有执行权限也可以运行。在这种情况下，如果程序集在运行过程中有违背安全性策略的行为，就会产生安全异常。Policy change prompt选项指定在更改安全性策略时，是否可以看到Are you sure警告信息。把代码划分为这些组之后，就可以更精细地管理安全性，还可以实现对更少代码的完全信任。注意，每一个组都有一个标记(例如“1.2”)，这些标记是.NET自动生成的，在不同的机器上是不同的。通常不是按照每一个程序集来管理安全性，而是使用代码组来管理。如果一台机器上同时安装了几个.NET版本，则 caspol.exe只更改与它相关的.NET安装版本的安全性策略。(1)查看程序集的代

24、码组如果程序集符合代码组的成员条件，它们就属于代码组。回到代码组的示例中，从Web站点http:/intranet/载入程序集，则它匹配的代码组如图19-2所示。这个程序集也是根代码组(All Code)的成员。如果程序集来自本地的网络，则它还是Intranet代码组的成员；但是，当从某一指定站点(如http:/intranet)载入程序集时;它也被赋予FullTrust权限，这意味着程序集的运行没有限制条件。图 19-2使用如下命令，很容易查看程序集所属的代码组:caspol.exe-resolvegroup assembly.dll546对本地磁盘上的程序集运行这个命令，可以得到如下结果：

25、Microsoft(R).NET Framework CasPol 2.0.50727.7Copyright(C)Microsoft Corporation.All rights reserved.Level=EnterpriseCode Groups:1.All code:FullTrustLevel=MachineCode Groups:1.All code:Nothing1.1.Zone-MyComputer:FullTrustLevel=UserCode Groups:1.All code:FullTrustSuccess注意，代码组是在3 个级别上列出的，这 3 个级别是Enterp

26、rise、Machine和 User。现在只关注Machine级别。如果要了解这3 个级别之间的关系，赋予程序集的有效权限是这3 个级别上权限的交集。例如，如 果 在 Enterprise级别的策略中删除了 Internet区域的FullTrust权限，贝 lj Internet区域中代码的所有权限都被取消，其他两个级别的设置就变得不相关了。现在，对这个程序集执行caspol.exe命令，看看它所属的代码组。但是这次程序集是通过HTTP协议在Web服务器上访问的，这样，程序集成为不同代码组的成员，它的权限受到更严格的限制：caspol.exe-resolvegroup http:/server

27、/assembly.dllMicrosoft(R).NET Framework.CasPol 2.0.50727.7Copyright(C)Microsoft Corporation.All rights reserved.Level=EnterpriseCode Groups:1.All code:FullTrustLevel=MachineCode Groups:第III部 分 基 类 库1.All code:Nothing1.1.Zone-Internet:Internet1.1.1.All code:Same site Web.Level=UserCode Groups:1.All c

28、ode:FullTrustSuccess程序集授予了 Internet权限和Same Site Web权限。权限的交集允许代码对U I进行有限的访问，并可以连接到最初生成它的站点。下面详细讨论权限。19.1.2代码访问权限和权限集想像自己正在一个大公司中管理办公机器网络的安全性策略。在这种情况下，CLR在执行代码之前收集代码的证据是非常有用的；同样，一旦CLR知道了代码来自何处，管理员就必然有机会捽制代码在他管理的数百台机器上的行为。这个问题需要使用权限来解决。一旦程序集与代码组相匹配，C L R 就会根据安全性策略赚予程序集一些权限。在Windows中管理权限时，通常不是把权限赋予用户，而是

29、把权限赋予用户组。程序集也是如此，也就是说，把权限应用于代码组，而不是各个程序集，这就大大简化了.NET中安全性策略的管理。安全性策略指定代码组中的程序集允许执行什么动作。下面列出了 CLR提供的代码访问权限。从中可以看出，使用这些权限，可以很好地控制代码允许做什么和不允许做什么：DirectoryServicesPermission：通过 System.DirectoryServices 类访问 Active Directory 的能力 DnsPermission：使用TCP/IP域名系统(DNS)的能力 EnvironmentPermission：读写环境变量的能力 EventLogPer

30、mission：读写事件日志的能力 FileDialogPermission：访问用户在Open对话框中选择的文件的能力。通常用于没有赋予FilelOPermission权限，不能对文件进行有限的访问时。FilelOPermission：处理文件的能力(其中包括读文件、写文件、添加文件的内容，创建、更改和访问文件夹)IsolatedStorageFilePermission：访问私有虚拟文件系统的能力 IsolatedStoragePermission：访问孤立存储器的能力，存储器与各个用户相关，并具有代码身份的一些特征，孤立存储器详见第24章 MessageQueuePermission：通

31、过 Microsoft Message Queue 使用消息队列的能力 OleDbPermission：使用OLE DB提供程序访问数据库的能力 PerformanceCounterPermission：利用性能计数器的能力548 Printingpermission：打印的能力 Reflectionpermission：使用System.Reflection在运行期间查找类型信息的能力 Registrypermission：读、写、创建和删除注册表项和值的能力 Securitypermission：执行、断言权限、调用非托管的代码、忽略验证和其他权力的能力 ServiceController

32、Permission：控制 Windows 服务的能力 SocketPennission：在网络传输地址上创建或接受TCP/IP连接的能力 SQLClientPermission：使用 SQL Server 数据提供程序访问 SQLServer 数据库的能力的.NET UlPermission：访问用户界面的能力 WebPermission：连接Web或接受Web连接的能力对于上面的每一个权限类，通常可以指定更深级别的粒度。例如，在本章后面的一个示例中，请求的不仅仅是文件的访问权限，还指定了文件访问的具体级别.在实践中，如果要利用与上面列出的权限相关的资源，最好在应用程序中加入trycatch

33、错误处理块，以便应用程序运行在受限制的权限下时，能够很好地进行处理。应用程序的设计应该指定应用程序在这些情况下怎样运行，而不应该假定应用程序运行在开发它时的同一安全性策略下。例如，如果应用程序不能访问本地磁盘，它是应该退出呢，还是以另一种方式进行工作呢？一个程序集将与儿个代码组相关联：在安全性策略中，程序集的有效权限是程序集所属的所有代码组中权限的并集。也就是说，程序集匹配的每一个代码组都将扩展程序集的权限。在代码组的树中，下面的代码组具有的权限比上面代码组具有的权限要多一些。以代码的身份为基础，C L R 可以赋予代码组另一个权限集合。这些权限与C LR收集的关于程序集的证据直接相关，它们称

34、为身份权限(Identity Permissions)下面是身份权限类的名称：PublisherldentityPermission：软件发布者的数字签名 SiteldentityPermission：Web站点的名称，代码来自这个Web站点 StrongNameldenti tyPermissi on：程序集的强名 URLIdentityPermission：U R L,代码来自这个URL(其中包括协议，例 如 http:)ZoneldentityPermission：程序集来自的区域把权限赋予代码组，就不需要处理每个程序集了。通常在程序块中应用权限，这就是.NET提供权限集合的原因。代码访

35、问的权限聚合在指定的集合中，下面是已命名的权限集合：FullTrust：没有权限的限制 Skipverification：不进行验证 Execution：运行的能力，但是不能访问受保护的资源 Nothing：没有权限，代码不能执行 Locallntranet：本地内部网的默认策略，它是权限全集的子集。例如，文件1 0 只能在程序集生成的共享上进行读取访问第III部 分 基 类 库 Internet：未知来源的代码的默认策略，这是限制最严格的策略。例如，在这个权限集合下执行的代码没有文件1O能力，不能读写事件日志，也不能读写环境变量 Everything：这个集合中的所有权限，其中不包括忽略代码

36、验证的权限。管理员可以改变这个权限集合中的权限。默认策略要更强大时，可以使用这个权限集合注意：只能修改Everything权限集合的定义，而其他权限是固定的，不能改变。因为只有CLR能够把身份权限赋予代码，所以身份权限不能包括在权限集合中。例如，如果一段代码是来自某个发布者，管理员把与另个发布者相关的身份权限赋予这段代码是毫无意义的。CLR在需要时赋予身份权限，这样就可以随时利用那些身份权限。1.查看程序集的权限假定用户在使用一个Microsoft应用程序，并试图使用一个以前从没用过的特性。应用程序没有把代码的副本保存在本地，因此必须在Internet上请求代码，然后下载到全局程序集缓存中。如

37、果代码是由特定的公司（这个公司已经使用证书签署了程序集）通 过 Internet发布的，则程序集所属代码组中的成员关系如图19-3所示。图 19-3依照这个示例中的策略，代码组AH Code和 Internet的权限有限，但图中右下角的代码组却赋予程序集FullTrust权限。程序集的有效权限是它所属所有代码组中权限的并集。当权限以这种方式合并时，有效的权限就是被授予的最高权限，也就是说，程序集所属的每一-个代码组都会向程序集的有效权限集中添加权限。正像可以查看程序集所属的代码组一样，也可以查看赋予程序集所属代码组的权限。在查看权限时，不但能够看到代码的访问权限（即允许代码做什么），也可以看到

38、代码的身份权限（身份权限能访问代码在运行期间表现出来的证据）。使用如下的命令，可以查看程序集代码组的权限：550caspol.exe-resolveperm assembly.dll对一个程序集使用这个命令，并且查看在通过本地的内部网访问程序集时，赋予程序集的代码访问权限和身份权限。如果输入下面的命令，就可以看到代码访问权限和3 个身份权限：caspol.exe-resolveperm http:/somehost/assembly.dllMicrosoftCopyright(R).NET Framework CasPol 2.0.50727.7(C)Microsoft Corporation

39、.All rights reserved.Resolving permissions for level=EnterpriseResolving permissions for level=MachineResolving permissions for level=UserGrant=(工Permission class=System.Security.Permissions.IsolatedStorageFilePermission,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c56193 4e089*versi

40、on=n 1 nAllowed=*AssemblyIsolationByUser nUserQuota=H9223372036854775807 Expiry=M9223372036854775807Permanent=*Truen/工Permission class=nSystem.Security.Permissions.Reflectionpermission,mscorlib,Version=,12.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089n Version=H1nFlags=HReflectionEmit*/(工Per

41、mission class=nSystem.Security.Permissions.SiteIdentityPermission,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089H version=H1”Site=HsomehostH/Success上面的权限都是以XML方式显示出来的，其中包括定义权限的类、包含类的程序集、权限的版本以及加密标记。从中可以看出，我们能够创建自己的权限，此外，每一个身份权限都包括更详细的信息，例 如 UrlldentityPermission类的详细信息，通过这个类

42、可以访问生成代码的URL等。在输出结果的开头，要格外注意caspol.exe解决Enterprise、Machine和 User级别上权限的方式和列出有效权限的方式。下面讨论策略的这3 个级别。19.1.3 策略的级别：Machine、User 和 Enterprise前面讨论的都是单机环境中的安全性。但通常需要对具体的用户或整个公司指定安全性策略，这就是.NET不提供一个代码组级别，而是提供3 个代码组级别的原因：Machine Enterprise User3 个代码组级别是单独管理、并行存在的，如 图 19-4所示。如果有3 个安全性策略，该应用哪个策略？有效的权限就是3 个策略级别上权

43、限的交集。也就是说，每一个策略级别都可以否决另一个级别的权限，对于管理员来说，这是一件好事，因为他们的设置可以覆盖用户的设置。为了使用caspol.exe处 理 U ser级 别 或 Enterprise级别上的代码组和权限，必须添加-enterprise参数或-user参数，以改变命令的模式。默认状态下，caspol.exe工作在Machine552级 别 匕 到目前为止，我们一直在Machine级别上使用caspol.exe。下面的命令列出了 User级别上的代码组：caspol.exe-user-listgroups图 19-4在默认的安装上，这个命令的执行结果如下所示:Security

44、 is ONExecution checking is ONPolicy change prompt is ONLevel=UserCode Groups:1.All code:FullTrustSuccess运行同样的命令，但是这次看一下Enterprise级别上的代码组:caspol.exe-enterprise-listgroups这个命令的执行结果如下所示：Security is ONExecution checking is ON第III部 分 基 类 库Policy change prompt is ONLevel=EnterpriseCode Groups:1.All code:

45、FullTrustSuccess从中可以看出，在默认状态下，User级别和Enterprise级别都配置为允许给All Code代码组赋予FullTrust权限。其结果是，.NET安全性的默认设置对Enterprise级别和User级别没有任何限制，实际执行的策略完全由Machine级别的安全性所决定。例如，如果要把比FullTrust限制更严格的权限或权限集赋予Enterprise级别或User级别，则那些限制条件将对所有的权限都起作用，并且有可能覆盖Machine级别上的权限。由于有效的权限是所有权限的交集，因此，如果要把FullTrust应用到代码组上，就必须在3 个策略级别上把这个权限

46、赋予该代码组。当以管理员的身份运行caspol.exe时、caspol.exe把 Machine级别作为默认级别。但是，如果退出并以非Administrator用户组中的用户身份重新登录，caspol.exe将使用User级别代替默认的Machine级别。此外,如果用户更改后的安全性使caspol.exe不能运行，caspol.exe就不允许用户对安全性策略进行改动。现在，我们已经对.NET的安全体系有了一定的了解，下面讨论如何通过编程的方式利用代码访问的安全性。19.2 对 Framework中安全性的支持程序员在使用.NET的安全性时，必须信任CLR能够很好地执行安全性策略。当调用的方法需

47、要特定的权限（例如访问本地磁盘上文件的权限）时，CLR将把调用放入堆栈中，以确保调用链上的每一个调用者都能得到它们请求的权限。此时就要考虑性能了，但为了充分发挥托管环境（如.NET）的优点，就必须牺牲一部分性能。另一种方式是不完全可信的程序集可以调用完全可信的程序集，这样，系统将很容易遭到攻击。为了引用.NET的安全特性，本章中大多数应用程序要使用.NET Framework库中的命名空间：System.Security.Permissions System.Security.Policy System.Security.Principal注意，基于证据的代码访问安全性是在Windows登录安

48、全性之后进行工作的。如果要运行.NET桌面应用程序，则必须赋予它相关的.NET代码访问安全性权限。但是，已登录的用户也必须是Windows账户的用户，才有执行代码的权限。对于桌面应用程序而言，这意味着当前的用户必须被赋予相关的权限，才能访问磁盘上相关的程序集文件。对于Internet应用程序而言，运行Internet Information Server的账户必须能够访问程序集文件。5541 9.2.1 要求权限为了说明要求权限的工作情况，下面创建一-个Windows Forms应用程序，它包含个按钮，当单击按钮时，就访问本地文件系统上的个文件。如果应用程序没有访问本地磁盘的相关权限(File

49、lOPermission),就把按钮标记为不可用(即把按钮变为灰色)。如果导入命名空间System.Security.Permissions,就把Form l类的构造函数改为检查权限：创建一个FilelOPermission对象，并调用这个对象的Demand。方法，然后对结果进行操作：public Forml()Initial!zeComponent();try(FilelOPermission fileioperm=newFilelOPermission(FilelOPermissionAccess.AllAccess,n c:);filelOPermission.Demand();)cat

50、chbuttonl.Enabled=false;FilelOPermission包含在System.Security.Permissions命名空间中。这个命名空间包含了权限的全集，除此之外，它还为声明性的权限属性提供了类，为用于创建权限对象的参数提供了枚举值(例如，在创建FilelOPermission时，指定是需要完全访问还是只读访问)。如果从本地磁盘中运行应用程序(在默认状态下安全性策略允许访问本地的存储器)，则应用程序的运行情况如图19-5所示。图 19-5但是，如果把可执行文件复制到网络的共享区域，再次运行它，则应用程序就处于Locallntranet权限集中，这意味着应用程序不能访