Freigeben über

Bibliotheksanwendungssicherheit

  • Artikel

Da eine COM+-Bibliotheksanwendung von einem anderen Prozess gehostet wird, der möglicherweise über eigene Sicherheitseinstellungen verfügt, ist die Sicherheit für Bibliotheksanwendungen besonders berücksichtigt.

Die folgenden Einschränkungen gelten für die Anwendungssicherheit der Bibliothek:

  • Bibliotheksanwendungen werden nicht unter ihrer eigenen Benutzeridentität, sondern unter dem Clientprozesssicherheitstoken ausgeführt. Sie haben nur so viel Berechtigungen wie der Client.
  • Bibliotheksanwendungen steuern keine Sicherheit auf Prozessebene. Dem Sicherheitsdeskriptor für den Prozess werden keine Benutzer in Rollen hinzugefügt. Die einzige Möglichkeit für eine Bibliotheksanwendung, eigene Zugriffsprüfungen durchzuführen, besteht darin, sicherheit auf Komponentenebene zu verwenden. (Siehe Sicherheitsgrenzen.)
  • Bibliotheksanwendungen können entweder für die Teilnahme an der Hostprozessauthentifizierung konfiguriert werden, indem sie die Authentifizierung aktivieren oder deaktivieren. (Siehe Aktivieren der Authentifizierung für eine Bibliotheksanwendung.)
  • Bibliotheksanwendungen können keine Identitätswechselebene festlegen; sie verwenden die des Hostprozesses.

Verwenden von Bibliotheksanwendungen zum Einschränken von Anwendungsberechtigungen

In einigen Fällen sollten Sie eine Anwendung speziell als Bibliotheksanwendung so konfigurieren, dass sie unter der Identität des Hostingprozesses ausgeführt wird. Dadurch wird die Anwendung grundsätzlich beschränkt, sodass nur auf die Ressourcen zugegriffen werden kann, auf die der Client, der Hostprozess, zugreifen kann. Die Threads, auf denen die Komponenten der Bibliotheksanwendung ausgeführt werden, verwenden standardmäßig das Prozesstoken, und daher, wenn sie Aufrufe außerhalb der Anwendung tätigen oder auf Ressourcen zugreifen, z. B. Dateien, die mit einem Sicherheitsdeskriptor geschützt sind, scheinen sie der Client zu sein. Bei Anwendungen, die vertrauliche Aufgaben ausführen, kann dies eine einfache Möglichkeit sein, den Umfang ihrer Aktionen zu steuern.

Effektive Sicherung von Bibliotheksanwendungen

Es gibt besondere Überlegungen beim Konfigurieren der rollenbasierten Sicherheit und Authentifizierung für Bibliotheksanwendungen, sodass sie erwartungsgemäß ausgeführt werden. Ausführliche Informationen finden Sie unter Configuring Security for Library Applications.

Clientauthentifizierung

Clientidentitätswechsel und -delegierung

Mehrstufige Anwendungssicherheit

Programmgesteuerte Komponentensicherheit

Role-Based Sicherheitsverwaltung

Verwenden der Softwareeinschränkungsrichtlinie in COM+