Announcement

**Andreas Kosch** · 06.03.2006, 09:34

Hallo,
wenn eine .NET-Anwendung nicht vom lokalen Laufwerk aus gestartet wird, f�hrt die CLR die Anwendung automatisch in einem Sandkasten aus, der nur eingeschr�nkte Rechte hat. Beim Start �ber ein gemapptes Netzlaufwerk sind die Rechte der Zone Intranet aktiv. In diesem Fall greift das strenge Regelwert der Code Access Security (CAS), wobei f�r CAS die Rechte des Benutzerkontos keine Rolle spielen (d.h. auch ein Administrator des Active Directory erh�lt das gleiche Veto, unabh�ngig von seinen NTFS-Zugriffsrechten auf dem Server). F�r CAS entscheidend ist die Frage, von wo aus ein ausf�hrbares .NET-Modul geladen wurde. Bei jedem Versto� w�rgt eine System.Security.Permissions.SecurityPermissio n den unerlaubten Zugriff ab. Es stehen mindestens 4 Alternativen zur Verf�gung, um dieses Verhalten zu �ndern:
 
1.) In einem Firmennetzwerk kann der Administrator die einmalig von Hand zusammengestellte Richtlinienstruktur �ber den Weitergabepaket-Assistenten der .NET Framework-Konfiguration als MSI-Setup zusammenpacken. Diese Setup �berschreibt dann bei den zu konfigurierenden Rechnern die Standard-Einstellung durch die definierte Richtlinienstruktur des Unternehmens. 
2. W�hrend der Weitergabepaket-Assistent der .NET Framework-Konfiguration eine �Alles-oder-Nichts�-L�sung ist, erlaubt das Kommandozeilen-Tool caspol.exe einen chirurgischen Eingriff, indem ein Script die Konfiguration einer zus�tzlichen Codegruppe �bernimmt. 
3. Das Installationsprogramm der .NET-Anwendung (MSI-Setup) wird um eine Installer-Klasse erweitert, die die ben�tigte Codegruppe w�hrend des Setups anlegt. Allerdings gilt auch hier, dass zur �nderung der Computer-Berechtigungsgruppen f�r das Setup die Administrator-Rechte ben�tigt werden. 
4. Der CodeGroup-Eintrag wird �ber die .NET Framework Configuration von Hand angelegt.

 
In dem Artikel Gesprengte Fesseln (Auswirkungen der Code Access Security auf das Setup der Anwendung) des dot.net magazin 1/2.06 habe ich ein Setup-Programm vorgestellt, dass die Sandkasten-Rechte f�r die eigenen Anwendungen automatisch erweitert. Der folgende Auszug beschreibt das Verfahren:

"Von den verf�gbaren Optionen erf�llt das MSI-Setup der Beispielanwendung die Anforderungen am Besten - denn im Normalfall soll die Anwendung ja auch lokal installiert werden. Nur f�r den Fall, dass eine Unternehmensrichtlinie den lokalen Aufruf nicht vorsieht, wird die Codegruppe f�r FullTrust-Berechtigung angelegt, so dass die Anwendung auch dann noch problemlos aufgerufen werden kann, wenn diese nur von einem Netzlaufwerk aus gestartet werden soll.

Nachdem das Grundger�st des Setup-Projekts steht, wird der Projektmappe ein weiteres Projekt f�r eine Klassenbibliothek hinzugef�gt. Damit das MSI-Setup die neue Klasse einbindet, muss diese von System.Configuration.Install.Installer abstammen und mit dem Attribut [RunInstaller(true)] gekennzeichnet werden. Der einfachste Weg, eine derartige Klasse zu erhalten, f�hrt �ber die Vorlage Installer Class � so dass nur noch die geerbten Methoden Install, Commit und Uninstall �berschrieben werden m�ssen. Einen Anhaltspunkt �ber die notwendigen Schritte findet sich in [3], so dass die Checkliste f�r eigene Anpassungen sehr kurz ist: 
a) Es wird ein sprechender, eindeutiger Name f�r die neue Codegruppe festgelegt. 
b) Da der Strong Name f�r die Zuordnung herangezogen werden soll, muss auf StrongNameMembershipCondition zur�ckgegriffen werden. �ber die StrongNamePublicKeyBlob-Klasse werden die �ffentlichen Schl�sselinformationen des Strong Name aufbereitet, wobei die Rohdaten vom Kommandozeilen-Tool secutil.exe stammen. Mit dem Aufruf �secutil -c -s VBWinApp.exe > output.txt� schreibt dieses Tool die gesuchte Information in eine Datei, wobei dann die Public Key-Zeichenkette �ber die Zwischenablage in das Klassenbibliotheks-Projekt kopiert wird. 
c) Die Klassenbibliothek wird mit in das Setup-Projekt aufgenommen. 
d) Im Setup-Projekt wird der Custom Actions-Editor aufgerufen, um jeweils in den Ordnern Install, Commit und Uninstall einen Verweis auf die Klassenbibliothek mit der Installer-Klasse hinzuzuf�gen (Abbildung 3).

Damit sind alle Zutaten fertig. Wenn die Anwendung �ber das Setup auf einem Rechner installiert wird, richtet das Setup dabei die eigene Codegruppe dotnetMagazin ein. Falls nun der Anwender die Programmdateien auf einem Netzlauf ablegt, kann er die Anwendung trotzdem uneingeschr�nkt nutzen. 
Wird das Programm sp�ter �ber die SYSTEMSTEUERUNG | SOFTWARE wieder deinstalliert, r�umt die eigene Installer-Klasse auch die Codegruppe dotnetMagazin wieder ab." (Zitat Ende)
 
Der eigene Installer-Nachfolger sieht wie folgt aus:
<code>
using System;
using System.Collections;
using System.ComponentModel;
using System.Configuration.Install;
//
using System.Security;
using System.Security.Permissions;
using System.Security.Policy;

namespace CodeGroupInstaller
{
/// <summary>
/// Richtet die CodeGroup dotnetMagazin mit FullTrust f�r die mit einem bestimmten
/// Strong Name signierten Assemblies ein.
/// Ger�st aus dem Microsoft Dev Days 2004 Source Project IssueVision 
/// (http://www.windowsforms.net/Applications/application.aspx?PageID=40&tabindex=8)
/// </summary>
[RunInstaller(true)]
public class InstallerCodeGroup : System.Configuration.Install.Installer
{
/// <summary>
/// Required designer variable.
/// </summary>
private System.ComponentModel.Container components = null;

public InstallerCodeGroup()
{
// This call is required by the Designer.
InitializeComponent();
// Add any initialization after the InitializeComponent call
}

/// <summary> 
/// Clean up any resources being used.
/// </summary>
protected override void Dispose( bool disposing )
{
if( disposing )
{
if(components != null)
{
components.Dispose();
}
}
base.Dispose( disposing );
}

#region Component Designer generated code
/// <summary>
/// Required method for Designer support - do not modify
/// the contents of this method with the code editor.
/// </summary>
private void InitializeComponent()
{
components = new System.ComponentModel.Container();
}
#endregion

private string LevelName = "Machine";
private string CodeGroupName = "dotnetMagazin";

/// <summary>
/// Codegruppe beim Installieren anlegen
/// </summary>
/// <param name="stateSaver"></param>
public override void Install(System.Collections.IDictionary stateSaver)
{
base.Install(stateSaver);
try
{
// Erzeugt mit "secutil -c -s VBWinApp.exe"
byte[] AppStrongNamePublicKey = { 0, 36, 0, 0, 4, 128, 0, 0, 148, 0, 0, 0, 6, 2, 0, 0, 0, 36, 0, 0, 82, 83, 65, 49, 0, 4, 0, 0, 1, 0, 1, 0, 133, 193, 96, 5, 82, 44, 240, 22, 106, 196, 254, 134, 122, 61, 98, 143, 109, 236, 227, 247, 235, 58, 193, 74, 181, 47, 152, 117, 1, 143, 171, 196, 51, 0, 168, 250, 198, 22, 120, 165, 55, 20, 197, 217, 173, 106, 149, 149, 113, 172, 39, 3, 28, 229, 168, 102, 27, 202, 197, 200, 22, 148, 177, 71, 242, 95, 107, 40, 141, 165, 116, 87, 78, 146, 16, 103, 133, 235, 37, 103, 249, 55, 30, 111, 24, 42, 109, 105, 232, 208, 122, 45, 37, 247, 139, 24, 141, 67, 8, 90, 149, 188, 212, 170, 233, 149, 127, 183, 9, 241, 243, 83, 183, 183, 94, 219, 126, 133, 219, 55, 24, 36, 28, 224, 57, 87, 73, 162 };
StrongNamePublicKeyBlob aSNPKB = new StrongNamePublicKeyBlob(AppStrongNamePublicKey);
// Nur Strong Name, kein Dateiname und keine Version ber�cksichtigen
StrongNameMembershipCondition aSNMC = new StrongNameMembershipCondition(aSNPKB, null, null);
// Code Access Security konfigurieren
CreateRootCodeGroup(LevelName, CodeGroupName,
"FullTrust f�r Strong Name �DotNetMagNetzwerk.snk� ",
aSNMC, new NamedPermissionSet("FullTrust"));
}
catch
{
}
}

public override void Commit(System.Collections.IDictionary stateSaver)
{
base.Commit(stateSaver);
SecurityManager.SavePolicy();
}

/// <summary>
/// Codegruppe beim Deinstallieren wieder entfernen
/// </summary>
/// <param name="stateSaver"></param>
public override void Uninstall(System.Collections.IDictionary stateSaver)
{
base.Uninstall(stateSaver);
try
{
RemoveRootCodeGroup(LevelName, CodeGroupName);
SecurityManager.SavePolicy();
}
catch
{
}
}

#region PrivateMethoden

/// <summary>
/// Neue CodeGroup unterhalb von All_Code anlegen
/// </summary>
/// <param name="level">Machine</param>
/// <param name="name">CodeGroup-Name</param>
/// <param name="description">Beschreibung</param>
/// <param name="membership">StrongNameMembershipCondition </param>
/// <param name="permissions">NamedPermissionSet("FullTrus t")</param>
private static void CreateRootCodeGroup(string level, string name, string description, IMembershipCondition membership, PermissionSet permissions)
{
CodeGroup aUCG = new UnionCodeGroup(membership, new PolicyStatement(permissions));
aUCG.Name = name;
aUCG.Description = description;
CodeGroup aRootGroup = FindPolicyLevel(level).RootCodeGroup;
aRootGroup.AddChild(aUCG);
}

/// <summary>
/// CodeGroup entfernen
/// </summary>
/// <param name="level">Machine</param>
/// <param name="name">CodeGroup-Name</param>
private static void RemoveRootCodeGroup(string level, string name)
{
CodeGroup aRootGroup = FindPolicyLevel(level).RootCodeGroup;
CodeGroup aCustomGroup = FindCodeGroup(aRootGroup, name);
aRootGroup.RemoveChild(aCustomGroup);
}

private static PolicyLevel FindPolicyLevel(string label)
{
IEnumerator levels = SecurityManager.PolicyHierarchy();
while (levels.MoveNext())
{
PolicyLevel level = (PolicyLevel)levels.Current;
if (level.Label == label)
{
return level;
}
}
return null;
}

private static CodeGroup FindCodeGroup(CodeGroup parent, string name)
{
IList children = parent.Children;
foreach (CodeGroup child in children)
{
if (child.Name == name)
{
return child;
}
}
return null;
}

#endregion
}
}
</code&gt

Announcement

.NET Anwendung von einem Server starten

.NET Anwendung von einem Server starten

Comment