公共语言运行时 (CLR) 支持用于托管代码的一种称为代码访问安全性的安全模式。 在这种模式下,根据代码的标识来对程序集授予权限。 有关详细信息,请参阅 .NET Framework 软件开发工具包中的“代码访问安全性”部分。
决定授予程序集的权限的安全策略定义在三个不同的位置:
计算机策略:这是安装 SQL Server 的计算机中运行的所有托管代码生效的策略。
用户策略:这是由进程托管的托管代码生效的策略。 对于 SQL Server 服务正在运行。
主机策略:这是 CLR 主机(在本例中为 SQL Server)设置的策略,该策略对于在该主机中运行的托管代码有效。
CLR 支持的代码访问安全机制基于如下假设:运行时既可承载完全可信任的代码,也可承载部分可信任的代码。 受 CLR 代码访问安全性保护的资源通常由需要相应权限的托管应用程序编程接口包装,然后才允许访问资源。 仅当调用堆栈中的所有调用方(在程序集级别)都具有相应的资源权限时,才满足权限的需求。
在 SQL Server 中运行时,向托管代码授予的代码访问安全权限集授予一组 SQL Server 中加载的程序集的权限,授予用户代码的最终权限集可能会受到用户和计算机级策略的进一步限制。
SQL Server 主机策略级别权限集
由 SQL Server 主机策略级别授予程序集的代码访问安全权限集由创建程序集时指定的权限集确定。 有三个权限集:SAFE(EXTERNAL_ACCESS使用 UNSAFECREATE ASSEMBLY(Transact-SQL)的PERMISSION_SET选项指定)。
SQL Server。 此策略不适用于 SQL Server 创建 CLR 实例时生效的默认应用程序域。
系统程序集的 SQL Server 固定策略和用户程序集的用户指定策略。
CLR 程序集和 SQL Server 系统程序集的固定策略授予它们完全信任。
SQL Server 主机策略的用户指定部分基于程序集所有者,为每个程序集指定三个权限存储桶之一。 有关下面列出的安全权限的详细信息,请参阅 .NET Framework SDK。
安全
仅允许内部计算和本地数据访问。
SAFE 是限制性最大的权限集。 具有 SAFE 权限的程序集执行的代码无法访问外部系统资源,例如文件、网络、环境变量或注册表。
SAFE 程序集具有以下权限和值:
| 许可 | Value(s)/Description |
|---|---|
SecurityPermission |
Execution: 执行托管代码的权限。 |
SqlClientPermission |
Context connection = true, context connection = yes:只能使用上下文连接,连接字符串只能指定“context connection=true”或“context connection=yes”的值。AllowBlankPassword = false: 不允许使用空密码。 |
EXTERNAL_ACCESS
EXTERNAL_ACCESS程序集具有与 SAFE 程序集相同的权限,并且能够访问外部系统资源(如文件、网络、环境变量和注册表)。
EXTERNAL_ACCESS 程序集还具有以下权限和值:
| 许可 | Value(s)/Description |
|---|---|
DistributedTransactionPermission |
Unrestricted: 允许分布式事务。 |
DNSPermission |
Unrestricted: 从域名服务器请求信息的权限。 |
EnvironmentPermission |
Unrestricted: 允许完全访问系统和用户环境变量。 |
EventLogPermission |
Administer: 允许执行以下作:创建事件源、读取现有日志、删除事件源或日志、响应条目、清除事件日志、侦听事件以及访问所有事件日志的集合。 |
FileIOPermission |
Unrestricted: 允许完全访问文件和文件夹。 |
KeyContainerPermission |
Unrestricted: 允许完全访问密钥容器。 |
NetworkInformationPermission |
Access: 允许 Pinging。 |
RegistryPermission |
允许读取权限 HKEY_CLASSES_ROOT、HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER、HKEY_CURRENT_CONFIG和 HKEY_USERS. |
SecurityPermission |
Assertion: 能够断言此代码的所有调用方都具有作的必要权限。ControlPrincipal: 能够作主体对象。Execution: 执行托管代码的权限。SerializationFormatter: 提供序列化服务的功能。 |
| SmtpPermission |
Access: 允许到 SMTP 主机端口 25 的出站连接。 |
SocketPermission |
Connect: 允许传输地址上的出站连接(所有端口、所有协议)。 |
SqlClientPermission |
Unrestricted: 允许完全访问数据源。 |
StorePermission |
Unrestricted: 允许完全访问 X.509 证书存储。 |
WebPermission |
Connect: 允许与 Web 资源的出站连接。 |
不安全的
UNSAFE 允许程序集不受限制地访问 SQL Server 内外的资源。 从 UNSAFE 程序集内执行的代码也可以调用非托管代码。
UNSAFE 程序集 FullTrust。
重要
对于执行计算和数据管理任务的程序集,建议 SAFE 权限设置,而无需访问 SQL Server 外部的资源。
EXTERNAL_ACCESS 默认情况下,程序集作为 SQL Server 服务帐户执行,应只向受信任的登录名授予执行 EXTERNAL_ACCESS 权限,才能作为服务帐户运行。 从安全的角度来看,EXTERNAL_ACCESS 和 UNSAFE 程序集是相同的。 但是, EXTERNAL_ACCESS 程序集提供不在程序集中的 UNSAFE 各种可靠性和可靠性保护。 指定 UNSAFE 允许程序集中的代码对 SQL Server 执行非法作。 有关在 SQL Server 中创建 CLR 程序集的详细信息,请参阅 管理 CLR 集成程序集。
访问外部资源
如果用户定义类型(UDT)、存储过程或其他类型的构造程序集注册到 SAFE 权限集,则在构造中执行的托管代码无法访问外部资源。 但是,如果指定了 EXTERNAL_ACCESS 或 UNSAFE 权限集,并且托管代码尝试访问外部资源,SQL Server 将应用以下规则:
| 如果 | 则 |
|---|---|
| 执行上下文对应于 SQL Server 登录名。 | 拒绝访问外部资源的尝试并引发一个安全异常。 |
| 执行上下文与 Windows 登录名相对应并且执行上下文为原始调用方。 | 外部资源在 SQL Server 服务帐户的安全上下文下访问。 |
| 调用方不是原始调用方。 | 拒绝访问并引发一个安全异常。 |
| 执行上下文对应于 Windows 登录名,执行上下文是原始调用方,并且调用方已被模拟。 | Access 使用调用方安全上下文;不是服务帐户。 |
权限集摘要
下图汇总了授予 SAFE、EXTERNAL_ACCESS和 UNSAFE 权限集的限制和权限。
SAFE |
EXTERNAL_ACCESS |
UNSAFE |
|
Code Access Security Permissions |
仅执行 | 执行和访问外部资源 | 不受限制(包括 P/Invoke) |
Programming model restrictions |
是的 | 是的 | 无限制 |
Verifiability requirement |
是的 | 是的 | 否 |
Local data access |
是的 | 是的 | 是的 |
Ability to call native code |
否 | 否 | 是的 |