Kennisdump

Authentication = identiteit van de gebruiker vaststellen Authorization = De rechten van een gebruiker verifiëren voor toegang tot een resource. System.Principal.WindowsIdentity representeert een Windows gebruiker. Authenticeert niet, dat heeft Windows al gedaan. Deze class houd de gebruikersnaam, authenticatie type en account token bij. Als een instantie wordt gemaakt wordt van de WindowsIdentity class kan gebruik worden gemaakt van drie static methoden: GetAnonymous – Returnt een WindowsIdentity object die een anonieme ongeauthentiseerde gebruiker representeert. GetCurrent – Returnt een WindowsIdentity object die de huidige ingelogde Windows gebruiker representeert. Impersonate – Returnt een WindowsImpersonationContext die een gespecificeerde gebruiker representeert. WindowsIdentity currentIdentity = WindowsIdentity.GetCurrent(); De System.Security.Principal.WindowsPrincipal class biedt toegang tot een gebruikers zijn groep lidmaatschap. Een object van deze class moet aangemaakt worde

CAS kan op twee manieren worden gebruikt. Declaratief, waarbij de compiler de security checks uitvoert voordat de code uitgevoerd wordt of imperatief, waarbij de code zelf de security checks uitvoert en bepaalt at er gebeurt als de check faalt. Er zijn vier opties voor imperatief en declaratief permissions voor een method: Assert – Instrueert runtime om aanvragers met onvoldoende rechten te negeren. Assemblies moeten de Assert Any Permission That Has Been Granted security permission setting hebben. Demand – Instrueert runtime om een exception te gooien als de aanvrager niet de juiste permissions hebben. Deny – Runtime vermindert de method’s toegang door de gespecificeerde permission te verwijderen. PermitOnly – Intrueert runtime om de method’s toegang te verminderen door alle permissions te verwijderen behalve de gespecificeerde permission. Er zijn twee declaratieve aanvragen die niet van toepassing zijn voor op imperatief: LinkDemand – Veroorzaakt runtime een exception als de directe

Declarative CAS zorgt ervoor dat de assembly alle benodigde permissions heeft; niet te veel en niet te weinig. Bijkomend voordeel is dat administrators direct weten welke rechten zij moeten toekennen aan de assembly. Drie redenen om CAS declaraties te gebruiken: Om ervoor te zorgen dat runtime de applicatie nooit uitvoert zonder toegang te verkrijgen tot de benodigde bronnen. Om een kleine zandbak te maken van de applicatie om ervoor te zorgen dat een aanvaller de applicatie niet kan manipuleren om toegang te verkrijgen tot onbedoelde bronnen. Om te verifiëren dat applicaties worden uitgevoerd met gelimiteerde CAS permissions en daarom in partially trusted zones worden uitgevoerd. CAS kan van een hoop bronnen de toegang regelen (van bestanden en mappen tot printers en netwerktoegang). Voor elk type bron dat kan worden beschermd, heeft het .NET Framework een class beschikbaar. Elke class heeft unieke members om de permissions te bepalen. Omdat de permission attribuut classes erven van d

CAS (code Access Security) is een beveiligingssysteem die het toestaat administrators en ontwikkelaars controle te nemen over applicatie authorisatie op dezelfde wijze hoe zij altijd gebruikers hebben geauthoriseerd. Met CAS kan je toestaan dat 1 application leest en schrijft naar het register terwijl je lezen en schrijven naar het register van aan andere applicatie verbied. Dezelfde bronnen kunnen worden geauthoriseerd die normaal gesproken ook kunnen worden geauthoriseerd met het systeems role-base security (RBS). Er zijn systeem bronnen die kunnen worden beveiligd die geen RBS hebben. Bijvoorbeeld web verzoeken versturen of DNS verzoeken. Met CAS kunnen dit soort dingen worden geauthoriseerd. CAS kan enkel toegepast worden bij applicaties die in het .NET Framework draaien. Applicaties die zonder CAS draaien zijn gelimiteerd tot de RBS restricties. Als via CAS restricties zijn gekoppeld aan een applicatie dan wordt deze applicatie als partially trusted beschouwd. Sommige assemblies z

Gebruik de statische methode Process.GetProcesses om alle huidige processen van het systeem op te halen. Om een specifiek process op te halen gebruik je het PID (Process ID): Process.GetProcessById. Om een process op te halen op basis van naam gebruik je: Process.GetProcessByName. Om het huidige process op te halen: Process.GetCurrent. Als een process is geladen kan met Process.Modules alle modulen worden geladen, indien je voldoende rechten heb, anders wordt er een Win32Exception gegooid. Als een Process object wordt aangemaakt, worden meteen alle properties geladen en gecached. Om de actuele waarden van de properties op te vragen moet eerst de Refresh methode aangeroepen worden. Gebruik de statische methode Process.Start om een process te starten en geef hierbij mee de naam van de exe die gestart moet worden. Parameters kunnen als tweede parameter worde meegegeven. Windows geeft veel informatie weer over de computer via WMI. Gebruik WMI om de setup van de applicatie te bepalen of wan

In de System.Diagnostics namespace kunnen performance counters worden aangemaakt en kunnen performance counters worden bijgewerkt binnen de applicatie. Vervolgens kunnen de developer en systeembeheerder deze performance counters bekijken via de perormance monitor. Om een performance counter te maken moet een instantie worden gemaakt van de PerformanceCounter class door een performance, een teller en eventueel de instantie mee te geven. Gebruik performanceCounter.NextValue om de counter te resetten. Roep dezelfde methode nog een keer aan om de performance data op te halen. PerformanceCounter pc = new PerformanceCounter("Processor", "% Processor Time", "_Total"); // Reset de teller pc.NextValue(); // Wacht eens seconde Thread.Sleep(1000); // Haal het processor gebruik op van de afgelopen seconde Console.WriteLine(pc.NextValue()); Custom performance counters kunnen niet worden toegevoegd aan een bestaande categorie. Om een custom performance counter aan te ma

Systeembeheerders gebruiken het Windows event log om te monitoren of alle software naar behoren functioneert. Er zijn drie event logs: System – Bevat alle non-security gerelateerde operating system events Security – Bevat wie is in- en uitgelogd. Applicaties kunnen hier niet in schrijven Application – Oorspronkelijk bedoeld om gebeurtenissen van applicaties in op te slaan als deze geen specifieke event log hebben. Events hebben altijd een source, welke de applicatie identificeert die het event heeft veroorzaakt. Voordat events kunnen worden gelogd moet eerst de applicatie geregistreerd worden als een event. Dit kan op twee manieren. Manueel door in het register een key aan te maken In de code Voorbeeld in code (moet wel uitgevoerd worden door administrator): If(!EventLog.SourceExists(“ My application”)) EventLog.CreateEventSource(“My application” , “My application Log”); Events loggen gebeurt door EventLog.Source property te zetten en de method EventLog.WriteEntry aan te roepen met d

Soms is het nodig meer controle te hebben over de installatie van een applicatie. In deze omstandigheden kan er een instantie gemaakt worden van de Installer class in de System.Configuration.Install namespace. Installer heeft 4 methodes die kunnen worden overschreven: Install: Verantwoordelijk voor het verfieren van de benodigdheden (voldoende rechten), kopieeren van de bestanden en configureren van andere benodigdheden van de applicatie Commit: Is aangeroepen nadat Install succesvol is afgerond. In deze fase moet de installatie worden afgerond. Rollback: Wordt enkel aangeroepen als de Install fase mislukt. In deze fase dienen alle bestanden te worden verwijderd en alle instellingen ongedaan worden gemaakt. Uninstall: Kan enkel worden aangeroepen als Install succesvol is afgerond. In deze fase moeten alle sporen van de applicatie verwijderd worden. In code kan met de Installer.Install methode de installatie worden uitgevoerd. Alle van de bovengenoemde methode hebben 1 parameter, een in

.NET Framework instellingen kunnen worden aangepast in de .config bestanden. In de <assemblyBinding> element in de <runtime> sectie van het machine.config bestand kan opgegeven worden waar de runtime assemblies kan vinden. Via de DEVPATH environment variabele kunnen ook gedeelde assemblies geconfigureerd worden. De runtime zoekt dan alle paden af die in de DEVPATH zijn gedefinieerd. DEVPATH kan als volgt ingesteld worden: Rechtermuisknop op Deze computer, eigenschappen Advanced System Settings Advanced tab, System properties, Environment variables klik New naam: DEVPATH value: het pad naar de gedeelde assemblies Nadat de environment variabele is gezet, zet de developmentMode op true in machine.config. Ook kan gebruik gemaakt worden van de Microsoft .NET Framework 2.0 Configuration Tool (Mscorcfg.msc) vanuit de Administrative Tools in het start menu of via het pad waar het framework geinstalleerd staat. Deze tool is enkel beschikbaar als de SDK is geinstalleerd van het 2.0 F

Applicaties halen hun instellingen uit twee bestanden: de centrale machine.config, welke toegankelijk is voor alle .NET applicaties en de applicatie-specifieke .config bestand in de assembly map. De machine.config geldt voor alle soorten applicaties: WPF, console en web applicaties. Sommige instellingen van de machine.config kunnen worden overschreven in de lokale config file. De System.Configuration namespace bevat classes voor het lezen en schrijven van configuratie instellingen. Standaard maakt .NET gebruik van de oude namespace. Om de nieuwe namespace te gebruiken moet eerst een reference worden toegevoegd. Om in code applicatie instellingen te definieren moet er een instantie van ConfigurationManager.OpenExeConfiguration worden gemaakt. Met Configuration.Add kan d.m.v. een name/value pair een setting worden aangemaakt. Met Configuration.Save worden de waarden opgeslagen: Configuration config = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None); config.AppSettin

Met services kunnen assemblies uitgevoerd worden op de achtergrond, zonder de interactie van de gebruiker. Services zijn handig op het moment dat bepaalde zaken gemonitord moeten worden. Om eenservice tijdens ontwikkeling te testen kan neit gebruik gemaakt worden van de F5 toets, de service moet eerst geinstalleerd worden en dan een kan er een debugger aan gehangen worden. De Main methode moet de Run methode aanroepen. Deze methode laad een service in het Service Control Manager. Een service kent geen dialog boxes omdat een service geen interactie kent met de gebruiker. Daarom heeft hij ook geen GUI. Eventuele loge moeten in het Windows event log worden weggeschreven. Services worden in hun eigen beveiligingscontext uitgevoerd en worden gestart voordat de user inlogt. Hoe meer permissies de service heeft, des te meer schade kan er aangericht worden door een hacker. Let daarom op onder welk account (met alleen de noodzakelijke rechten) een service wordt uitgevoerd. De ServiceBase.Servic

Door restricties toe te kennen aan een application domain, verkleint dat de kans dat de assembly kwaadaardige acties uitvoert. Defense-in-depth is het beveiligings principe van het aanbieden van meerdere vormen van protectie zodat je nog steeds bevieligd bent tijdens een kwaadwillige actie. Dit is vooral belangrijk bij externe code. Voor de assemblies die binnen een application domain worden opgestart is er volledige controle over de host evidence. Evidence is de informatie die de runtime verzameld over een assembly om te bepalen tot welke code groups de assembly behoort. De code groups bepalen op hun beurt de privileges van de assembly . Standaard vormen van evidence zijn de map of web site waaruit de assembly wordt uitgevoerd. Om evidance aan een assembly mee te geven moet eerst een System.Security.Policy.Evidence object worden aangemaakt en worden meegegeven aan de ExecuteAssembly methode. Wanneer een evidence wordt aangemaakt moeten er twee parameters, beide object arrays, worden m

Een application domain is een container die het mogelijk maakt om meerdere assemblies uit te voeren binnen een proces. Daarbij voorkomt een application domain dat de assemblies geen geheugen gebruikt dat bij andere assemblies hoort. Daarnaast biedt het volledige isolatie. Dit betekent dat niet afgehandelde exceptions geen invloed hebben op andere application domains. Nog een voordeel van een application domain is dat elk application domain een ander security access level kan hebben. Als een assembly is geladen in de standaard application domain, dan kan de assembly niet uit het geheugen worden gehaald als het proces nog aan het uitvoeren is. Binnen het .NET framework kan met de System.AppDomain class een application domain aangemaakt worden. AppDomain d = AppDomain.CreateDomain("NewDomain"); Console.WriteLine("Host domain: " + AppDomain.CurrentDomain.FriendlyName); Console.WriteLine("Child domain: " + d.FriendlyName); Een assembly starten binnen een applic

ThreadPool.QueueUserItem is voldoende wanneer een thread wordt gestart en zolang laat lopen totdat de gespecificeerde methode klaar is met uitvoeren. Indien meer controle nodig is, zoals het stoppen van een thread, kan er een Thread object gemaakt worden om vervolgens de Start methode aan te roepen. De thread kan dan geannuleerd worden door de methode Abort aan te roepen. static void Main(string args[]) { // Maak een thread object en geef een DoWork methode mee gebruik makend van een ThreadStart delegate Thread DoWorkThread = new Thread(new ThreadStart(DoWork)); // Start de thread DoWorkThread.Start(); // Wacht een seconde Thread.Sleep(1000); // Annuleer de thread DoWorkThread.Abort(); Console.WriteLine("Main applicatie wordt gesloten"); Thread.Sleep(6000); } public static void DoWork() { Console.WriteLine("DoWork wordt gestart"); try { Thread.Sleep(1000); } catch(ThreadAbortException ex) { Console.WriteLine("DoWork is ge

Een thread is een apart onderdeel dat wordt uitgevoerd binnen een proces. Een proces kan meerdere threads bevatten. Dit wort ook wel multithreading genoemd. Met de System.Threading.ThreadPool class kunnen methods op de achtergrond worden uitgevoerd: static void Main(string[] args) { string value = "Dit is de inhoud van string value"; // Zet de taak in de wacht ThreadPool.QueueUserWorkItem(ThreadProc, value); Console.WriteLine("Main thread doet wat dingen..."); Thread.Sleep(1000); Console.WriteLine("Main thread stopt"); } static void ThreadProc(object stateInfo) { string param = (string) stateInfo; Console.WriteLine("Live vanuit een thread! " + param); } Standaard heeft de thread pool 250 threads beschikbaar per processor. Dit kan aangepast worden met de ThreadPool.SetMaxThreads methode. Nadat een thread is uitgevoerd, wordt hij weer vrijgegeven. Het aantal beschikbare threads kan opgevraagd worden met de ThreadPool.GetAvailableThr