��ste�n� d�v�ryhodnost technologie ASP.NET nezaru�uje izolaci aplikac�

Technologie ASP.NET umo��uje spr�vc�m hostovat aplikace v re�imu ��ste�n� d�v�ryhodnosti, nap��klad v re�imu st�edn� d�v�ryhodnosti. Umo��uje rovn� konfiguraci vlastn�ch �rovn� ��ste�n� d�v�ryhodnosti, a to prost�ednictv�m soubor� vlastn�ch z�sad. Dal�� informace o pou�it� st�edn� d�v�ryhodnosti v prost�ed� ASP.NET 2.0 naleznete na n�sleduj�c� webov� str�nce slu�by MSDN (Microsoft Developer Network): ��ste�nou d�v�ryhodnost v prost�ed� ASP.NET jsme ji� d��ve popsali jako mechanismus pro vynucen� izolace aplikac� ve sd�len�m hostitelsk�m prost�ed�, v n�m� je v r�mci t�ho� webov�ho serveru hostov�no n�kolik aplikac� s r�znou �rovn� d�v�ryhodnosti. Uveden� informace aktualizujeme tak, aby odr�ely skute�nost, �e spu�t�n� aplikace architektury str�nek ASP.NET v re�imu ��ste�n� d�v�ryhodnosti nezaru�uje partial kompletn� izolaci od ostatn�ch aplikac�, kter� jsou spu�t�ny v r�mci t�ho� procesu nebo ve stejn�m po��ta�i.�

Doporu�en�m postupem pro zaji�t�n� izolace od ostatn�ch aplikac� architektury str�nek ASP.NET na t�m�e webov�m serveru je nakonfigurovat aplikace architektury str�nek ASP.NET tak, aby byly spou�t�ny v r�mci samostatn�ch proces� s n�zk�mi privilegii (s vyu�it�m individu�ln�ch fond� aplikac�). V n�sleduj�c� ��sti jsou uvedeny podrobn� informace o postupu p�i konfiguraci aplikac� pro izolaci. Sou�asn� aktualizujeme ostatn� dokumentaci tak, aby odpov�dala zm�n�m v z�sad�ch, kter� jsou pops�ny v tomto �l�nku.�

Spr�vci server� by m�li pokyny v tomto �l�nku pou��t k zaji�t�n� izolace aplikac� ve sd�len�m hostitelsk�m prost�ed�. Tyto pokyny plat� pro technologii ASP.NET v syst�mu Windows Server 2003 SP2 a nov�j��ch verz�ch. Tyto pokyny zahrnuj� slu�bu IIS (Internet Information Services) 6.0 a� 7.5.

�adu �kol�, kter� jsou zde pops�ny, lze automatizovat pomoc� n�stroje p��kazov�ho ��dku slu�by IISAppCmd.exe v prost�ed� slu�by IIS 7 a 7.5 a pomoc� skript� pro spr�vu slu�by IIS v r�mci slu�by IIS 6.0.

Jak aplikace um�stit na samostatn� weby IIS

Ve sd�len�m hostitelsk�m prost�ed� by aplikace m�ly b�t um�st�ny na samostatn� weby IIS. Jsou-li aplikace hostov�ny na samostatn�ch webech, lze sn�ze izolovat konfiguraci. Nav�c bude hostitel .NET Framework CLR samostatn�. To poskytuje dal�� izolaci na dan� �rovni.

Chcete-li um�stit ka�dou aplikaci na samostatn� web, postupujte takto:

Slu�ba IIS 6.0 (Windows Server 2003 SP2)

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V lev�m podokn� rozbalte uzel pro aktu�ln� server.
3. Klikn�te prav�m tla��tkem my�i na uzel Weby, klikn�te na polo�ku Nov� a vyberte p��kaz Web.
4. Klikn�te na tla��tko Dal��.
5. Zadejte jedine�n� n�zev pro nov� web a pak klikn�te na tla��tko Dal��.
6. Nakonfigurujte vazby webu pro hostitelsk� prost�ed�.
7. Zadejte fyzickou cestu ke slo�ce, v n� jsou ulo�eny soubory aplikace.
8. Kliknut�m za�krtn�te pol��ko Spou�t�n� skript� (nap��klad ASP) a potom klikn�te na tla��tko Dal��.
9. Klikn�te na tla��tko Dokon�it. Nov� web se zobraz� pod uzlem Weby.

Slu�ba IIS 7 (Windows Vista SP2 a Windows Server 2008 SP1) a IIS 7.5 (Windows 7 a Windows Server 2008 R2)

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V podokn� P�ipojen� rozbalte uzel pro aktu�ln� server.
3. Vyberte uzel Weby a pak klikn�te na odkaz P�idat web v podokn� Akce.
4. V dialogov�m okn� P�idat web zadejte jedine�n� n�zev pro nov� web a pak zadejte fyzickou cestu je slo�ce, v n� jsou ulo�eny soubory aplikace. Ve v�choz�m nastaven� je vytvo�en nov� fond aplikac� se stejn�m n�zvem jako nov� vytvo�en� web, kter� je nakonfigurov�n tak, aby tento fond aplikac� pou��val. (Toto je doporu�en� konfigurace.)
5. Nakonfigurujte vazby webu pro hostitelsk� prost�ed�.
6. Kliknut�m zru�te za�krtnut� pol��ka Spustit web ihned. Zajist�te tak, �e web nebude k dispozici, dokud nejsou dokon�eny pokyny pro izolaci popsan� v tomto �l�nku.
7. Klikn�te na tla��tko OK. Nakonfigurovan� web se zobraz� pod uzlem Weby v podokn� P�ipojen�.

Jak aplikace um�stit do samostatn�ch fond� aplikac�

Ve sd�len�m hostitelsk�m prost�ed� by aplikace m�ly b�t um�st�ny do samostatn�ch fond� aplikac�. To aplikac�m umo��uje izolaci v samostatn�ch procesech opera�n�ho syst�mu s jedine�n�mi identitami. Je tak poskytnuta �rove� izolace mezi jednotliv�mi weby. (N�sleduj�c� ��st popisuje postup p�i konfiguraci identit fond� aplikac� pro izolaci.)

Slu�ba IIS 6.0 (Windows Server 2003 SP2)

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V lev�m podokn� rozbalte uzel pro aktu�ln� server.
3. Klikn�te prav�m tla��tkem my�i na polo�ku Fondy aplikac�, p�ejd�te na p��kaz Nov� a klikn�te na polo�ku Fond aplikac�.
4. Zadejte jedine�n� n�zev pro nov� fond aplikac� a pak klikn�te na tla��tko OK.
5. Rozbalte uzel Webov� servery.
6. Klikn�te prav�m tla��tkem my�i na c�lov� web a potom klikn�te na p��kaz Vlastnosti.
7. Klikn�te na kartu Domovsk� adres��.
8. V poli Fond aplikac� v doln� ��sti dialogov�ho okna klikn�te na nov� fond aplikac�.
9. Klikn�te na tla��tko OK.

Slu�ba IIS 7 (Windows Vista SP2 a Windows Server 2008 SP1) a slu�ba IIS 7.5 (Windows 7 a Windows Server 2008 R2)

Po proveden� postupu popsan�ho v ��sti Jak aplikace um�stit na samostatn� weby IIS je nov� web automaticky um�st�n do nov�ho samostatn�ho fondu aplikac�. Pokud je v�ak t�eba nakonfigurovat st�vaj�c� web tak, aby pou��val nov� samostatn� fond aplikac�, postupujte takto:�

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V podokn� P�ipojen� rozbalte uzel pro aktu�ln� server.
3. Vyberte uzel Fondy aplikac�.
4. V podokn� Akce klikn�te na odkaz P�idat fond aplikac�.
5. Zadejte jedine�n� n�zev pro nov� fond aplikac� a pak vyberte c�lovou verzi rozhran� .NET Framework a re�im kan�l�.
6. Klikn�te na tla��tko OK. Nov� fond aplikac� je zobrazen v seznamu.
7. V podokn� P�ipojen� rozbalte uzel Weby.
8. Vyberte web, kter� chcete p�esunout do nov� vytvo�en�ho fondu aplikac�.
9. V podokn� Akce klikn�te na odkaz Z�kladn� nastaven�.
10. V dialogov�m okn� Upravit web klikn�te na tla��tko Vybrat.
11. V seznamu Fond aplikac� vyberte fond aplikac�, kter� jste pr�v� vytvo�ili.
12. Klikn�te na tla��tko OK.

V dialogov�m okn� Upravit web klikn�te na tla��tko OK.

Jak nakonfigurovat fondy aplikac� pro izolaci (identita procesu)

Fondy aplikac� hostuj� aplikace a weby v procesu (nebo procesech) syst�mu Windows. Identitu, pod n� je proces spu�t�n, je mo�n� nakonfigurovat. Ve sd�len�m hostitelsk�m prost�ed� by m�la existovat samostatn� identita pro ka�dou aplikaci. T�m je zaji�t�no, �e je ka�d� aplikace spu�t�na v kontextu jedine�n�ho ��tu. To umo��uje spr�vnou izolaci s vyu�it�m voliteln�ch seznam� ��zen� p��stupu (DACL) syst�mu soubor� a integrovan�ch funkc� izolace proces� pou�it�ho opera�n�ho syst�mu. Chcete-li vytvo�it u�ivatelsk� ��et a pak p�i�adit fond aplikac� pro pou�it� tohoto ��tu, pou�ijte n�sleduj�c� postup.

Slu�ba IIS 6.0 (Windows Server 2003 SP2)

Vytvo�en� m�stn�ho u�ivatelsk�ho ��tu, kter� bude pou�it jako identita fondu aplikac�

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V lev�m podokn� seznamu rozbalte uzel M�stn� u�ivatel� a skupiny.
3. Klikn�te prav�m tla��tkem my�i na uzel U�ivatel� a pak klikn�te na p��kaz Nov� u�ivatel.
4. Zadejte jedine�n� n�zev a siln� heslo pro nov� u�ivatelsk� ��et.
5. Kliknut�m zru�te za�krtnut� pol��ka P�i dal��m p�ihl�en� mus� u�ivatel zm�nit heslo.
6. Kliknut�m za�krtn�te pol��ko U�ivatel nem��e m�nit heslo.
7. Klikn�te na tla��tko Vytvo�it a pak na tla��tko Zav��t.
8. V lev�m podokn� vyberte uzel U�ivatel�. Nov� ��et se zobraz� v seznamu.

Konfigurace fondu aplikac� pro pou�it� nov�ho m�stn�ho u�ivatelsk�ho ��tu

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V lev�m podokn� rozbalte uzel pro aktu�ln� server.
3. Rozbalte uzel Fondy aplikac�.
4. Klikn�te prav�m tla��tkem my�i na c�lov� fond aplikac� a potom klikn�te na p��kaz Vlastnosti.
5. Klikn�te na kartu Identita.
6. Vyberte mo�nost Konfigurovateln�.
7. Zadejte u�ivatelsk� jm�no a heslo nov�ho ��tu.
8. Klikn�te na tla��tko OK.
9. V dialogov�m okn� Potvrdit heslo zadejte stejn� heslo znovu a pak klikn�te na tla��tko OK.

Slu�ba IIS 7 a 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 a Windows Server 2008 R2)

1. Spus�te Spr�vce Internetov� informa�n� slu�by.
2. V podokn� P�ipojen� rozbalte uzel pro aktu�ln� server.
3. Vyberte uzel Fondy aplikac�.
4. Vyberte c�lov� fond aplikac�.
5. V podokn� Akce klikn�te na odkaz Up�esnit nastaven�.
6. V ��sti Model procesu nastavte vlastnost Identita na hodnotu ApplicationPoolIdentity. Toto nastaven� automaticky vytvo�� jedine�nou identitu pro tento fond aplikac�. V n�sleduj�c�ch odd�lech m��ete tuto jedine�nou identitu pou��t k nastaven� voliteln�ch seznam� ��zen� p��stupu (DACL) pro um�st�n� soubor�, k nim� tato aplikace vy�aduje p��stup.
7. Klikn�te na tla��tko OK.

Jak nakonfigurovat voliteln� seznamy ��zen� p��stupu pro um�st�n� obsahu aplikac�

Voliteln� seznam ��zen� p��stupu (DACL) je seznam opr�vn�n�, kter� jsou p�idru�eny k objektu a kter� lze pou��t k ��zen� p��stupu k objektu. Pou�it� voliteln�ch seznam� ��zen� p��stupu k omezen� p��stupu k obsahu aplikac� umo��uje pos�lit izolaci mezi weby, kter� jsou hostov�ny v r�mci t�ho� webov�ho serveru. Dal�� informace o seznamech ��zen� p��stupu a identit�ch slu�by IIS naleznete v t�matu Zabezpe�en� obsah ve slu�b� IIS prost�ednictv�m seznam� ��zen� p��stupu opera�n�ho syst�mu

V�echny verze slu�by IIS

1. Pomoc� p��kazov�ho ��dku nebo Pr�zkumn�ka Windows otev�ete ko�enovou slo�ku pro obsah webu.
2. K odebr�n� polo�ek pro ve�ker� p��stup jin�ch u�ivatel� ne� spr�vc� k tomuto um�st�n� pou�ijte libovolnou z n�sleduj�c�ch metod. (To zahrnuje i skupinu Users.)
   • V Pr�zkumn�kovi Windows klikn�te prav�m tla��tkem my�i na slo�ku, vyberte p��kaz Vlastnosti, klikn�te na kartu Zabezpe�en� a pak zm��te seznam ��zen� p��stupu.
   • Ke zm�n� seznamu ��zen� p��stupu na p��kazov�m ��dku pou�ijte n�stroj icacls.exe
     (http://technet.microsoft.com/cs-cz/library/cc753525(WS.10).aspx)
     (nebo ve star��ch verz�ch opera�n�ho syst�mu Windows n�stroj cacls.exe).
3. P�idejte novou polo�ku pro identitu procesu, kterou jste vybrali pro dan� web.
4. T�to nov� identit� poskytn�te p��stup k dan� slo�ce pro �ten� a spou�t�n�.

Existuj�-li konkr�tn� slo�ky, kter� pro p��slu�nou aplikaci vy�aduj� opr�vn�n� k z�pisu (nap��klad slo�ka Odeslan� data), pou�ijte n�sleduj�c� postup:

Slu�ba IIS 6.0 (Windows Server 2003 SP2)

1. V Pr�zkumn�kovi Windows klikn�te prav�m tla��tkem my�i na slo�ku, vyberte p��kaz Vlastnosti, klikn�te na kartu Zabezpe�en� a pak pro identitu procesu p�idejte p��stup Zm�nit.
2. U slo�ek obsahuj�c�ch statick� obsah (obr�zky, textov� soubory atd.) pou�ijte n�sleduj�c� postup:
   1. Spus�te Spr�vce Internetov� informa�n� slu�by.
   2. V lev�m podokn� klikn�te prav�m tla��tkem my�i na n�zev p��slu�n� slo�ky a potom klikn�te na p��kaz Vlastnosti.
   3. Klikn�te na kartu Adres��.
   4. V seznamu Opr�vn�n� ke spou�t�n� vyberte polo�ku ��dn�.

Slu�ba IIS 7 a 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 a Windows Server 2008 R2)

1. V Pr�zkumn�kovi Windows klikn�te prav�m tla��tkem my�i na slo�ku, vyberte p��kaz Vlastnosti, klikn�te na kartu Zabezpe�en� a pak pro identitu procesu p�idejte p��stup Zm�nit.
2. U slo�ek obsahuj�c�ch statick� obsah (obr�zky, textov� soubory atd.) p�idejte pro dan� um�st�n� polo�ku souboru web.config, kter� zakazuje opr�vn�n� Skript v nastaven� accessPolicy:

   <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>

Jak nakonfigurovat do�asn� um�st�n� soubor� technologie ASP.NET a jak nastavit voliteln� seznamy ��zen� p��stupu pro jednotliv� weby

Technologie ASP.NET vy�aduje na serveru um�st�n� pro ulo�en� do�asn�ch dat, jako jsou nap��klad zkompilovan� soubory. Zpravidla se jedn� o slo�ku do�asn�ch soubor� ASP.NET. Ve v�choz�m nastaven� je tato slo�ka um�st�na ve slo�ce, v n� je nainstalov�no rozhran� .NET Framework. P�id�len� jin�ho do�asn�ho um�st�n� pro ka�d� web a odpov�daj�c� zabezpe�en� jednotliv�ch slo�ek pom�h� pos�lit izolaci mezi weby, kter� jsou hostov�ny v r�mci t�ho� webov�ho serveru. Dal�� informace o slo�ce do�asn�ch soubor� ASP.NET naleznete v t�matu Principy dynamick� kompilace technologie ASP.NET.

Jak nakonfigurovat jin� um�st�n� slo�ky do�asn�ch soubor� ASP.NET pro jednotliv� weby

1. Pro ka�d� web vytvo�te novou slo�ku, do n� budou ukl�d�ny do�asn� soubory ASP.NET pro dan� web. Je lep�� vyu��t k ukl�d�n� do�asn�ch soubor� nesyst�movou jednotku.
2. Do ko�enov�ho souboru web.config nebo applicationHost.config serveru zahr�te nastaven� odkazuj�c� na um�st�n� nov� slo�ky pro dan� web, a to pomoc� elementu <location>:

   <configuration> <location path="path"> <system.web> <compilation tempDirectory="temp-files-path" /> </system.web> </location> <!-- and so on --> </configuration>

Jak nastavit odpov�daj�c� voliteln� seznamy ��zen� p��stupu pro um�st�n� slo�ky do�asn�ch soubor� ASP.NET

1. K odebr�n� opr�vn�n� pro ve�ker� p��stup jin�ch u�ivatel� ne� spr�vc� k tomuto um�st�n� pou�ijte libovolnou z n�sleduj�c�ch metod. (To zahrnuje i skupinu Users.)
2. P�idejte novou polo�ku pro identitu procesu, kterou jste vybrali pro dan� web, a pak t�to identit� poskytn�te pro danou slo�ku p��stup Zm�nit.

Jak odebrat citliv� konfigura�n� data z ko�enov�ch konfigura�n�ch soubor�

Soubory web.config aplikac� jsou ulo�eny ve slo�ce obsahu obsluhovan� aplikace. P�esto�e technologie ASP.NET neobslou�� soubor web.config aplikace, je n�kdy vhodn� um�stit citliv� informace, nap��klad nastaven� kl��� po��ta�e nebo p�ipojovac� �et�zce, do konfigura�n�ho souboru mimo um�st�n� aplikace. Je tak zv��ena ochrana p�ed zp��stupn�n�m informac�.

Slu�ba IIS 6.0 (Windows Server 2003 SP2)

Ulo�en� citliv�ch konfigura�n�ch informac� do ko�enov�ho souboru web.config nen� dobr�m �e�en�m pro izolaci dat mezi r�zn�mi weby, proto�e v�echny weby maj� k tomuto souboru p��stup pro �ten�. Proto byste v r�mci slu�by IIS 6 m�li ukl�dat citliv� konfigura�n� �daje do souboru web.config aplikace. Umo�n�te tak web�m vz�jemn� izolovat citliv� informace. V takov�m p��pad� se aplikace bude spol�hat na ochranu technologie ASP.NET, kter� m� zabr�nit obslou�en� souboru web.config aplikace a zajistit, �e citliv� �daje nebudou zp��stupn�ny.

Slu�ba IIS 7 a 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 a Windows Server 2008 R2)

Pro slu�bu IIS 7 a nov�j�� verze p�esu�te citliv� konfigura�n� �daje um�st�n� v souboru applicationHost.config slu�by IIS do elementu <location>, kter� omezuje rozsah konfigurace na web, k n�mu� se vztahuje. Dal�� informace naleznete v t�matu Pou�it� zamyk�n� v konfiguraci slu�by IIS 7.0. Spole�nost Microsoft d�kuje n�sleduj�c�m osob�m, kter� spolupracovaly na zv��en� ochrany z�kazn�k�:

• Jeroen Frijters
  (http://weblog.ikvm.net/)