אמון חלקי של ASP.NET לא מבטיח בידוד של אפליקציות

תרגומי מאמרים תרגומי מאמרים
Article ID: 2698981 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מבוא

ASP.NET מאפשר למנהלי מערכת לארח אפליקציות במצבי אמון חלקי כגון אמון בינוני. כמו כן, הוא מאפשר תצורה של רמות אמון חלקי בהתאמה אישית באמצעות קובצי מדיניות מותאמים אישית. לקבלת מידע נוסף על אופן השימוש באמון בינוני ב- ASP.NET 2.0, עבור לדף האינטרנט הבא של Microsoft Developer Network ?(MSDN):
כיצד: להשתמש באמון בינוני ב- ASP.NET 2.0
תיארנו קודם לכן אמון חלקי של ASP.NET כמנגנון לאכיפת בידוד אפליקציות בסביבת אירוח משותפת שבה אפליקציות מרובות עם רמות אמון שונות מתארחות באותו שרת אינטרנט. אנחנו מעדכנים את ההנחיות שלנו לגבי זאת כדי לשקף שהפעלת אפליקציית מסגרת של דף ASP.NET באמון חלקי לא מבטיחה בידוד מלא מאפליקציות אחרות הפועלות באותו תהליך או באותו מחשב. 

הגדרת אפליקציות מסגרת של דף ASP.NET כך שיפעלו בתהליכים נפרדים עם הרשאות נמוכות (על ידי שימוש במאגר אפליקציות בודדים) היא פרוצדורה מומלצת כיד להבטיח את הבידוד מאפליקציות מסגרות אחרות של דף ASP.NET באותו שרת אינטרנט. הסעיף הבא מפרט כיצד להגדיר אפליקציות לבידוד. אנחנו מעדכנים את המסמכים האחרים שלנו כד שישקפו את השינוי במדינות שמתואר במאמר זה.

מידע נוסף

מנהלי מערכת של שרתים צריכים להחיל את ההנחיות שבמאמר זה כדי להבטיח שהאפליקציות מבודדות בסיסות אירוח משותפות. הנחיות אלה חלות על אירוח ASP.NET ב- Windows Server 2003 SP2 וגרסאות חדשות יותר. ההנחיות כוללות את Internet Information Services (IIS) 6.0 עד 7.5.

רבות מהמשימות שמפורטות כאן יכולות להפוך לאוטומטיות באמצעות כלי שורת הפקודה AppCmd.exe של IIS ב- IIS 7 ו- 7.5 ובאמצעות קובצי Script של ניהול של IIS ב- IIS 6.0.

כיצד למקם אפליקציות באתרי IIS נפרדים

בסביבת אירוח משותפת, יש למקם אפליקציות באתרי IIS נפרדים. התצורה מבודדות בצורה טובה יותר בין אפליקציות כאשר הן מתארחות באתרים שונים. בנוסף לכך, מארח ?.NET Framework CLR יהיה מבודד. כך מתקבל בידוד נוסף ברמה זו.

כדי למקם כל אפליקציה באתר נפרד, בצע את הפעולות הבאות:

Internet Information Services 6.0 ?(Windows Server 2003 SP2)

  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית מימין, הרחב את הצומת של השרת הנוכחי.
  3. לחץ באמצעות לחצן העכבר הימני על הצומת חבילות, לחץ על חדש ולאחר מכן לחץ על אתר אינטרנט.
  4. לחץ על הבא.
  5. הזן שם ייחודי לאתר האינטרנט החדש ולאחר מכן לחץ על הבא.
  6. הגדר את איגודי האתר של סביבת האירוח.
  7. הזן את הנתיב הפיזי של התיקייה שבה מאוחסנים קובצי האפליקציה.
  8. לחץ כדי לבחור בתיבת הסימון הפעל קובצי Script (כגון ASP) ולאחר מכן לחץ על הבא.
  9. לחץ על סיום. האתר החדש יופיע תחת הצומת אתרי אינטרנט.

Internet Information Services 7 ?(Windows Vista SP2 ו- Windows Server 2008 SP1) ו- Internet Information Services 7.5 ?(Windows 7 ו- Windows Server 2008 R2)

  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית חיבורים, הרחב את הצומת של השרת הנוכחי.
  3. בחר בצומת אתרים ולאחר מכן לחץ על הקישור הוסף אתר אינטרנט חדש בחלונית פעולות.
  4. בתיבת הדו-שיח הוסף אתר אינטרנט חדש, הזן שם ייחודי לאתר האינטרנט החדש ולאחר מכן הזן את הנתיב הפיזי של התיקייה שבה קובצי האפליקציות מאוחסנים. כברירת מחדל, מאגר אפליקציות חדש נוצר עם אותו שם כמו האתר, והאתר מוגדר להשתמש במאגר אפליקציות זה. (זוהי התצורה המומלצת.)
  5. הגדר את איגודי האתר של סביבת האירוח.
  6. לחץ כדי לנקות את תיבת הסימון הפעל אתר אינטרנט באופן מידי כדי להבטיח שהאתר אינו זמין עד שההנחיות לבידוד המפורטות כאן מתמלאות.
  7. לחץ על אישור. האתר המוגדר מופיע תחת הצומת אתרים בחלונית חיבורים.

כיצד למקם אתרים במאגרי אפליקציות נפרדים

בסביבת אירוח משותפת, יש למקם אפליקציות במאגרי אפליקציות נפרדים. כך מתאפשר בידוד של אפליקציות בתהליכים נפרדים של מערכת ההפעלה עם זהויות ייחודיות. כך מתקבלת רמת בידוד מאתר אחד למשנהו. (הסעיף הבא מתאר כיצד להגדיר זהויות של מאגר אפליקציות לבידוד.)

Internet Information Services 6.0 ?(Windows Server 2003 SP2)

  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית מימין, הרחב את הצומת של השרת הנוכחי.
  3. לחץ באמצעות לחצן העכבר הימני על מאגרי אפליקציות, לחץ על חדש ולאחר מכן לחץ על מאגר אפליקציות.
  4. הזן שם ייחודי למאגר האפליקציות החדש ולאחר מכן לחץ על אישור.
  5. הרחב את הצומת אתרי אינטרנט.
  6. לחץ באמצעות לחצן העכבר הימני על אתר היעד ולאחר מכן לחץ על מאפיינים.
  7. לחץ על הכרטיסייה ספרייה ראשית.
  8. בשדה מאגר אפליקציות בחלק התחתון של תיבת הדו-שיח, בחר את מאגר האפליקציות החדש.
  9. לחץ על אישור.

Internet Information Services 7 ?(Windows Vista SP2 ו- Windows Server 2008 SP1) ו- Internet Information Services 7.5 ?(Windows 7 ו- Windows Server 2008 R2)

לאחר שתבצע את השלבים שבסעיף "כיצד למקם אפליקציות באתר IIS נפרדים", האתר החדש ממוקם באופן אוטומטי במאגר אפליקציות חדש ונפרד. עם זאת, אם עליך להגדיר אתר קיים כדי שישתמש במאגר אפליקציות חדש ונפרד, בצע את הפעולות הבאות:
  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית חיבורים, הרחב את הצומת של השרת הנוכחי.
  3. בחר בצומת מאגרי אפליקציות.
  4. בחלונית פעולות, לחץ על הקישור הוסף מאגר אפליקציות.
  5. הזן שם ייחודי עבור מאגר האפליקציות החדש ולאחר מכן בחר גרסת יעד של ?.NET Framework ומצב קו צינור.
  6. לחץ על אישור. מאגר האפליקציות החדש מוצג ברשימה.
  7. בחלונית חיבורים, הרחב את הצומת אתרים.
  8. בחר את האתר שברצונך להעביר למאגר האפליקציות שיצרת קודם לכן בפרוצדורה זו.
  9. בחלונית פעולות, לחץ על הקישור הגדרות בסיסיות.
  10. בתיבת הדו-שיח ערוך אתר, לחץ על בחר.
  11. ברשימה מאגר אפליקציות, בחר את מאגר האפליקציות שיצרת קודם לכן.
  12. לחץ על אישור.
בתיבת הדו-שיח ערוך אתר, לחץ על אישור.

כיצד להגדיר מאגרי אפליקציות לבידוד (זהות תהליך)

מאגרי אפליקציות מארחים אפליקציות ואתרים בתהליך Windows (או תהליכים). הזהות שתחתיה התהליך פועל ניתנת להגדרה. בסביבת אירוח משותפת צריכה להיות זהות נפרדת לכל אפליקציה. כך ניתן לוודא שכל אפליקציה פועלת בהקשר של חשבון ייחודי. כך מתאפשר בידוד נכון באמצעות רשימות בקרת גישה לפי שיקול דעת (DACL) ותכונות בידוד תהליכים מובנות של מערכת ההפעלה הבסיסית. כדי ליצור חשבון משתמש ולאחר מכן להקצות מאגר אפליקציות שישתמש בחשבון זה, בצע את הפעולות הבאות.

Internet Information Services 6.0 ?(Windows Server 2003 SP2)

יצירת חשבון משתמש מקומי לשימוש כזהות של מאגר האפליקציות
  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית הימנית, הרחב את משתמשים וקבוצות מקומיים.
  3. לחץ באמצעות לחצן העכבר הימני על הצומת משתמשים ולאחר מכן לחץ על משתמש חדש.
  4. הזן שם ייחודי וסיסמה חזקה עבור חשבון המשתמש החדש.
  5. לחץ ונקה את תיבת הסימון המשתמש חייב לשנות את הסיסמה בכניסה הבאה.
  6. סמן את תיבת הסימון המשתמש אינו יכול לשנות את הסיסמה.
  7. לחץ על צור ולאחר מכן לחץ על סגור.
  8. בחלונית הימנית, בחר בצומת משתמשים. החשבון החדש מופיע ברשימה.
הגדרת מאגר האפליקציות להשתמש בחשבון המשתמש המקומי החדש
  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית מימין, הרחב את הצומת של השרת הנוכחי.
  3. הרחב את הצומת מאגרי אפליקציות.
  4. לחץ באמצעות לחצן העכבר הימני על מאגר האפליקציות המהווה יעד ולאחר מכן לחץ על מאפיינים.
  5. לחץ על הכרטיסייה זהות.
  6. בחר בלחצן האפשרות ניתן להגדרה.
  7. הזן את שם המשתמש ואת הסיסמה של החשבון החדש.
  8. לחץ על אישור.
  9. הזן שוב את הסיסמה בתיבת הדו-שיח אשר סיסמה ולאחר מכן לחץ על אישור.

Internet Information Services 7 ו- 7.5 (Windows Vista SP2, ?Windows Server 2008 SP1, ?Windows 7 ו- Windows Server 2008 R2)

  1. פתח את מנהל Internet Information Services ?(IIS).
  2. בחלונית חיבורים, הרחב את הצומת של השרת הנוכחי.
  3. בחר בצומת מאגרי אפליקציות.
  4. בחר את מאגר האפליקציות המהווה יעד.
  5. בחלונית פעולות, לחץ על הקישור הגדרות מתקדמות.
  6. במקטע מצב תהליך, הגדרת את המאפיין זהות ל- ApplicationPoolIdentity. הגדרה זו יוצרת זהות ייחודית עבור מאגר אפליקציות זה באופן אוטומטי. בסעיפים הבאים תוכל להשתמש בזהות ייחודית זו כדי להגדיר רשימות בקרת גישה לפי שיקול דעת (DACL) במיקומי הקבצים שאליהם דרושה לאפליקציה גישה.
  7. לחץ על אישור.

כיצד להגדיר רשימות DACL במיקומי תוכן של אפליקציות

רשימת בקרת הגישה לפי שיקול דעת (DACL) היא רשימה של הרשאות המשויכות לאובייקט ושניתן להשתמש בה כדי לשלוט בגישה לאובייקט. השימוש ברשימות DACL כדי להגביל את הגישה לתוכן של אפליקציות עוזר לחזק את הבידוד בין אתרים המתארחים באותו שרת אינטרנט. לקבלת מידע נוסף על רשימות ACL וזהויות IIS, ראה תוכן מאובטח ב- IIS באמצעות רשימות ACL של מערכת קבצים

כל הגירסאות של IIS

  1. פתח את תיקיית הבסיס של תוכן האתר בשורת פקודה או ב- Windows Explorer.
  2. השתמש באחת מהשיטות הבאות להסיר ערכים עבור גישה שאינה של מנהל מערכת למיקום זה. (כולל הקבוצה 'משתמשים'.)
    • ב- Windows Explorer, לחץ באמצעות לחצן העכבר הימני על התיקייה, בחר מאפיינים, לחץ על הכרטיסייה אבטחה ולאחר מכן שנה את רשימת בקרת הגישה.
    • בשורת פקודה, השתמש בתכנית השירות icacls.exe (או cacls.exe בגירסאות ישנות יותר של מערכת ההפעלה Windows) כדי לשנות את רשימת בקרת הגישה.
  3. הוסף ערך חדש לזהות התהליך שבחרת עבור האתר.
  4. תן לזהות החדשה גישת קריאה וביצוע לתיקייה.
אם יש תיקיות מסוימות הדורשות הרשאות כתיבה על ידי האפליקציה (לדוגמה, תיקייה "העלאות"), בצע את הפעולות הבאות:

Internet Information Services 6.0 ?(Windows Server 2003 SP2)

  1. ב- Windows Explorer, לחץ באמצעות לחצן העכבר הימני על התיקייה, בחר מאפיינים, לחץ על הכרטיסייה אבטחה והוסף שנה גישה עבור זהות התהליך.
  2. לגבי תיקיות המכילות תוכן סטטי (תמונות, קובצי טקסט וכדומה), בצע את הפעולות הבאות:
    1. פתח את מנהל Internet Information Services ?(IIS).
    2. בחלונית הימנית, לחץ באמצעות לחצן העכבר הימני על שם התיקייה המתאימה ולאחר מכן לחץ על מאפיינים.
    3. לחץ על הכרטיסייה ספרייה.
    4. ברשימה הרשאות ביצוע, בחר ללא.

Internet Information Services 7 ו- 7.5 (Windows Vista SP2, ?Windows Server 2008 SP1, ?Windows 7 ו- Windows Server 2008 R2)

  1. ב- Windows Explorer, לחץ באמצעות לחצן העכבר הימני על התיקייה, בחר מאפיינים, לחץ על הכרטיסייה אבטחה והוסף שנה גישה עבור זהות התהליך.
  2. לגבי תיקיות שיכילו תוכן סטטי (תמונות, קובצי טקסט וכדומה), הוסף ערך קובץ "web.config" עבור המיקום שאינו מתיר הרשאת קובץ Script בהגדרה accessPolicy:
    <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>

כיצד להגדיר מיקום זמני של תיקיית קובצי ASP.NET וכיצד להגדיר רשימות DACL לכל אתר

ASP.NET דורש מיקום בשרת לאחסון נתונים זמניים כגון קבצים שעברו הידור. בדרך כלל המיקום הוא התיקייה 'קובצי ASP.NET זמניים'. כברירת מחדל, תיקייה זו נמצאת מתחת לתיקייה שבה מותקן ?.NET Framework הקצאת מיקום זמני שונה לכל אתר ואבטחת התיקייה באופן נפרד בהתאם עוזרת לחזק את הבידוד בין אתרים המתארחים באותו שרת אינטרנט. לקבלת מידע נוסף על התיקייה 'קובצי ASP.NET זמניים', ראה הבנת ההידור הדינמי של ASP.NET.

כיצד להגדיר מיקום שונה לתיקייה 'קובצי ASP.NET זמניים' עבור כל אתר

  1. צור תיקייה חדשה עבור כל אתר כדי לאחסן קובצי ASP.NET זמניים עבור אתר זה. עדיף להשתמש בכונן שאינו חלק מהמערכת לאחסון הקבצים הזמניים.
  2. בקובץ הבסיס web.config או applicationHost.config של השרת, כלול הגדרה שתפנה למיקום של התיקייה החדשה עבור אתר מסוים זה באמצעות הרכיב <location>, כמו כאן:
    <configuration> <location path="path"> <system.web> <compilation tempDirectory="temp-files-path" /> </system.web> </location> <!-- וכך האלה --> </configuration>

כיצד להגדיר רשימות DACL מתאימות במיקום התיקייה 'קובצי ASP.NET זמניים'

  1. השתמש בשורת הפקודה או ב- Windows Explorer כדי להסיר הרשאות לגישה של משתמש שאינו מנהל מערכת למיקום זה. (כולל הקבוצה 'משתמשים'.)
  2. הוסף ערך חדש לזהות התהליך שבחרת עבור אתר זה קודם לכן, ולאחר מכן תן לזהות זו גישת שינוי לתיקייה.

כיצד להסיר נתוני תצורה רגישים מקובצי תצורת בסיס

קובצי web.config של אפליקציה נמצאים בתיקיית התוכן של האפליקציה שמקבלת שירות. אף ש- ASP.NET לא ישרת את קובץ web.config של האפליקציה, כשאפשרי, עדיף לשים מידע רגיש מבחינת אבטחה כגון הגדרות מפתח מחשב ומחרוזות חיבורים בקובץ תצורה שנמצא מחוץ למיקום האפליקציה. פעולה זו מוסיפה הגנה מפני חשיפת מידע.

Internet Information Services 6.0 ?(Windows Server 2003 SP2)

אחסון מידע תצורה רגיש מבחינת אבטחה בקובץ הבסיס web.config אינה אפשרות טובה לבידוד נתונים בין אתרים שונים, כיוון שלכל האתרים יש גישת קריאה לקובץ זה. לפיכך, ב- IIS 6 עליך לאחסן תצורה רגישה בקובץ web.config של האפליקציה. פעולה זו מאפשרת לאתרים לבודד תצורה רגישה זה מזה. במקרה זה, האפליקציה שלך תסתמך על ההגנות של ASP.NET כדי למנוע מקובץ web.config של האפליקציה לקבל שירות וכדי לוודא שמידע רגיש אינו נחשף.

Internet Information Services 7 ו- 7.5 (Windows Vista SP2, ?Windows Server 2008 SP1, ?Windows 7 ו- Windows Server 2008 R2)

עבור IIS 7 וגירסאות חדשות יותר, העבר את התצורה הרגישה שבקובץ applicationHost.config של IIS אל רכיב <location> שמשייך את התצורה לאתר שעליו היא חלה. לקבלת מידע נוסף, ראה כיצד להשתמש בנעילה בתצורת IIS 7.0. Microsoft מודה לאנשים הבאים על העבודה איתנו כדי לעזור לנו להגן על לקוחות:
הערה זהו מאמר "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע הכלול במסמך זה מסופק כפי שהוא בתגובה לבעיות שצצות. לאור הקצב המהיר של פרסום החומרים, ייתכן שהחומרים יכללו שגיאות הקלדה ואנו עשויים לתקן אותם בכל עת, ללא הודעה מוקדמת. למידע על שיקולים אחרים, עיין בתנאי השימוש.

מאפיינים

Article ID: 2698981 - Last Review: יום חמישי 07 יוני 2012 - Revision: 1.0
המידע במאמר זה חל על:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 1.1 Service Pack 1
  • Microsoft .NET Framework 1.0 Service Pack 3
מילות מפתח 
atdownload kbinfo kbexpertiseinter kbsecurity KB2698981

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com