Az ASP.NET részleges megbízhatósági mód nem garantálja az alkalmazások elkülönítését

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2698981 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

Az ASP.NET lehetővé teszi a rendszergazdák számára alkalmazások üzemeltetését olyan részleges megbízhatósági üzemmódokban, mint a közepes megbízhatóság. Emellett személyre szabott házirendfájlok használatával egyéni részleges megbízhatósági szintek beállítását teszi lehetővé. A Microsoft Developer Network (MSDN) alábbi weblapján további információk állnak rendelkezésre a közepes megbízhatósági szint használatával kapcsolatban az ASP.NET 2.0 keretrendszerben: Az előzőekben az ASP.NET részleges megbízhatósági módját olyan módszerként mutattuk be, amellyel az alkalmazások elkülöníthetők egy megosztott üzemeltetési környezetben, amelyben ugyanazon webkiszolgáló különböző megbízhatósági szintű alkalmazásokat üzemeltet. Az ezzel kapcsolatos útmutatók folyamatos frissítésével rávilágítunk arra, hogy egy ASP.NET oldal-keretrendszer alkalmazás részleges megbízhatósági módban történő futtatása nem garantál teljes elkülönítést az ugyanazon folyamaton vagy számítógépen futó egyéb alkalmazásoktól. 

Az ugyanazon webkiszolgálón futó többi ASP.NET oldal-keretrendszer alkalmazástól való elkülönítés biztosításához az ajánlott eljárás az ASP.NET oldal-keretrendszer alkalmazásainak beállítása különálló, alacsony jogosultsági szintű folyamatokban történő futtatásra (külön alkalmazáskészletek használatával). A következő szakasz az alkalmazások elkülönítésre való beállításával kapcsolatos részleteket tartalmaz. Az egyéb dokumentációt is frissítjük annak érdekében, hogy tükrözze a házirendek jelen cikkben ismertetett változásait. 

További információ

A kiszolgáló-rendszergazdák a cikkben található irányelvek alkalmazásával biztosíthatják az alkalmazások elkülönítését a megosztott üzemeltetési környezetekben. Ezek az irányelvek az ASP.NET Windows Server 2003 SP2 vagy újabb rendszereken történő üzemeltetésére vonatkoznak. Az irányelvek a Microsoft Internet Information Services (IIS) 6.0–7.5-ös verzióira érvényesek.

Az itt ismertetett feladatok közül az IIS 7-es és 7.5-ös verzióiban sok automatizálható az AppCmd.exe IIS parancssori eszköz segítségével, valamint az IIS 6.0 IIS felügyeleti parancsfájlok lehetőségének használatával.

Alkalmazások elhelyezése különböző IIS-helyeken

A megosztott üzemeltetési környezetekben az alkalmazásokat különálló IIS-helyeken kell elhelyezni. A különböző alkalmazások konfigurációja hatékonyabban elkülöníthető, ha különböző helyek üzemeltetik azokat. Emellett a .NET-keretrendszerhez tartozó CLR-állomás is elkülönül. Ez az adott szinten további elkülönítést biztosít.

Ha minden alkalmazást külön helyen kíván elhelyezni, kövesse az alábbi lépéseket:

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A bal oldali panelen bontsa ki az aktuális kiszolgáló csomópontját.
  3. A jobb gombbal kattintson a Web Sites (Webhelyek) csomópontra, válassza a New (Új), majd a Web Site (Webhely) parancsot.
  4. Kattintson a Next (Tovább) gombra.
  5. Adjon meg egy egyedi nevet az új webhelynek, majd kattintson a Next (Tovább) gombra.
  6. Állítsa be az üzemeltetési környezet helykötéseit.
  7. Adja meg az alkalmazás fájljait tároló mappa fizikai elérési útját.
  8. Jelölje be a Run scripts (such as ASP) Parancsfájlok futtatása (pl. ASP) jelölőnégyzetet, majd kattintson a Next (Tovább) gombra.
  9. Kattintson a Finish (Befejezés) gombra. Az új hely megjelenik a Web Sites (Webhelyek) csomópont alatt.

Internet Information Services 7 (Windows Vista SP2 és Windows Server 2008 SP1) és Internet Services 7.5 (Windows 7 és Windows Server 2008 R2)

  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A Connections (Kapcsolatok) panelen bontsa ki az aktuális kiszolgáló csomópontját.
  3. Jelölje ki a Sites (Helyek) csomópontot, majd kattintson az Actions (Műveletek) panelen található Add Web Site (Webhely hozzáadása) hivatkozásra.
  4. Az Add Web Site (Webhely hozzáadása) párbeszédpanelen adja meg az új webhely egyedi nevét, majd az alkalmazás fájljait tároló mappa fizikai elérési útját. Alapértelmezés szerint létrejön egy új alkalmazáskészlet, amelynek neve megegyezik a hely nevével, és a hely az alkalmazáskészlet használatára van beállítva. (Ez az ajánlott konfiguráció.)
  5. Állítsa be az üzemeltetési környezet helykötéseit.
  6. Törölje a Start Web site immediately (Webhely azonnali indítása) jelölőnégyzet jelölését annak biztosítása érdekében, hogy a webhely ne legyen elérhető, amíg nem teljesülnek az itt ismertetett elkülönítési irányelvek.
  7. Kattintson az OK gombra. A beállított hely megjelenik a Connections (Kapcsolatok) panel Sites (Helyek) csomópontja alatt.

Helyek elhelyezése különböző alkalmazáskészletekben

A megosztott üzemeltetési környezetekben az alkalmazásokat különálló alkalmazáskészletekbe kell elhelyezni. Ezáltal az alkalmazások különböző, egyedi identitással rendelkező operációsrendszer-folyamatokba különíthetők el. Ez bizonyos szintű elszigeteltséget biztosít a helyek között. (A következő szakasz az alkalmazáskészletek identitásának elkülönítésre való beállítását ismerteti.)

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A bal oldali panelen bontsa ki az aktuális kiszolgáló csomópontját.
  3. Kattintson a jobb gombbal az Application Pools (Alkalmazáskészletek), majd a New (Új), végül az Application Pool (Alkalmazáskészlet) lehetőségre.
  4. Adjon meg egy egyedi nevet az új alkalmazáskészletnek, majd kattintson az OK gombra.
  5. Bontsa ki a Web Sites (Webhelyek) csomópontot.
  6. Kattintson a jobb gombbal a beállítani kívánt webhelyre, majd kattintson a Properties (Tulajdonságok) lehetőségre.
  7. Kattintson a Home Directory (Kezdőkönyvtár) fülre.
  8. A párbeszédpanel alján található Application pool (Alkalmazáskészlet) mezőben jelölje ki az új alkalmazáskészletet.
  9. Kattintson az OK gombra.

Internet Information Services 7 (Windows Vista SP2 és Windows Server 2008 SP1) és Internet Services 7.5 (Windows 7 és Windows Server 2008 R2)

Az „Alkalmazások elhelyezése különböző IIS-helyeken” szakasz lépéseinek végrehajtása után az új hely automatikusan egy új, különálló alkalmazáskészletbe kerül. Ha azonban egy meglévő helyet kell egy új, különálló alkalmazáskészlet használatára konfigurálnia, kövesse az alábbi lépéseket: 
  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A Connections (Kapcsolatok) panelen bontsa ki az aktuális kiszolgáló csomópontját.
  3. Jelölje ki az Application Pools (Alkalmazáskészletek) csomópontot.
  4. Az Actions (Műveletek) panelen kattintson az Add Application Pool (Alkalmazáskészlet hozzáadása) hivatkozásra.
  5. Adjon meg egy egyedi nevet az új alkalmazáskészletnek, majd válassza ki a .NET-keretrendszer verzióját és a folyamatkezelési módot.
  6. Kattintson az OK gombra. Az új alkalmazáskészlet megjelenik a listán.
  7. A Connections (Kapcsolatok) panelen bontsa ki a Sites (Helyek) csomópontot.
  8. Jelölje ki az eljárás során korábban létrehozott alkalmazáskészletbe áthelyezni kívánt helyet.
  9. Az Actions (Műveletek) panelen kattintson a Basic Settings (Alapbeállítások) hivatkozásra.
  10. Az Edit Site (Hely szerkesztése) párbeszédpanelen kattintson a Select (Kiválasztás) lehetőségre.
  11. Az Application pool (Alkalmazáskészlet) listán jelölje ki a korábban létrehozott alkalmazáskészletet.
  12. Kattintson az OK gombra.
Az Edit Site (Hely szerkesztése) párbeszédpanelen kattintson az OK gombra.

Alkalmazáskészletek konfigurálása elkülönítésre (folyamatidentitás)

Az alkalmazáskészletek alkalmazásokat és helyeket üzemeltetnek egy vagy több Windows-folyamatban. A folyamat identitása konfigurálható. A megosztott üzemeltetési környezetekben minden alkalmazásnak külön identitással kell rendelkeznie. Ez biztosítja, hogy minden alkalmazás egy egyedi fiók környezetében fut. Így a tulajdonosi hozzáférés-vezérlési listák (DACL) és az operációs rendszer beépített folyamatelkülönítési funkcióinak használatával megfelelő elkülönítés érhető el. Egy felhasználói fiók létrehozásához és az azzal használandó alkalmazáskészlet hozzárendeléséhez kövesse az alábbi lépéseket:

Internet Information Services 6.0 (Windows Server 2003 SP2)

Helyi felhasználói fiók létrehozása az alkalmazáskészlet identitásaként történő használatra
  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A bal oldali panelen bontsa ki a Local Users and Groups (Helyi felhasználók és csoportok) csomópontot.
  3. Kattintson a jobb gombbal a Users (Felhasználók) csomópontra, majd kattintson a New User (Új felhasználó) parancsra.
  4. Adjon meg egy egyedi nevet és egy erős jelszót az új felhasználói fiókhoz.
  5. Törölje a User must change password at next logon (A következő bejelentkezéskor meg kell változtatni a jelszót) jelölőnégyzet jelölését.
  6. Jelölje be User cannot change password (A felhasználó nem módosíthatja a jelszót) jelölőnégyzetet.
  7. Kattintson a Create (Létrehozás), majd a Close (Bezárás) gombra.
  8. A bal oldali panelen válassza a Users (Felhasználók) csomópontot. Az új fiók megjelenik a listán.
Az alkalmazáskészlet beállítása az új helyi felhasználói fiók használatára
  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A bal oldali panelen bontsa ki az aktuális kiszolgáló csomópontját.
  3. Bontsa ki az Application Pools (Alkalmazáskészletek) csomópontot.
  4. Kattintson a jobb gombbal a beállítani kívánt alkalmazáskészletre, majd kattintson a Properties (Tulajdonságok) parancsra.
  5. Kattintson az Identity (Identitás) fülre.
  6. Jelölje be a Configurable (Konfigurálható) választógombot.
  7. Írja be az új fiókhoz tartozó felhasználónevet és jelszót.
  8. Kattintson az OK gombra.
  9. A Confirm Password (Jelszó megerősítése) párbeszédpanelen írja be újból a jelszót, majd kattintson az OK gombra.

Internet Information Services 7 és 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 és Windows Server 2008 R2)

  1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
  2. A Connections (Kapcsolatok) panelen bontsa ki az aktuális kiszolgáló csomópontját.
  3. Jelölje ki az Application Pools (Alkalmazáskészletek) csomópontot.
  4. Jelölje ki ki a beállítani kívánt alkalmazáskészletet.
  5. Az Actions (Műveletek) panelen kattintson az Advanced Settings (Speciális beállítások) hivatkozásra.
  6. A Process Model (Folyamatmodell) területen az Identity (Identitás) tulajdonságot állítsa ApplicationPoolIdentity értékre. Ez a beállítás automatikusan létrehoz egy egyedi identitást az alkalmazáskészlethez. A következő szakaszokban ezen egyedi identitás segítségével állíthatja be a tulajdonosi hozzáférés-vezérkési listát (DACL) az olyan fájlhelyekhez, amelyekhez az alkalmazásnak hozzáférésre van szüksége.
  7. Kattintson az OK gombra.

A tulajdonosi hozzáférés-vezérlési listák (DACL) beállítása az alkalmazástartalom helyéhez

A tulajdonosi hozzáférés-vezérlési lista (DACL) egy engedélylista, amely az objektumhoz van rendelve és annak elérhetőségét szabályozza. Az alkalmazástartalmak hozzáférésének DACL listákkal való korlátozása segít az ugyanazon webkiszolgálón található helyek elkülönítésében. További információ a hozzáférés-vezérlési listákkal és az IIS-identitásokkal kapcsolatban: Tartalom védelme az IIS szolgáltatásokban a fájlrendszer hozzáférés-vezérlési listáival

Az IIS minden verziója esetén

  1. Egy parancssor vagy a Windows Intéző segítségével nyissa meg az oldal tartalmának gyökérmappáját.
  2. A hely nem rendszergazdai hozzáférését engedélyező bejegyzéseket a következő módszerek bármelyikével eltávolíthatja: (Ez a Felhasználók csoportra is vonatkozik.)
    • A Windows Intézőben kattintson a jobb gombbal a mappára, válassza a Tulajdonságok lehetőségre, majd kattintson a Biztonság fülre, és módosítsa a hozzáférés-vezérlési listát.
    • Egy parancssorban használja az icacls.exe segédprogramot (vagy a cacls.exe segédprogramot a Windows operációs rendszer régebbi verziói esetén) a hozzáférés-vezérlési lista módosításához.
  3. Adjon hozzá egy új bejegyzést, amely a helyhez kiválasztott folyamatidentitást tartalmazza.
  4. Adjon az új identitás számára olvasási és végrehajtási hozzáférést a mappához.
Amennyiben bizonyos mappák az alkalmazás írási engedélyeit igénylik (például egy „Feltöltések” mappa), kövesse az alábbi lépéseket:

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. A Windows Intézőben kattintson a jobb gombbal a mappára, válassza a Tulajdonságok lehetőséget, majd kattintson a Biztonság fülre, és adjon Módosítási hozzáférést a folyamatidentitásnak.
  2. Azon mappák esetén, amelyek statikus tartalommal fognak rendelkezni (például képek, szöveges fájlok, egyebek) kövesse az alábbi lépéseket:
    1. Nyissa meg az Internet Information Services (IIS) kezelőjét.
    2. A bal oldali ablaktáblán kattintson a jobb gombbal a megfelelő mappa nevére, majd kattintson a Tulajdonságok parancsra.
    3. Kattintson a Könyvtár fülre.
    4. A Végrehajtási engedélyek listán válassza a Nincs lehetőséget.

Internet Information Services 7 és 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 és Windows Server 2008 R2)

  1. A Windows Intézőben kattintson a jobb gombbal a mappára, válassza a Tulajdonságok lehetőséget, majd kattintson a Biztonság fülre, és adjon Módosítási hozzáférést a folyamatidentitásnak.
  2. Azon mappák esetén, amelyek statikus tartalommal fognak rendelkezni (például képek, szöveges fájlok, egyebek), adjon hozzá egy „web.config” fájlbejegyzést a helyhez, amely esetében nem lehetséges a parancsfájl engedélyezése az accessPolicy beállításban:
    <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>

Az ideiglenes ASP.NET-fájlokat tartalmazó mappa helyének konfigurálása, és a DACL listák beállítása az egyes helyekhez

Az ASP.NET számára szükséges egy hely a kiszolgálón az ideiglenes adatok, például a lefordított fájlok tárolásához. Ez általában a Temporary ASP.NET Files nevű mappa. Ez a mappa alapértelmezés szerint a .NET Keretrendszer telepítési mappája alatt található. Ha minden helyhez külön ideiglenes helyet jelöl ki és külön gondoskodik a mappa biztonságáról, azzal hatékonyabbá teheti az ugyanazon webkiszolgálón található helyek elkülönítését. További információ a Temporary ASP.NET Files mappával kapcsolatban: Az ASP.NET dinamikus fordításának ismertetése.

Különböző mappahelyek beállítása az egyes helyek ideiglenes ASP.NET-fájljaihoz

  1. Hozzon létre egy új mappát minden hely számára az adott hely ideiglenes ASP.NET-fájljainak tárolására. Az ideiglenes fájlok tárolására ajánlott nem rendszermeghajtót használni.
  2. A kiszolgáló legfelső szintű web.config fájljában vagy applicationHost.config fájljában helyezzen el egy beállítást, amely az adott hely új mappájára mutat egy <location> elem használatával, a következő példához hasonló módon:
    <configuration> <location path="path"> <system.web> <compilation tempDirectory="temp-files-path" /> </system.web> </location> <!-- és így tovább --> </configuration>

A megfelelő tulajdonosi hozzáférés-vezérlési listák beállítása a Temporary ASP.NET Files mappa helyéhez

  1. A hely nem rendszergazdai hozzáférési engedélyeinek eltávolításához használjon parancssort vagy a Windows Intézőt. (Ez a Felhasználók csoportra is vonatkozik.)
  2. Adjon hozzá egy új bejegyzést, amely a helyhez kiválasztott folyamatidentitást tartalmazza, majd adjon az identitásnak Módosítási hozzáférést a mappához.

Bizalmas konfigurációs adatok eltávolítása a legfelső szintű konfigurációs fájlokból

Az alkalmazások web.config fájljai a kiszolgált alkalmazás tartalommappájában találhatók. Az ASP.NET nem szolgálja ki a web.config fájlt, azonban a bizalmas információkat, például a számítógépkulcsok beállításait és a kapcsolati karakterláncokat indokolt esetben célszerű olyan konfigurációs fájlban tárolni, amely nem az alkalmazás helyén található. Ez az információk kiszivárgása ellen biztosít védelmet.

Internet Information Services 6.0 (Windows Server 2003 SP2)

A bizalmas konfigurációs információk legfelső szintű web.config fájlban való tárolásával nem szigetelhetőek el megfelelően a különböző helyek adatai, mert ehhez a fájlhoz minden hely rendelkezik olvasási hozzáféréssel. Ezért az IIS 6 használata esetén a bizalmas konfigurációkat az alkalmazás web.config fájljában célszerű tárolni. Ezzel elkülöníthetők egymástól a helyek bizalmas konfigurációi. Ebben az esetben az alkalmazás az ASP.NET védelmével akadályozza meg az alkalmazás web.config fájljának kiszolgálását, illetve így biztosítja, hogy nem szivárognak ki a bizalmas információk.

Internet Information Services 7 és 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 és Windows Server 2008 R2)

Az IIS 7-es és újabb verziók használata esetén az IIS applicationHost.config fájljában található bizalmas konfigurációt helyezze át egy <location> elembe, amely arra helyre állítja be a konfiguráció hatókörét, amelyre vonatkozik. További információ: A zárolás használata az IIS 7.0 konfigurációjában. A Microsoft köszönetét fejezi ki a következő személyeknek az ügyfelek védelmében végzett munkánkhoz nyújtott segítségükért:
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2698981 - Utolsó ellenőrzés: 2012. június 7. - Verziószám: 1.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 1.1 Service Pack 1
  • Microsoft .NET Framework 1.0 Service Pack 3
Kulcsszavak: 
atdownload kbinfo kbexpertiseinter kbsecurity KB2698981
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com