L'attendibilitā parziale ASP.NET non garantisce l'isolamento delle applicazioni

Traduzione articoli Traduzione articoli
Identificativo articolo: 2698981 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

ASP.NET consente agli amministratori di ospitare applicazioni in modalitā di attendibilitā parziale come attendibilitā media. Consente inoltre la configurazione dei livelli di attendibilitā parziale personalizzati mediante i file dei criteri personalizzati. Per ulteriori informazioni sull'utilizzo dell'attendibilitā media in ASP.NET 2.0, visitare la seguente pagina Web MSDN (Microsoft Developer Network):
Procedura: utilizzare l'attendibilitā media in ASP.NET 2.0
In precedenza č stata descritta l'attendibilitā parziale ASP.NET come meccanismo per imporre l'isolamento delle applicazioni in un ambiente di hosting condiviso nel quale pių applicazioni che dispongono di diversi livelli di affidabilitā vengono ospitati nello stesso server Web. Microsoft sta aggiornando le indicazioni relative a questo argomento per comunicare che l'esecuzione di un'applicazione del framework della pagina ASP.NET in modalitā di isolamento parziale non garantisce l'isolamento completo da altre applicazioni che sono in esecuzione nello stesso processo o nello stesso computer.

La configurazione delle applicazioni del framework della pagina ASP.NET per l'esecuzione in processi separati con privilegi minimi (mediante l'utilizzo di pool di applicazioni singoli) č la procedura consigliata per garantire l'isolamento da altre applicazioni del framework della pagina ASP.NET nello stesso server Web. Nella seguente sezione vengono fornite informazioni dettagliate su come configurare le applicazioni per l'isolamento. Microsoft sta aggiornando altra documentazione per riflettere le modifiche nei criteri descritti in questo articolo.

Informazioni

Gli amministratori del server devono applicare le linee guida fornite in questo articolo per assicurare che le applicazioni siano isolate in ambienti di hosting condivisi. Queste linee guida si applicano ad ASP.NET hosting su Windows Server 2003 SP2 e versioni successive. Le linee guida riguardano Internet Information Services (IIS) da 6.0 a 7.5.

Molte attivitā descritte possono essere automatizzate tramite lo strumento della riga di comando IIS AppCmd.exe in IIS 7 e 7.5 e tramite gli script di amministrazione IIS in IIS 6.0.

Come collocare le applicazioni in siti IIS separati

In un ambiente di hosting condiviso, le applicazioni devono essere collocate in siti IIS separati. La configurazione č isolata meglio tra le applicazioni quando vengono ospitate in siti separati. Inoltre, l'host .NET Framework CLR verrā separato. In questo modo viene fornito isolamento aggiuntivo.

Per collocare ogni applicazione in un sito separato, attenersi alla seguente procedura:

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro di sinistra, espandere il nodo per il server corrente.
  3. Fare clic con il pulsante destro del mouse sul nodo Siti Web, scegliere Nuovo, quindi Sito Web.
  4. Scegliere Avanti.
  5. Immettere un nome univoco per il nuovo sito Web, quindi fare clic su Avanti.
  6. Configurare i binding di sito per l'ambiente di hosting.
  7. Immettere il percorso fisico della cartella in cui sono archiviati i file dell'applicazione.
  8. Selezionare la casella di controllo Esecuzione script (ad esempio, ASP), quindi scegliere Avanti.
  9. Scegliere Fine. Il nuovo sito viene visualizzato nel nodo Siti Web.

Internet Information Services 7 (Windows Vista SP2 e Windows Server 2008 SP1) e Internet Information Services 7.5 (Windows 7 e Windows Server 2008 R2)

  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro Connessioni, espandere il nodo per il server corrente.
  3. Selezionare il nodo Siti, quindi fare clic sul collegamento Aggiungi sito Web nel riquadro Azioni.
  4. Nella casella di dialogo Aggiungi sito Web, immettere un nome univoco per il nuovo sito Web, quindi immettere il percorso fisico della cartella in cui sono archiviati i file dell'applicazione. Per impostazione predefinita, viene creato un nuovo pool di applicazioni con lo stesso nome del sito e il sito viene configurato per utilizzare questo pool di applicazioni. Si tratta della configurazione consigliata.
  5. Configurare i binding di sito per l'ambiente di hosting.
  6. Fare clic per deselezionare la casella di controllo Avvia il sito Web immediatamente per assicurarsi che il sito non sia disponibile finché le linee guida dell'isolamento qui descritte non vengano completate.
  7. Scegliere OK. Il sito configurato viene visualizzato nel nodo Siti nel riquadro Connessioni.

Come collocare i siti in pool di applicazioni separati

In un ambiente di hosting condiviso, le applicazioni devono essere collocate in pool di applicazioni separati. In questo modo le applicazioni vengono isolate in processi del sistema operativo separati con identitā univoche. Questo fornisce un livello di isolamento da un sito a un altro. Nella sezione seguente viene descritto come configurare le identitā di pool di applicazioni per l'isolamento.

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro di sinistra, espandere il nodo per il server corrente.
  3. Fare clic con il pulsante destro del mouse su Pool di applicazioni, scegliere Nuovo, quindi Pool di applicazioni.
  4. Immettere un nome univoco per il nuovo pool di applicazioni, quindi fare clic su OK.
  5. Espandere il nodo Siti Web.
  6. Fare clic con il pulsante destro del mouse sul sito Web di destinazione, quindi scegliere Proprietā.
  7. Scegliere la scheda Home Directory.
  8. Nel campo Pool di applicazioni nella parte inferiore della finestra di dialogo, selezionare il nuovo pool di applicazioni.
  9. Scegliere OK.

Internet Information Services 7 (Windows Vista SP2 e Windows Server 2008 SP1) e Internet Information Services 7.5 (Windows 7 e Windows Server 2008 R2)

Una volta completata la procedura descritta nella sezione "Come collocare le applicazioni in siti IIS separati", il nuovo sito viene automaticamente collocato in un nuovo pool di applicazioni separato. Tuttavia, se č necessario configurare un sito esistente per utilizzare un nuovo pool di applicazioni separato, attenersi alla seguente procedura:
  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro Connessioni, espandere il nodo per il server corrente.
  3. Selezionare il nodo Pool di applicazioni.
  4. Nel riquadro Azioni, fare clic sul collegamento Aggiungi pool di applicazioni.
  5. Immettere un nome univoco per il nuovo pool di applicazioni, quindi selezionare una versione .NET Framework di destinazione e una modalitā pipeline.
  6. Scegliere OK. Il nuovo pool di applicazioni viene visualizzato nell'elenco.
  7. Nel riquadro Connessioni, espandere il nodo Siti.
  8. Selezionare il sito che si desidera spostare nel pool di applicazioni creato precedentemente in questa procedura.
  9. Nel riquadro Azioni, fare clic sul collegamento Impostazioni di base.
  10. Nella finestra di dialogo Modifica sito, fare clic su Seleziona.
  11. Nell'elenco Pool di applicazioni, selezionare il pool di applicazioni creato in precedenza.
  12. Scegliere OK.
Nella finestra di dialogo Modifica sito, fare clic su OK.

Come configurare pool di applicazioni per isolamento (identitā del processo)

I pool di applicazioni ospitano applicazioni e siti nei processi Windows. Č possibile configurare l'identitā con cui viene eseguito il processo. In un ambiente di hosting condiviso, deve essere presente un'identitā separata per ogni applicazione. In questo modo si assicura che ogni applicazione č in esecuzione nel contesto di un account univoco. Questo consente il corretto isolamento mediante gli elenchi di controllo di accesso discrezionale (DACL) del file di sistema e le funzionalitā integrate dell'isolamento del processo del relativo sistema operativo. Per creare un account utente e quindi assegnare un pool di applicazioni per utilizzare l'account, attenersi alla seguente procedura.

Internet Information Services 6.0 (Windows Server 2003 SP2)

Creare un account utente locale per utilizzare come identitā del pool di applicazioni
  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro di sinistra, espandere Utenti e gruppi locali.
  3. Fare clic con il pulsante destro del mouse sul nodo Utenti e scegliere Nuovo utente.
  4. Immettere un nome univoco e una password complessa per il nuovo account utente.
  5. Deselezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo.
  6. Selezionare la casella di controllo Cambiamento password non consentito.
  7. Scegliere Crea, quindi Chiudi.
  8. Nel riquadro di sinistra, selezionare il nodo Utenti. Il nuovo account viene visualizzato nell'elenco.
Configurare il pool di applicazioni per utilizzare il nuovo account utente locale
  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro di sinistra, espandere il nodo per il server corrente.
  3. Espandere il nodo Pool di applicazioni.
  4. Fare clic con il pulsante destro del mouse sul pool di applicazioni di destinazione, quindi scegliere Proprietā.
  5. Fare clic sulla scheda Identitā.
  6. Selezionare il pulsante di opzione Configurabile.
  7. Immettere il nome utente e la password del nuovo account.
  8. Scegliere OK.
  9. Immettere nuovamente la password nella finestra di dialogo Conferma password, quindi scegliere OK.

Internet Information Services 7 e 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 e Windows Server 2008 R2)

  1. Aprire Gestione Internet Information Services (IIS).
  2. Nel riquadro Connessioni, espandere il nodo per il server corrente.
  3. Selezionare il nodo Pool di applicazioni.
  4. Selezionare il pool di applicazioni di destinazione.
  5. Nel riquadro Azioni, fare clic sul collegamento Impostazioni avanzate.
  6. Nella sezione Modello di processo, impostare la proprietā Identitā su ApplicationPoolIdentity. Questa impostazione consente di creare automaticamente un'identitā univoca per il pool di applicazioni. Nelle seguenti sezioni, puoi utilizzare questa identitā univoca per impostare gli elenchi di controllo di accesso discrezionale (DACL) nei percorsi dei file ai quali l'applicazione deve accedere.
  7. Scegliere OK.

Come configurare DACL in percorsi del contenuto delle applicazioni

L'elenco di controllo di accesso discrezionale č un elenco delle autorizzazioni associate a un oggetto da poter utilizzare per controllare l'accesso all'oggetto. L'utilizzo di DACL per limitare l'accesso al contenuto delle applicazioni consente di potenziare l'isolamento tra siti ospitati nello stesso server Web. Per ulteriori informazioni su ACL e identitā IIS, vedere Contenuto sicuro in IIS tramite ACL del file system

Tutte le versioni di IIS

  1. Aprire la cartella radice per il contenuto del sito al prompt dei comandi o in Windows Explorer.
  2. Utilizzare uno dei seguenti metodi per rimuovere le voci per ogni accesso utente non amministratore in questo percorso. Include il gruppo Utenti.
    • In Windows Explorer, fare clic con il pulsante destro del mouse sulla cartella, selezionare Proprietā, scegliere la scheda Sicurezza, quindi modificare l'elenco di controllo di accesso.
    • Al prompt dei comandi, utilizzare l'utilitā icacls.exe (o cacls.exe in versioni precedenti del sistema operativo di Windows) per modificare l'elenco di controllo di accesso.
  3. Aggiungere una nuova voce per l'identitā del processo selezionato per il sito.
  4. Assegnare alla nuova identitā l'accesso Lettura/esecuzione alla cartella.
Se non sono presenti cartelle specifiche che richiedono autorizzazioni di scrittura dall'applicazione (ad esempio, una cartella "Caricamenti"), attenersi alla seguente procedura:

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. In Windows Explorer, fare clic con il pulsante destro del mouse sulla cartella, selezionare Proprietā, scegliere la scheda Sicurezza, quindi aggiungere l'accesso Modifica per l'identitā del processo.
  2. Per le cartelle contenenti contenuto statico (immagini, file di testo e cosė via), attenersi alla seguente procedura:
    1. Aprire Gestione Internet Information Services (IIS).
    2. Nel riquadro di sinistra, fare clic con il pulsante destro del mouse sul nome della cartella appropriata, quindi scegliere Proprietā.
    3. Scegliere la scheda Directory.
    4. Nell'elenco Autorizzazioni di esecuzione, selezionare Nessuna.

Internet Information Services 7 e 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 e Windows Server 2008 R2)

  1. In Windows Explorer, fare clic con il pulsante destro del mouse sulla cartella, selezionare Proprietā, scegliere la scheda Sicurezza, quindi aggiungere l'accesso Modifica per l'identitā del processo.
  2. Per le cartelle contenenti contenuto statico (immagini, file di testo e cosė via), aggiungere una voce di file "web.config" per il percorso che impedisce l'autorizzazione Script nell'impostazione accessPolicy:
    <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>

Come configurare un percorso della cartella dei file temporanei di ASP.NET e come impostare DACL per sito

ASP.NET richiede un percorso nel server per archiviare i dati temporanei come file compilati. In genere si tratta della cartella dei file temporanei di ASP.NET. Per impostazione predefinita, questa cartella si trova nella cartella in cui č installato .NET Framework. Allocare un percorso temporaneo differente per ogni sito e proteggere la cartella individualmente e in modo appropriato consente di potenziare l'isolamento tra siti ospitati nello stesso server Web. Per ulteriori informazioni sulla cartella dei file temporanei di ASP.NET, vedere Informazioni sulla compilazione dinamica di ASP.NET.

Come configurare un percorso differente della cartella dei file temporanei di ASP.NET per ogni sito

  1. Creare una nuova cartella per ogni sito per archiviare la cartella dei file temporanei di ASP.NET del sito. Č preferibile utilizzare un'unitā non di sistema per archiviare i file temporanei.
  2. Nel file principale web.config o applicationHost.config del server, č inclusa un'impostazione per scegliere il percorso della nuova cartella per quel determinato sito tramite un elemento <percorso>, come questo:
    <configurazione> <percorso="path"> <system.web> <compilazione tempDirectory="temp-files-path" /> </system.web> </location> <!-- e cosė via --> </configuration>

Come impostare DACL appropriati per il percorso della cartella dei file temporanei di ASP.NET

  1. Utilizzare un prompt dei comandi o Esplora risorse per rimuovere le autorizzazioni di accesso di utenti non amministratori in questa posizione. Include il gruppo Utenti.
  2. Aggiungere una nuova voce per l'identitā del processo selezionata in precedenza per questo sito, quindi consentire all'identitā l'accesso Modifica per la cartella.

Come rimuovere dati riservati dai file di configurazione principali

I file di applicazione web.config si trovano nella cartella del contenuto per l'applicazione servita. Anche se ASP.NET non serve il file di applicazione web.config, quando č pratico, č preferibile inserire le informazioni relative alla sicurezza come le impostazioni di chiave macchina e le stringhe di connessione in un file di configurazione situato all'esterno del percorso dell'applicazione. In questo modo viene aggiunta una misura difensiva contro la divulgazione di informazioni.

Internet Information Services 6.0 (Windows Server 2003 SP2)

Archiviare informazioni di configurazione relative alla sicurezza nel file principale web.config non č consigliabile per l'isolamento dei dati tra diversi siti, poiché tutti i siti dispongono dell'accesso di lettura per il file. Pertanto, in IIS 6 č necessario archiviare la configurazione riservata nel file di applicazione web.config. Questo consente ai siti di isolare una configurazione riservata da un'altra. In questo caso, l'applicazione si basa sulle difese di ASP.NET per impedire che il file di configurazione web.config venga servito e per prevenire la divulgazione di informazioni riservate.

Internet Information Services 7 e 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 e Windows Server 2008 R2)

Per IIS 7 e versioni successive, spostare la configurazione riservata che si trova nel file applicationHost.config di IIS in un elemento <percorso> che collega la configurazione al sito al quale si applica. Per ulteriori informazioni, vedere Come utilizzare il blocco nella configurazione di IIS 7.0. Microsoft ringrazia le seguenti persone per aver collaborato al fine di proteggere i clienti:
Nota: questo č un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "cosė come sono" in risposta alle problematiche riscontrate. A causa della rapiditā con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

Proprietā

Identificativo articolo: 2698981 - Ultima modifica: giovedė 7 giugno 2012 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 1.1 Service Pack 1
  • Microsoft .NET Framework 1.0 Service Pack 3
Chiavi: 
atdownload kbinfo kbexpertiseinter kbsecurity KB2698981
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com