Jak používat nástroj ASP.NET šifrování pověření a řetězců připojení stavu relace

Překlady článku Překlady článku
ID článku: 329290 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek popisuje použití nástroje Aspnet_setreg.exe šifrování pověření a řetězců připojení stavu relace. Microsoft ASP.NET verze 1.0 vyžaduje uložení pověření ve formátu prostého textu v konfiguračních souborů Pokud chcete provést některou z následujících:
  • Změnit identitu pracovního procesu ASP.NET.
  • Zadat identitu zosobnění.
  • Určit připojovací řetězec pro stav relace.
Použít opravu hotfix popsanou v článku znalostní báze Microsoft Knowledge Base 329250 (viz "odkazy „) můžete použít zašifrovaných dat uložených v registru namísto prostého textu v následujících částech konfigurace:
  • < identity userName = heslo = / >
  • < processModel userName = heslo = / >
  • < sessionState stateConnectionString = sqlConnectionString = / >

Úvod

Použít nástroj Aspnet_setreg.exe zašifrovat a uložit tyto hodnoty atributů v registru pod klíčem zabezpečené. Pomocí funkce CryptProtectData k šifrování pověření s příznakem CRYPTPROTECT_LOCAL_MACHINE. Protože kdokoli s přístupem k počítači lze volat CryptUnprotectData, zašifrovaných dat uloženy pod klíčem registru zabezpečené s silné volitelný seznam řízení přístupu (DACL). ASP.NET analyzuje konfigurační soubor, přečte klíč registru zabezpečené a potom použije k dešifrování dat CryptUnprotectData.

Přečte Inetinfo.exe, spustí identitou System < processModel / > oddílu. Čtení klíče registru uložit uživatelské jméno a heslo pro pracovní proces ASP.NET systémový účet musí mít oprávnění ke čtení těchto klíčů.

ASP.NET přečte pracovní proces (Aspnet_wp.exe) < identity / > a < sessionState / > oddíly. Číst tyto klíče registru účtu pracovního procesu musí mít oprávnění ke čtení těchto klíčů. Hostitelem obsahu na Universal Naming Convention (UNC) sdílet, účet, který slouží k přístupu ke sdílené položce UNC musí mít oprávnění ke čtení těchto klíčů.

Podle výchozího nastavení klíče registru, které vytvoří Aspnet_setreg.exe udělit úplné řízení systém, správce a Creator Owner účty. Můžete upravit DACL klíč registru Regedt32.exe. Ujistěte se, že nelze libovolného uživatelům čtení klíče registru.

Restartujte službu IIS

Změny se projeví po restartování Internetová informační služba (IIS). Podle restartování služby IIS spusťte ASP.NET nový pracovní proces. Chcete-li to provést, klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz iisreset a klepněte na tlačítko OK.

Poznámka: Pokud je server, který jste překonfigurován řadič domény, může mít restartujte server.

Další informace

Stažení a spuštění Aspnet_setreg.exe

Na webu služby Stažení softwaru je k dispozici ke stažení následující soubor:

Zmenšit tento obrázekZvětšit tento obrázek
Download
Download the Aspnet_setreq.exe package now.
Datum vydání: 11. dubna 2003

Další informace o stažení souborů podpory společnosti Microsoft v následujícím článku databáze Microsoft Knowledge Base:
119591Jak získat soubory podpory společnosti Microsoft ze serverů služeb online
Microsoft tento soubor zkontroloval na výskyt virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici v den uveřejnění tohoto článku. Soubor je uložený na zabezpečených serverech neumožňujících neoprávněné změny souborů.

Zobrazit všechny dostupné přepínače příkazového řádku a jejich použití, spusťte tento nástroj z příkazového řádku bez jakékoli přepínače příkazového řádku. Pokud jste uložili tento nástroj C:\Tools\, spusťte následující příkaz z příkazového řádku zobrazit všechny dostupné přepínače a pomoci přepínače:
C:\Tools > aspnet_setreg.exe

Použít šifrované atributy v konfiguračním souboru

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows


Poznámka: Tento nástroj vytvoří klíčů registru v podstromu HKEY_LOCAL_MACHINE. Ve výchozím nastavení můžete vytvořit pouze správci klíčů pod tento podstrom. Ujistěte se, že jste přihlášeni jako správce Chcete-li úspěšně vytvořit tyto klíče registru.
  1. Zašifrovat atributů userName a password s <identity> oddílu. (Také to lze provést pro oddíly, které jsou zmíněny v tomto článku). Příkazového řádku zadejte následující příkaz:
    c:\Tools > aspnet_setreg.exe - k: SOFTWARE\MY_SECURE_APP\identity - u: "yourdomainname\username" - p: "heslo"
    Tento příkaz šifruje atributů userName a password, vytvoří klíčů registru v umístění, které zadáte a úložišť atributy v těchto klíčích registru. Tento příkaz také generuje výstup, který určuje, jak změnit soubor web.config nebo Machine.config tak, aby ASP.NET bude číst informace z registru pomocí těchto klíčů.

    Po spuštění tohoto příkazu obdržíte výstup je podobná následující:
    Upravte konfiguraci obsahovat následující:

    userName = "registru: HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG, userName"
    heslo = "Registru: HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG, heslo"

    DACL klíč registru uděluje úplný systém, Administrators a Creator Owner.

    Pokud šifrované pověření pro <identity/> konfigurační oddíl nebo připojení
    řetězec pro <sessionstate/> konfigurační části, zkontrolujte, zda má identita procesu
    Přístup čtení ke klíči registru. Navíc pokud IIS jste nakonfigurovali přístup k obsahu na
    Sdílené složce UNC účet používaný pro přístup ke sdílené položce nutné přístup čtení ke klíči registru.
    Regedt32.exe mohou být použity k zobrazení nebo upravit oprávnění klíče registru.

    Chcete-li zabránit zjišťování může Přejmenujte podklíč registru a hodnoty registru.
  2. Upravit odpovídající konfigurační soubor přejděte na tyto klíče registru. Pokud tyto hodnoty musí být používán <identity> části výsledné <identity> části následujícímu.
    <identity impersonate="true"
    userName="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,userName"
    password="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,password" />
    					
  3. Oprávnění čtení udělit účet procesu Aspnet_wp.exe. Další informace o změně oprávnění pro klíče registru naleznete "použít Regedt32.exe udělit oprávnění pro účet ASP.NET na tyto klíče registru" oddílu.

Slouží k udělení oprávnění pro účet ASP.NET na tyto klíče registru Regedt32.exe

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedt32 a klepněte na tlačítko OK.
  2. Klepněte na tlačítko
    HKEY_LOCAL_MACHINE\SOFTWARE\MY_SECURE_APP\
    podklíč.
  3. V nabídce zabezpečení klepněte na tlačítko oprávnění otevřete dialogové okno oprávnění.

    Microsoft Windows XP nebo Windows Server 2003 klepněte pravým tlačítkem na klíč registru a klepněte na tlačítko oprávnění.
  4. Klepněte na tlačítko Přidat. V dialogovém okně, které otevře, zadejte yourservername \ASPNET(or yourservername\NetWork Service when using Windows Server 2003 (IIS 6.0)) a potom klepněte na tlačítko OK.
  5. Ujistěte se, které jste právě přidali účet má oprávnění číst a potom klepněte na tlačítko OK.
  6. Ukončete program Editor registru.

Odkazy

Další informace o opravě hotfix, která umožňuje použití funkcí, které jsou popsány v tomto článku klepněte na následující číslo článku databáze Microsoft Knowledge Base:
329250Oprava: Silnější pověření pro prvek processModel, identitu a prvek
Poznámka: Oprava popsaná v článku 329250 je k dispozici pouze pro rozhraní .NET Framework 1.0.

Další informace o systému Windows registru, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986Popis registru systému Microsoft Windows
Další informace o ASP.NET klepněte na následující čísla následujících článcích databáze Microsoft Knowledge Base:
315158Oprava: ASP.NET nefunguje s výchozí účet ASPNET v řadiči domény
Poznámka: Oprava popsaná v článku 315158 je k dispozici pouze pro rozhraní .NET Framework 1.0.

317012Zpracování a vyžádání identity v technologii ASP.NET (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 329290 - Poslední aktualizace: 29. října 2007 - Revize: 8.7
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
Klíčová slova: 
kbmt kbproductlink kbdownload kbconfig kbfix kbhowtomaster kbsecurity kbstate KB329290 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:329290

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com