ID Artikel: 329290 - Kajian Terakhir: 03 Oktober 2011 - Revisi: 2.0

Cara menggunakan ASP.NET utilitas untuk mengenkripsi kredensial dan sesi negara koneksi string

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Melihat produk di mana artikel ini berlaku.
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.

Pada Halaman ini

Perbesar semua | Perkecil semua

RINGKASAN

Artikel ini selangkah demi selangkah menjelaskan cara menggunakan Aspnet_setreg.exe utilitas untuk mengenkripsi kredensial dan sesi negara koneksi string. Microsoft ASP.NET versi 1.0 memerlukan bahwa Anda menyimpan teks biasa mandat dalam konfigurasi file jika Anda ingin melakukan salah satu dari berikut:
  • Mengubah ASP.NET pekerja proses identitas.
  • Menentukan identitas peniruan.
  • Menentukan rangkaian sambungan untuk sesi.
Ketika Anda menerapkan perbaikan terbaru yang dijelaskan di Microsoft Artikel Basis Pengetahuan 329250 (lihat "Referensi"), Anda dapat menggunakan data dienkripsi yang disimpan dalam registri bukannya teks berikut bagian konfigurasi:
  • <identity username="password="></identity>
  • <processmodel username="password="></processmodel>
  • <sessionstate stateconnectionstring="sqlConnectionString="></sessionstate>
Kembali ke atas

Pendahuluan

Menggunakan utilitas Aspnet_setreg.exe untuk mengenkripsi dan untuk menyimpan ini nilai atribut di registri di bawah kunci aman. Penggunaan CryptProtectData fungsi dengan bendera CRYPTPROTECT_LOCAL_MACHINE untuk mengenkripsi mandat. Karena siapa pun dengan akses ke komputer dapat panggilan CryptUnprotectData, data dienkripsi disimpan di bawah kunci registri yang aman dengan daftar kontrol akses discretionary kuat (DACL). Ketika ASP.NET memilah file konfigurasi, membaca kunci registri yang aman dan kemudian menggunakan CryptUnprotectData untuk mendekripsi data.

Inetinfo.exe, yang membentang di bawah Sistem identitas, membaca <processmodel></processmodel> bagian. Untuk membaca registri kunci yang menyimpan nama pengguna dan sandi untuk ASP.NET pekerja proses, Account sistem harus membaca izin untuk kunci ini.

ASP.NET pekerja proses (Aspnet_wp.exe) membaca <identity></identity> dan <sessionstate></sessionstate> bagian. Untuk membaca kunci registri, pekerja proses rekening harus membaca izin untuk kunci ini. Jika konten di-host pada Konvensi Penamaan Universal (UNC) berbagi, account yang digunakan untuk akses berbagi UNC harus memiliki izin untuk membaca kunci ini.

Oleh default, kunci registri yang Aspnet_setreg.exe menciptakan memberikan kontrol penuh untuk Sistem, Administrator, dan pencipta pemilik account. Anda dapat menggunakan Regedt32.exe untuk mengubah DACL pada kunci registri. Pastikan bahwa pengguna sewenang-wenang tidak membaca kunci registri.

Restart IIS

Agar perubahan berlaku, Anda harus me-restart Microsoft Internet Information Services (IIS). Dengan me-restart IIS, Anda mulai ASP baru.NET pekerja proses. Untuk melakukannya, klik Mulai, klik Menjalankan, jenis iisreset dalam Terbuka kotak, dan kemudian klik Oke.

Catatan Jika server yang Anda ulang kontroler domain, Anda harus me-restart server.
Kembali ke atas

INFORMASI LEBIH LANJUT

Men-download dan menjalankan Aspnet_setreg.exe

Berikut berkas ini tersedia untuk di-download dari Microsoft Download Pusat:

Perkecil gambar iniPerbesar gambar ini
Unduh
Unduh paket Aspnet_setreq.exe sekarang. (http://download.microsoft.com/download/2/9/8/29829651-e0f0-412e-92d0-e79da46fd7a5/Aspnet_setreg.exe)
Release Date: 11 April 2003

Untuk informasi lebih lanjut tentang cara men-download berkas Dukungan Microsoft, klik artikel berikut nomor ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
119591  (http://support.microsoft.com/kb/119591/ ) Cara mendapatkan berkas dukungan Microsoft dari layanan daring
Microsoft telah memindai berkas ini dari virus. Microsoft digunakan paling lunak pendeteksi virus terbaru yang tersedia pada tanggal yang file telah diposting. Berkas tersebut disimpan pada server aman yang membantu mencegah setiap perubahan tidak sah terhadap berkas.

Untuk menampilkan semua tersedia baris perintah switch dan penggunaannya, menjalankan alat ini dari command prompt tanpa switch baris perintah. Jika Anda menyimpan alat ini untuk C:\Tools\, jalankan berikut perintah dari prompt perintah untuk menampilkan semua switch yang tersedia dan Bantuan untuk aktif:
C:\Tools>aspnet_setreg.exe
Kembali ke atas

Menggunakan atribut terenkripsi di file konfigurasi

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Cara membuat cadangan dan memulihkan registri di Windows


Catatan Alat ini membuat kunci registri di bawah HKEY_LOCAL_MACHINE sub. Secara default, hanya administrator dapat membuat kunci di bawah sub pohon ini. Pastikan bahwa Anda logon sebagai administrator untuk berhasil membuat kunci registri.
  1. Mengenkripsi userName dan sandi atribut untuk digunakan dengan <identity></identity> bagian. (Anda juga dapat melakukan ini untuk bagian lain yang disebutkan dalam artikel ini). Untuk melakukannya, ketik perintah berikut pada baris perintah:
    c:\Tools>aspnet_setreg.exe - k: SOFTWARE\MY_SECURE_APP\identity-u: "yourdomainname\username"-p: "password"
    Perintah ini mengenkripsi userName dan sandi atribut, menciptakan kunci registri pada lokasi manapun yang Anda Tentukan, dan kemudian menyimpan atribut dalam kunci registri tersebut. Perintah ini juga menghasilkan output yang menentukan bagaimana untuk mengubah Web.config Anda atau Machine.config elemen dari file begitu ASP itu.NET akan menggunakan tombol-tombol ini untuk membaca informasi dari registri.

    Setelah Anda menjalankan perintah ini, Anda menerima output yang mirip dengan berikut:
    Mohon Edit konfigurasi Anda mengandung berikut:

    userName = "registri: HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG, nama pengguna"
    password = "Registri: HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG, sandi"

    The DACL pada kunci registri hibah kontrol penuh untuk sistem, administrator, dan Pencipta pemilik.

    Jika Anda telah dienkripsi mandat untuk <identity></identity> bagian konfigurasi, atau sambungan
    string <sessionstate></sessionstate> konfigurasi bagian, memastikan bahwa proses identitas telah
    Membaca akses ke kunci registri. Selain itu, jika Anda telah mengkonfigurasi IIS untuk mengakses konten pada
    UNC berbagi, account yang digunakan untuk mengakses berbagi perlu membaca akses ke kunci registri.
    Regedt32.exe dapat digunakan untuk melihat/memodifikasi izin kunci registri.

    Anda dapat mengubah registri registri subkunci dan nilai untuk mencegah penemuan.
  2. Memodifikasi file konfigurasi yang sesuai untuk menunjuk ke kunci registri. Jika nilai-nilai ini harus digunakan dalam <identity></identity> bagian, yang dihasilkan <identity></identity> bagian menyerupai berikut.
    <identity impersonate="true"
userName="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,userName"
password="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,password" />
  3. Grant Read izin untuk proses Aspnet_wp.exe rekening. Untuk informasi lebih lanjut tentang cara mengubah izin registri kunci, lihat "Regedt32.exe digunakan untuk memberikan izin untuk ASP.NET account pada kunci registri tersebut"bagian.
Kembali ke atas

Menggunakan Regedt32.exe untuk memberikan izin untuk ASP.NET account pada kunci registri

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Cara membuat cadangan dan memulihkan registri di Windows
  1. Klik Mulai, klik Menjalankan, jenis Regedt32 dalam Terbuka kotak, dan kemudian Klik Oke.
  2. Klik
    HKEY_LOCAL_MACHINE\SOFTWARE\MY_SECURE_APP\
    subkunci.
  3. Pada Keamanan menu, klikIzin untuk membuka Izin dialog kotak.

    Pada Microsoft Windows XP atau Windows Server 2003, klik kanan kunci registri, dan kemudian klik Izin.
  4. Klik Tambahkan. Di kotak dialog yang terbuka, jenis yourservername\ASPNET(atauyourservername\NetWork layanan ketika menggunakan Windows Server 2003 (IIS 6.0)), dan kemudian klik Oke.
  5. Pastikan account yang baru saja ditambahkan telah membaca perizinan, dan kemudian klik Oke.
  6. Tutup Penyunting Registri.
Kembali ke atas

REFERENSI

Untuk informasi lebih lanjut tentang perbaikan terbaru yang memungkinkan Anda untuk menggunakan fitur yang dijelaskan dalam artikel ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
329250  (http://support.microsoft.com/kb/329250/ ) FIX: Mandat yang lebih kuat untuk processModel, identitas, dan sessionState
CatatanPerbaikan yang dijelaskan dalam artikel 329250 ini hanya tersedia untuk.NET Framework 1.0.

Untuk informasi lebih lanjut tentang Microsoft Windows registri, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft:
256986  (http://support.microsoft.com/kb/256986/ ) Deskripsi registri Microsoft Windows
Untuk informasi lebih lanjut tentang ASP.NET, klik berikut nomor artikel untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
315158  (http://support.microsoft.com/kb/315158/ ) MEMPERBAIKI: ASP.NET tidak bekerja dengan account ASPNET default pada kontroler domain
CatatanPerbaikan yang dijelaskan dalam artikel 315158 ini hanya tersedia untuk.NET Framework 1.0.

317012  (http://support.microsoft.com/kb/317012/ ) Proses dan permintaan identitas di ASP.NET
Kembali ke atas
Berlaku bagi:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
Kembali ke atas
Kata kunci: 
kbproductlink kbdownload kbconfig kbfix kbhowtomaster kbsecurity kbstate kbmt KB329290 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:329290  (http://support.microsoft.com/kb/329290/en-us/ )
Kembali ke atas