Postupy: Audit zabezpečení ASP.NET webová aplikace nebo webové služby

Překlady článku Překlady článku
ID článku: 815144 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek popisuje auditování zabezpečení webové aplikace ASP.NET nebo webové služby ASP.NET.

Zabezpečení systému sníží jako ideální konfigurace systému jsou přidány nové prvky. Nových instalací aplikace, aktualizace softwaru, změny dočasné konfigurace a odstraňování potíží změnit aspekty konfigurace do systému zabezpečení. Zda záměrného nebo neúmyslné, tyto změny mohou způsobit systému již nesplňují požadavky na zabezpečení. Snížit tento efekt, provádět pravidelné audity konfigurace zabezpečení systému. Dokumentu a vyhodnotit změny konfigurace zabezpečení, které byly zavedeny v systému. V případě potřeby vrátit tyto změny.

Tento článek popisuje konfiguraci klíče nastavení ovlivňující aplikace ASP.NET. Tato nastavení dokumentu při první konfiguraci systému do čistého stavu. Provádět pravidelné audity k porovnání aktuálního nastavení proti původní nastavení. Tyto audity pomáhají zabránit nesnížil časem v systému zabezpečení. Tento článek nepopisuje postup konfigurace těchto nastavení.

Další informace o auditování položky konfigurace zabezpečení, které souvisejí s aplikací .NET Framework a nejsou ASP.NET klepněte na následující číslo článku databáze Microsoft Knowledge Base:
815143Postupy: Audit zabezpečení .NET Framework Configuration

.NET framework konfigurační položky


.NET Framework hierarchie souborů používá k určení zásadu, která je použita aplikace. Výchozí nastavení konfigurace obsahuje následující soubor:
\ System Root \Microsoft.NET\Framework\ Version \CONFIG\Machine.config
Nastavení může být přepsáno v kořenové složce aplikace (nebo v libovolné podsložce) podle souboru s názvem web.config nebo ApplicationName .config. Tyto soubory přesně vyhodnotit konfigurace zabezpečení aplikace musí auditu. Důležité prvky souboru config jsou následující:
  • <trace>(konkrétněAtribut povolena a být atribut)
  • <processmodel>
  • <customerrors>
  • <authentication>(a prvky, které jsou obsaženy v něm)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel>(konkrétněAtribut Povolit atribut uživatelské jméno a heslo atribut)
  • prvek <protocols>Konfigurace v prvku <webservices>

Oprávnění souboru

Zahrnout soubor oprávnění NTFS, které jsou přidruženy ASP.NET soubory a složky ve vašem auditu. Tyto zděděné z nadřazené složky nebo jejich může být definován jednoznačně pro každý soubor.

Snadno auditovat oprávnění k souboru pro velký počet souborů, použijte Cacls.exe Nástroj příkazového řádku oprávnění zapisovat do textového souboru. Při každém provádět při auditování, porovnat tento soubor na soubor, který jste vytvořili při byl čistého systému text a Poznámka: všechny změny.

Zápis do souboru s názvem Output.txt všechna oprávnění souboru, které jsou přidruženy C:\inetpub\wwwroot\ složku a všechny podsložky, spusťte na příkazovém řádku následující příkaz:
/T CACLS C:\inetpub\wwwroot\* > výstup.txt

IIS konfigurační položky

Systémy Windows 2000 podporují aplikací ASP.NET pomocí Internetová informační služba (IIS) 5.0. Při instalaci rozhraní .NET Framework IIS automaticky nakonfigurována pro podporu ASP.NET. Auditovat následující nastavení IIS pravidelně:
  • Mapování aplikací
    Zobrazit nastavení mapování aplikací, postupujte takto:
    1. Klepněte na tlačítko Start, přejděte na příkaz Nastavení a klepněte na položku Ovládací panely.
    2. Poklepejte na panel Nástroje pro správu a poklepejte na položku Správce služeb Internetu.
    3. Klepněte pravým tlačítkem myši na virtuální server nebo virtuální složku, která obsahuje aplikaci ASP.NET a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na kartu Domovský adresář (nebo kartu adresář).
    5. Ve skupinovém rámečku Nastavení aplikace klepněte na tlačítko Konfigurace.
    6. Poznámka: přípony názvů souborů, které jsou mapovány do souboru Aspnet_isapi.dll.
  • Oprávnění ke spouštění
    Zobrazení nastavení oprávnění pro spuštění, postupujte takto:
    1. Klepněte na tlačítko Start, přejděte na příkaz Nastavení a klepněte na položku Ovládací panely.
    2. Poklepejte na panel Nástroje pro správu a poklepejte na položku Správce služeb Internetu.
    3. Klepněte pravým tlačítkem myši na virtuální server nebo virtuální složku, která obsahuje aplikaci ASP.NET a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na kartu Domovský adresář (nebo kartu adresář).
    5. Všimněte si, zda jsou zaškrtnuta políčka Přístup ke zdrojovému kódu skriptů, čtení, zápis a Procházení adresářů. Všimněte si také spouštění oprávnění nastavení.

SQL Server konfigurační položky

Microsoft SQL Server obsahuje vlastní zabezpečení oprávnění k souborům mechanismy samostatně pracovat z konfigurace .NET Framework, IIS a NTFS. Příliš opravňující práva SQL Server může vytvořit chybu zabezpečení v aplikaci ASP.NET použité napadnout soukromá data. Můžete zobrazit všechny aspekty konfigurace zabezpečení pro SQL Server, který se vztahuje k ASP.NET přístup pomocí SQL Enterprise Manager.

Konfigurační položky auditu SQL Server

  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na Microsoft SQL Server a klepněte na příkaz SQL Enterprise Manager.
  2. Rozbalte položku databázového serveru, rozbalte zabezpečení a klepněte na tlačítko přihlášení.
  3. Pokud existuje uživatelský účet ASPNET ASPNET klepněte pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti.
  4. Ve Vlastnosti přihlášení serveru SQL klepněte na kartu Database Access.
  5. Poznámka databází a role, kde byl účet udělit přístupová oprávnění.
  6. Pro každou databázi, kde má přístupová oprávnění účet ASPNET proveďte následující kroky:
    1. Rozbalte databázi a potom klepněte na položku Uživatelé.
    2. Klepněte pravým tlačítkem myši ASPNET a potom klepněte na příkaz Vlastnosti.
    3. V okně Uživatelské vlastnosti databáze klepněte na tlačítko oprávnění a poznamenejte si oprávnění na všechny tabulky a zobrazení má uživatel ASPNET.

Odkazy

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
315736Postupy: Secure aplikace ASP.NET pomocí zabezpečení systému Windows
315588Postupy: Secure aplikace ASP.NET pomocí certifikátů na straně klienta

Vlastnosti

ID článku: 815144 - Poslední aktualizace: 28. února 2014 - Revize: 1.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Klíčová slova: 
kbnosurvey kbarchive kbmt kbwebservices kbwebforms kbweb kbconfig kbsecurity kbhowtomaster KB815144 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:815144

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com