Cómo: Auditar la seguridad de una aplicación Web ASP.NET o servicio Web

Seleccione idioma Seleccione idioma
Id. de artículo: 815144 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo auditar la seguridad de una aplicación Web ASP.NET o un servicio Web ASP.NET.

La seguridad de un sistema disminuye cuando se agregan nuevos elementos a configuración ideal ?s sistema. Nuevas instalaciones de aplicación, las actualizaciones de software, los cambios de configuración temporal y aspectos de cambio para la solución de problemas de configuración de seguridad de un sistema ?s. Si intencionado o involuntario, estos cambios pueden provocar que el sistema ya no cumpla los requisitos de seguridad. Para reducir este efecto, realizar auditorías periódicas de la configuración de seguridad del sistema. Documentar y evaluar cualquier cambio en la configuración de seguridad que se ha introducido en el sistema. Cuando sea necesario, revertir estos cambios.

Este artículo describe la configuración de clave que afectan a una aplicación ASP.NET. Documentar esta configuración al configurar primero el sistema en su estado limpio. Realizar auditorías periódicas para comparar la configuración actual con la configuración original. Estas auditorías le ayudan a impedir que seguridad ?s sistema degradar a lo largo del tiempo. En este artículo no describe cómo configurar estas opciones.

Para obtener información adicional acerca de la auditoría de los elementos de configuración de seguridad que están relacionados con aplicaciones de .NET Framework y no son ASP.NET, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815143Cómo: Auditar la seguridad de una configuración de .NET Framework

Elementos de configuración de .NET framework


.NET Framework utiliza una jerarquía de archivos para determinar la directiva se aplica a una aplicación. El archivo siguiente contiene la configuración predeterminada:
\ System Root \Microsoft.NET\Framework\ Version \CONFIG\Machine.config
Esta configuración se puede reemplazar en carpeta raíz de la aplicación ?s (o cualquier subcarpeta) por un archivo denominado Web.config o ApplicationName .config. Debe auditar todos estos archivos para evaluar con precisión configuración de seguridad una aplicación ?s. Éstos son los elementos importantes del archivo de configuración:
  • <trace> (específicamente, elatributo Enabled y el atributo localOnly )
  • <processmodel>
  • <customerrors>
  • <authentication> (y todos los elementos incluidos en él)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel> (específicamente elatributo de Habilitar el atributo de nombre de usuario y el atributo de contraseña )
  • elemento de configuración <protocols> en el elemento <webservices>

Permisos de archivo

Incluir los permisos de archivo NTFS asociados con ASP.NET archivos y carpetas en su auditoría. Estos se pueden heredar de las carpetas primarias o pueden definirse forma exclusiva para cada archivo.

Para auditar fácilmente los permisos de archivo para un gran número de archivos, utilice el Cacls.exe Utilidad de línea de comandos para escribir los permisos en un archivo de texto. Cada vez que realiza una auditoría, comparar este archivo de texto en el archivo que creó cuando el sistema estaba limpio y anote los cambios.

Para escribir todos los permisos de archivo están asociados con la carpeta C:\inetpub\wwwroot\ y todas sus subcarpetas en un archivo denominado output.txt, ejecute el comando siguiente en el símbolo del sistema:
/T CACLS C:\inetpub\wwwroot\* > salida.txt

Elementos de configuración de IIS

Sistemas de Windows 2000 admiten las aplicaciones ASP.NET a través de Internet Information Services (IIS) 5.0. Al instalar .NET Framework, IIS se configura automáticamente para admitir ASP.NET. Auditoría con regularidad la siguiente configuración en IIS:
  • asignaciones de aplicación
    Para ver la configuración de asignaciones de aplicación, siga estos pasos:
    1. Haga clic en Inicio , seleccione configuración y, a continuación, haga clic en Panel de control .
    2. Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de servicios Internet .
    3. Clic con el botón secundario en el servidor virtual o la carpeta virtual que contiene la aplicación ASP.NET y, a continuación, haga clic en Propiedades .
    4. Haga clic en la ficha Directorio principal (o en la ficha directorio ).
    5. En Configuración de la aplicación , haga clic en configuración .
    6. Tenga en cuenta las extensiones de nombre de archivo que se asignan al archivo Aspnet_isapi.dll.
  • permisos de ejecución
    Para ver la configuración de permisos de ejecución, siga estos pasos:
    1. Haga clic en Inicio , seleccione configuración y, a continuación, haga clic en Panel de control .
    2. Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de servicios Internet .
    3. Clic con el botón secundario en el servidor virtual o la carpeta virtual que contiene la aplicación ASP.NET y, a continuación, haga clic en Propiedades .
    4. Haga clic en la ficha Directorio principal (o en la ficha directorio ).
    5. Observe si están activadas las casillas de verificación Script acceso , lectura , escritura y Exploración de directorios . Tenga en cuenta también el Ejecutar permisos configuración.

Elementos de configuración de SQL Server

Microsoft SQL Server contiene sus propios mecanismos de seguridad función por separado de la configuración de .NET Framework, IIS, y permisos de archivos NTFS. Derechos demasiado permisivas de SQL Server podrían crear una vulnerabilidad en una aplicación ASP.NET que puede utilizarse para poner en peligro datos privados. Puede ver todos los aspectos de la configuración de seguridad de SQL Server como se relaciona con ASP.NET acceso mediante el Administrador corporativo de SQL.

Elementos de configuración de auditoría SQL Server

  1. Haga clic en Inicio , seleccione programas , seleccione Microsoft SQL Server y, a continuación, haga clic en Administrador corporativo de SQL .
  2. Expanda el servidor de base de datos, expanda seguridad y, a continuación, haga clic en conexiones .
  3. Si la cuenta de usuario ASPNET existe, haga clic con el botón secundario del mouse en ASPNET y, a continuación, haga clic en Propiedades .
  4. En Propiedades de inicio de sesión , haga clic en la ficha Acceso de base de datos .
  5. Tenga en cuenta las bases de datos y las funciones de la cuenta ha otorgado permisos de acceso.
  6. Para cada base de datos donde la cuenta ASPNET tiene permisos de acceso, realice lo siguiente:
    1. Expanda la base de datos y, a continuación, haga clic en usuarios .
    2. Haga clic con el botón secundario del mouse en ASPNET y, a continuación, haga clic en Propiedades .
    3. En la Base de datos User Properties , haga clic en permisos y anote los permisos que el usuario ASPNET tiene en todas las tablas y vistas.

Referencias

Para obtener información adicional, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
315736Cómo: Proteger una aplicación ASP.NET mediante seguridad de Windows
315588Cómo: Proteger una aplicación de ASP.NET con certificados de cliente

Propiedades

Id. de artículo: 815144 - Última revisión: miércoles, 26 de febrero de 2014 - Versión: 1.6
La información de este artículo se refiere a:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Palabras clave: 
kbnosurvey kbarchive kbmt kbwebservices kbwebforms kbweb kbconfig kbsecurity kbhowtomaster KB815144 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 815144

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com