Comment faire : d'audit de la sécurité d'un application Web ASP.NET ou d'un service Web

Traductions disponibles Traductions disponibles
Numéro d'article: 815144 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article étape par étape explique comment vérifier la sécurité d'une application Web ASP.NET ou un service Web ASP.NET.

La sécurité d'un système diminue à mesure que des nouveaux éléments sont ajoutés à la configuration idéale ?s le système. Nouvelles installations d'applications, mises à jour logicielles, modifications de configuration temporaire et dépannage aspects de modification de configuration de sécurité ?s un système. Si intentionnelle ou accidentelle, ces modifications peuvent provoquer le plus sécurité exigences du système. Pour réduire cet effet, effectuer les audits réguliers de la configuration de sécurité système. Documenter et évaluer les modifications à la configuration de sécurité qui ont été introduites dans le système. Si nécessaire, inverser ces modifications.

Cet article décrit les paramètres de clé de configuration qui affectent une application ASP.NET. Document ces paramètres lorsque vous configurez tout d'abord votre système dans son état en mode minimal. Effectuer des audits réguliers pour comparer les paramètres en cours sur les paramètres d'origine. Ces audits vous aident à empêcher de sécurité ?s le système d'altérer dans le temps. Cet article n'explique pas comment configurer ces paramètres.

Pour plus d'informations sur les articles de configuration de sécurité qui associés à des applications .NET Framework et ne sont pas ASP.NET d'audit, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815143 Comment faire : d'audit de la sécurité d'une configuration de .NET Framework

Éléments de configuration .NET framework


Le .NET Framework utilise une hiérarchie de fichiers pour déterminer la stratégie qui est appliquée à une application. Le fichier suivant contient les paramètres de configuration par défaut :
\System Root \Microsoft.NET\Framework\ Version \CONFIG\Machine.config
Ces paramètres peuvent être remplacées par un fichier nommé .config Web.config ou ApplicationName dans dossier racine ?s l'application (ou n'importe quel sous-dossier). Vous devez Auditer tous ces fichiers pour évaluer précisément la configuration de sécurité ?s une application. Voici les éléments importants du fichier de configuration :
  • <trace> (plus précisément, leattribut Enabled et l'attribut localOnly )
  • <processmodel>
  • <customerrors>
  • <authentication><authentification> (et les éléments qui figurent dans il)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel> (en particulier la Activer un attribut, l'attribut de nom d'utilisateur et l'attribut de mot de passe )
  • élément de configuration <protocols> dans l'élément <webservices>

Autorisations de fichiers

Inclure les autorisations de fichier NTFS associées avec les fichiers ASP.NET et dossiers de l'audit. Ils peuvent être hérités des dossiers parents ou peut être définies à unique pour chaque fichier.

Pour auditer facilement les autorisations de fichier pour un grand nombre de fichiers, utilisez la cacls.exe Utilitaire de ligne de commande pour écrire les autorisations dans un fichier texte. Chaque fois que que vous effectuez un audit, comparez ce fichier texte vers le fichier que vous avez créé lorsque le système n'a en mode minimal, puis puis notez les modifications.

Pour écrire toutes les autorisations de fichier sont associés dans le dossier C:\inetpub\wwwroot\ et tous ses sous-dossiers dans un fichier nommé Output.txt, exécutez la commande suivante à partir d'une invite de commandes :
/T CACLS C:\inetpub\wwwroot\* > output.txt

Éléments de configuration IIS

Systèmes de Windows 2000 prennent en charge les applications ASP.NET à l'aide d'Internet (IIS) 5.0. Lorsque vous installez le .NET Framework, IIS est automatiquement configuré pour prendre en charge ASP.NET. D'audit régulièrement les paramètres suivants dans IIS :
  • Mappages d'application
    Pour afficher les paramètres de mappages d'application, procédez comme suit :
    1. Cliquez sur Démarrer , pointez sur Paramètres , puis cliquez sur le Panneau de configuration .
    2. Double-cliquez sur Outils d'administration , puis double-cliquez sur Gestionnaire des services Internet .
    3. Cliquez avec le bouton droit sur le serveur virtuel ou le dossier virtuel contenant votre application ASP.NET, puis cliquez sur Propriétés .
    4. Cliquez sur l'onglet répertoire de base (ou sur l'onglet répertoire ).
    5. Sous Paramètres de l'application , cliquez sur Configuration .
    6. Notez les extensions qui sont mappées vers le fichier Aspnet_isapi.dll.
  • autorisations d'exécution
    Pour afficher les paramètres d'autorisations exécution, procédez comme suit :
    1. Cliquez sur Démarrer , pointez sur Paramètres , puis cliquez sur le Panneau de configuration .
    2. Double-cliquez sur Outils d'administration , puis double-cliquez sur Gestionnaire des services Internet .
    3. Cliquez avec le bouton droit sur le serveur virtuel ou le dossier virtuel contenant votre application ASP.NET, puis cliquez sur Propriétés .
    4. Cliquez sur l'onglet répertoire de base (ou sur l'onglet répertoire ).
    5. Notez que si les cases à cocher script source Access , lecture , écriture et Exploration de répertoire sont activées. Notez également le Exécuter autorisations paramètre.

Éléments de configuration SQL Server

Microsoft SQL Server contient ses propres mécanismes de sécurité qui fonctionnent indépendamment de la configuration de .NET Framework, IIS, et autorisations de fichiers NTFS. Trop permissif droits de SQL Server peuvent créer une vulnérabilité dans une application ASP.NET qui peut-être être utilisée pour compromettre les données privées. Vous pouvez afficher tous les aspects de la configuration de sécurité pour SQL Server que qu'il est lié à ASP.NET accès par l'aide de la SQL Enterprise Manager.

Éléments de configuration d'audit SQL Server

  1. Cliquez sur Démarrer , pointez sur programmes , pointez sur Microsoft SQL Server et puis cliquez sur SQL Enterprise Manager .
  2. Développez votre serveur de base de données, développez sécurité , puis cliquez sur Connexions .
  3. Si le compte d'utilisateur ASPNET existe, cliquez avec le bouton droit sur ASPNET , puis cliquez sur Propriétés .
  4. Dans Propriétés de la connexion SQL Server , cliquez sur l'onglet base de données Access .
  5. Notez les bases de données et les rôles dans lequel le compte a été accordé autorisations d'accès.
  6. Pour chaque base de données dans laquelle le compte ASPNET possède autorisations d'accès, procédez comme suit :
    1. Étendre la base de données, puis cliquez sur utilisateurs .
    2. Cliquez avec le bouton droit sur ASPNET , puis cliquez sur Propriétés .
    3. Dans les propriétés utilisateur de base de données , cliquez sur autorisations , puis notez les autorisations l'utilisateur ASPNET dispose sur toutes les tables et vues.

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
315736 Comment faire : protocole une application ASP.NET à l'aide de Windows
315588 Comment faire : protocole une application ASP.NET à l'aide de certificats côté client

Propriétés

Numéro d'article: 815144 - Dernière mise à jour: mercredi 26 février 2014 - Version: 1.6
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Mots-clés : 
kbnosurvey kbarchive kbmt kbwebservices kbwebforms kbweb kbconfig kbsecurity kbhowtomaster KB815144 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 815144
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com