방법: ASP.NET 웹 응용 프로그램 또는 웹 서비스에 대한 보안 감사

기술 자료 번역 기술 자료 번역
기술 자료: 815144 - 이 문서가 적용되는 제품 보기.
이 문서가 보관되었습니다. "그대로" 제공되었으며, 업데이트가 되지 않을 것입니다.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 ASP.NET 웹 응용 프로그램 또는 ASP.NET 웹 서비스 보안 감사 방법에 대해 설명합니다.

시스템 보안 시스템의 이상적인 구성은 새 요소를 추가할 때 줄입니다. 새 응용 프로그램 설치, 소프트웨어 업데이트, 임시 구성 변경 및 문제 해결 변경 측면에 있는 시스템 보안 구성. 고의 또는 실수로 여부를 이러한 변경 내용을 더 이상 보안 요구 사항을 충족시키기 위해 시스템에 발생할 수 없습니다. 이 영향을 줄이기 위해 시스템 보안 구성 정기적인 감사를 수행하십시오. 문서 및 시스템에 도입된 변경 내용을 보안 구성 평가. 필요한 경우 이러한 내용을 취소하십시오.

이 문서에서는 ASP.NET 응용 프로그램에 영향을 주는 주요 구성 설정을 설명합니다. 정리된 상태로 시스템을 처음 구성할 때 이러한 설정을 문서화하십시오. 현재 설정을 원래 설정과 비교하여 비교할 정기적인 감사를 수행하십시오. 이러한 감사는 시스템의 보안을 지속적으로 저하시키지 않도록 확인할 수 있습니다. 이 문서에서는 이러한 설정을 구성하는 방법을 설명하지 않습니다.

.NET Framework 응용 프로그램과 관련된 ASP.NET 없는 보안 구성 항목을 감사에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
815143방법: .NET Framework 구성 보안 감사

.NET Framework 구성 항목


.NET Framework 응용 프로그램에 적용된 정책을 확인하기 위해 파일의 계층 구조를 사용합니다. 기본 구성 설정은 다음 파일이 포함되어 있습니다.
\ System Root \Microsoft.NET\Framework\ Version \CONFIG\Machine.config
이러한 설정은 해당 응용 프로그램 루트 폴더 또는 모든 하위 폴더에 있는 Web.config 또는 ApplicationName .config 파일이에 의해 무시될 수도 있습니다. 이러한 모든 파일을 사용하여 응용 프로그램 보안 구성을 정확하게 평가할 수 감사해야 합니다. 구성 파일의 중요한 요소는 다음과 같습니다.
  • <trace>(특히,특성 사용localOnly 특성)
  • <processmodel>
  • <customerrors>
  • <authentication>(및 그 안에 포함된 모든 요소)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel>(특히,특성 사용, 사용자 이름 특성 및 암호 특성)
  • <webservices>요소의 <protocols>구성 요소

파일 권한

ASP.NET 파일 및 폴더를 사용하여 감사 연관된 NTFS 파일 사용 권한을 포함하십시오. 이러한 상위 폴더에서 상속될 수 또는 각 파일에 대해 고유하게 정의할 수 있습니다.

많은 수의 파일에 대한 파일 사용 권한을 쉽게 감사하려면 해당 Cacls.exe를 사용하여 사용 권한을 텍스트 파일에 쓸 수 있는 명령줄 유틸리티를. 때마다 감사를 수행하는 이 시스템을 클린 때 만든 파일 텍스트 파일로 비교 및 변경 내용을 기록해 둡니다.

C:\inetpub\wwwroot\ 폴더와 관련된 모든 파일 사용 권한 및 모든 하위 Output.txt 라는 파일을 쓰기 위해 명령 프롬프트에서 다음 명령을 실행하십시오.
화면에 C:\inetpub\wwwroot\* /T > output.txt

IIS 구성 항목

인터넷을 사용하여 ASP.NET 응용 프로그램의 Windows 2000 시스템의 지원 정보 서비스 (IIS) 5. .NET Framework를 설치할 때 IIS가 자동으로 ASP.NET 지원하도록 구성되어 있습니다. IIS에서 다음 설정을 정기적으로 감사:
  • 응용 프로그램 매핑
    응용 프로그램 매핑 설정을 보려면 다음과 같이 하십시오.
    1. 시작, 설정 가리킨 다음 제어판 을 누릅니다.
    2. 관리 도구 를 두 번 누른 다음 인터넷 서비스 관리자 를 두 번 누릅니다.
    3. 가상 서버 또는 ASP.NET 응용 프로그램에 포함된 가상 폴더를 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
    4. 홈 디렉터리 탭을 또는 디렉터리 탭을 클릭하십시오.
    5. 응용 프로그램 설정구성 을 클릭하십시오.
    6. Aspnet_isapi.dll 파일이 매핑된 파일 이름 확장명을 유의하십시오.
  • 실행 권한
    실행 권한 설정을 보려면 다음과 같이 하십시오.
    1. 시작, 설정 가리킨 다음 제어판 을 누릅니다.
    2. 관리 도구 를 두 번 누른 다음 인터넷 서비스 관리자 를 두 번 누릅니다.
    3. 가상 서버 또는 ASP.NET 응용 프로그램에 포함된 가상 폴더를 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
    4. 홈 디렉터리 탭을 또는 디렉터리 탭을 클릭하십시오.
    5. 스크립트 소스 액세스, 읽기, 쓰기디렉터리 찾아보기 확인란을 선택한 유의하십시오. 또한 해당 실행 권한 설정을.

SQL Server 구성 항목

Microsoft SQL Server 고유의 보안 들어 별도로 .NET Framework 구성, IIS 및 NTFS에서 함수 메커니즘을 파일 권한. SQL Server 권한을 지나치게 관대한 취약점을 개인 데이터를 손상시키는 데 사용할 수 있는 ASP.NET 응용 프로그램에서 만들 수 있습니다. 이를 ASP.NET과 모든 측면을 SQL Server 보안 구성 볼 수 있는 SQL 엔터프라이즈 관리자를 사용하여 액세스.

감사 SQL Server 구성 항목

  1. 시작 을 누르고, 프로그램, Microsoft SQL Server 차례로 가리킨 다음 SQL 엔터프라이즈 관리자 를 클릭하십시오.
  2. 데이터베이스 서버, 보안 을 차례로 확장한 다음 로그인 을 클릭하십시오.
  3. ASPNET 사용자 계정이 있는 경우 ASPNET, 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
  4. SQL Server 로그인 속성데이터베이스 액세스 탭을 클릭하십시오.
  5. 참고 데이터베이스와 계정을 왔습니다 역할에 부여된 액세스 권한.
  6. ASPNET 계정에 액세스 권한이 있는 각 데이터베이스에 대해 다음과 같이 하십시오.
    1. 데이터베이스를 확장한 다음 사용자 를 누릅니다.
    2. ASPNET, 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
    3. 데이터베이스 사용자 속성 에서 권한 을 누른 다음 모든 테이블과 뷰를 ASPNET 사용자가 가진 사용 권한을 적어 둡니다.

참조

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
315736Windows 보안 사용하여 방법: ASP.NET 응용 프로그램 보안
315588방법: 클라이언트측 인증서를 사용하여 ASP.NET 응용 프로그램 보안

속성

기술 자료: 815144 - 마지막 검토: 2014년 2월 26일 수요일 - 수정: 1.6
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
키워드:?
kbnosurvey kbarchive kbmt kbwebservices kbwebforms kbweb kbconfig kbsecurity kbhowtomaster KB815144 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com