COMO: Auditar a segurança de uma aplicação Web do ASP.NET ou serviço Web

Traduções de Artigos Traduções de Artigos
Artigo: 815144 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve a auditoria a segurança de uma aplicação Web do ASP.NET ou um serviço Web do ASP.NET.

A segurança de um sistema diminui à medida que novos elementos forem adicionados à configuração ideal ?s o sistema. Novas instalações de aplicações, actualizações de software, alterações de configuração temporários e resolução de problemas alterar aspectos da configuração de segurança ?s um sistema. Quer intencional ou não intencionais, estas alterações podem fazer com que o sistema já não correspondem aos requisitos de segurança. Para reduzir este efeito, efectue auditorias normais da configuração de segurança do sistema. Documentar e avaliar quaisquer alterações à configuração de segurança que foram introduzidas para o efeito ao sistema. Quando for necessário, anular estas alterações.

Este artigo descreve as definições de configuração da chave que afectam uma aplicação do ASP.NET. Estas definições do documento quando configura pela primeira vez o sistema no respectivo estado limpo. Efectue auditorias normais para comparar as definições actuais com as definições originais. Estes auditorias ajudá-lo para impedir que segurança o sistema ?s degradar ao longo do tempo. Este artigo não descreve como configurar estas definições.

Para obter informações adicionais sobre como auditar itens de configuração de segurança que estão relacionados com aplicações do .NET Framework e que não sejam ASP.NET, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
815143COMO: Auditar a segurança da configuração do .NET Framework

Itens de configuração do .NET framework


O .NET Framework utiliza uma hierarquia de ficheiros para determinar a política é aplicada a uma aplicação. O ficheiro seguinte contém as predefinições de configuração:
\ System Root \Microsoft.NET\Framework\ Version \Config\Machine.config
Estas definições podem ser substituídas na pasta de raiz ?s a aplicação (ou qualquer subpasta) por um ficheiro com o nome Web.config ou ApplicationName Config. Tem a auditar todos estes ficheiros para avaliar com exactidão a configuração de segurança ?s uma aplicação. Seguem-se os elementos importantes do ficheiro de configuração:
  • <trace> (especificamente, oatributo activada e o atributo localOnly )
  • <processmodel>
  • <customerrors>
  • <authentication> (e quaisquer elementos contidos nesse)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel> (especificamente o activar o atributo, o atributo de nome de utilizador e o atributo de palavra-passe )
  • elemento de configuração <protocols> no elemento <webservices>

Permissões de ficheiros

Inclua as permissões de ficheiro NTFS que estão associadas com ASP.NET ficheiros e pastas a auditoria. Estes podem ser herdadas das pastas principais ou podem ser definidos exclusivamente para cada ficheiro.

Para auditar facilmente as permissões de ficheiro para um grande número de ficheiros, utilize o Cacls.exe utilitário da linha de comandos para escrever as permissões de um ficheiro de texto. Sempre que efectuar uma auditoria, comparar neste ficheiro de texto para o ficheiro que criou quando o sistema foi limpo e anote quaisquer alterações.

Para escrever todas as permissões de ficheiro associados com a pasta C:\inetpub\wwwroot\ e todas as subpastas para um ficheiro denominado Output.txt, execute o seguinte comando numa linha de comandos:
/T CACLS C:\inetpub\wwwroot\* > output.txt

Itens de configuração do IIS

Sistemas Windows 2000 suportam aplicações do ASP.NET utilizando o Internet Information Services (IIS) 5.0. Quando instala o .NET Framework, o IIS está automaticamente configurado para suportar ASP.NET. Auditoria regularmente as seguintes definições no IIS:
  • mapeamentos de aplicações
    Para ver definições de mapeamentos de aplicações, siga estes passos:
    1. Clique em Iniciar , aponte para definições e, em seguida, clique em Painel de controlo .
    2. Faça duplo clique em Ferramentas administrativas e, em seguida, faça duplo clique Gestor de serviços Internet .
    3. Clique com o botão direito do rato no servidor virtual ou a pasta virtual que contém a aplicação do ASP.NET e, em seguida, clique em Propriedades .
    4. Clique no separador Directório raiz (ou no separador directório ).
    5. Em Definições da aplicação , clique em configuração .
    6. Tenha em atenção as extensões de ficheiro que são mapeadas para o ficheiro aspnet_isapi.dll.
  • permissões de execução
    Para ver as definições de permissões de execução, siga estes passos:
    1. Clique em Iniciar , aponte para definições e, em seguida, clique em Painel de controlo .
    2. Faça duplo clique em Ferramentas administrativas e, em seguida, faça duplo clique Gestor de serviços Internet .
    3. Clique com o botão direito do rato no servidor virtual ou a pasta virtual que contém a aplicação do ASP.NET e, em seguida, clique em Propriedades .
    4. Clique no separador Directório raiz (ou no separador directório ).
    5. Nota Se as caixas de verificação Acesso À origem de script , leitura , escrita e Procura no directório são seleccionadas. Além disso, tenha em atenção o executar permissões definição.

Itens de configuração do SQL Server

Microsoft SQL Server contém a suas próprias segurança mecanismos que funcionam em separado a partir da configuração do .NET Framework, IIS e NTFS permissões de ficheiros. Demasiado permissiva direitos de SQL Server podem criar uma vulnerabilidade numa aplicação do ASP.NET que pode ser utilizada para comprometer dados privados. Pode visualizar todos os aspectos da configuração de segurança para o SQL Server como relacionado com ASP.NET acesso utilizando o SQL Enterprise Manager.

Itens de configuração do auditoria SQL Server

  1. Clique em Iniciar , aponte para programas , aponte para Microsoft SQL Server e, em seguida, clique em SQL Enterprise Manager .
  2. Expanda o servidor de base de dados, expanda segurança e, em seguida, clique em inícios de sessão .
  3. Se a conta de utilizador ASPNET existir, clique com o botão direito do rato ASPNET e, em seguida, clique em Propriedades .
  4. Nas Propriedades de início de sessão do servidor de SQL , clique no separador Base de dados do Access .
  5. Nota As bases de dados e as funções em que a conta tenha sido concedido acesso a permissões.
  6. Para cada base de dados onde a conta ASPNET tem permissões de acesso, proceda do seguinte modo:
    1. Expanda a base de dados e, em seguida, clique em utilizadores .
    2. Clique com o botão direito do rato ASPNET e, em seguida, clique em Propriedades .
    3. Nas Propriedades de utilizador da base de dados , clique em permissões (Permissions) e anote as permissões de utilizador ASPNET em todas as tabelas e vistas.

Referências

Para obter informações adicionais, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
315736COMO: Secure uma aplicação do ASP.NET utilizando a segurança do Windows
315588COMO: Secure uma aplicação do ASP.NET utilizando certificados do lado do cliente

Propriedades

Artigo: 815144 - Última revisão: 27 de fevereiro de 2014 - Revisão: 1.6
A informação contida neste artigo aplica-se a:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Palavras-chave: 
kbnosurvey kbarchive kbmt kbwebservices kbwebforms kbweb kbconfig kbsecurity kbhowtomaster KB815144 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 815144

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com