COMO: Auditoria a segurança de um aplicativo da Web ASP.NET ou Web Service

Traduções deste artigo Traduções deste artigo
ID do artigo: 815144 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo descreve como a segurança de um aplicativo ASP.NET ou an ASP.NET Web Service de auditoria.

A segurança de um sistema diminui quando novos elementos são adicionados à configuração ideal ?s o sistema. Novas instalações de aplicativos, atualizações de software, alterações de configuração temporários e solução de problemas aspectos de alteração da configuração de segurança ?s um sistema. Seja intencional ou não intencionais, essas alterações podem fazer o sistema para não atender aos requisitos de segurança. Para reduzir esse efeito, execute auditorias regulares da configuração de segurança do sistema. Documentar e avaliar as alterações na configuração de segurança que foram introduzidas para o sistema. Quando necessário, reverte essas alterações.

Este artigo descreve as configurações de chave de configuração que afetam um aplicativo ASP.NET. Documente essas configurações quando você primeiro configurar o sistema no estado limpo. Execute auditorias regulares para comparar as configurações atuais contra as configurações originais. Estas auditorias ajudam a impedir que segurança ?s o sistema de afetando longo do tempo. Este artigo não descreve como definir essas configurações.

Para obter informações adicionais sobre auditoria itens de configuração de segurança que estão relacionados a aplicativos .NET Framework e não são ASP.NET, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
815143COMO: Auditoria a segurança de uma configuração do .NET Framework

Itens de configuração do .NET framework


O .NET Framework usa uma hierarquia de arquivos para determinar a diretiva é aplicada a um aplicativo. O arquivo a seguir contém as configurações padrão:
\ System Root \Microsoft.NET\Framework\ Version \config\machine.config
Essas configurações poderão ser substituídas na pasta raiz ?s aplicativo (ou qualquer subpasta) por um arquivo chamado Web.config ou ApplicationName .config. Você deve fazer auditoria em todos esses arquivos para avaliar com precisão a configuração de segurança ?s um aplicativo. A seguir estão os elementos importantes do arquivo de configuração:
  • <trace> (especificamente, oatributo Enabled e o atributo localOnly )
  • <processmodel>
  • <customerrors>
  • <authentication> (e quaisquer elementos que são contidos nele)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel> (especificamente o Ativar o atributo, o atributo de nome de usuário e o atributo senha )
  • elemento de configuração <protocols> no elemento <webservices>

Permissões de arquivo

Inclua as permissões de arquivo NTFS estão associadas a arquivos ASP.NET e pastas na sua auditoria. Esses podem ser herdadas das pastas pai, ou pode ser definidos exclusivamente para cada arquivo.

Para auditar facilmente as permissões de arquivo para um grande número de arquivos, use o cacls.exe utilitário de linha de comando para gravar as permissões em um arquivo de texto. Sempre que você realizar uma auditoria, comparar esse arquivo de texto para o arquivo que você criou quando o sistema foi limpo e, em seguida, observe as alterações.

Para gravar todas as permissões de arquivo que estão associadas com a pasta C:\inetpub\wwwroot\ e todas as subpastas em um arquivo chamado Output.txt, execute o seguinte comando em um prompt de comando:
/T CACLS C:\inetpub\wwwroot\* > resultado.txt

Itens de configuração do IIS

Sistemas Windows 2000 oferecem suporte a aplicativos ASP.NET usando o Internet Information Services (IIS) 5.0. Quando você instala o .NET Framework, o IIS é automaticamente configurado para oferecer suporte ao ASP.NET. Auditoria regularmente as configurações a seguir no IIS:
  • mapeamentos de aplicativos
    Para exibir configurações de mapeamentos de aplicativo, execute essas etapas:
    1. Clique em Iniciar , aponte para configurações e em seguida, clique em Painel de controle .
    2. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Gerenciador de serviços de Internet .
    3. Clique com o botão direito do mouse no servidor virtual ou na pasta virtual que contém seu aplicativo ASP.NET e, em seguida, clique em Propriedades .
    4. Clique na guia Home Directory (ou na guia diretório ).
    5. Em Configurações do aplicativo , clique em configuração .
    6. Observe as extensões de nome de arquivo que são mapeadas para o arquivo aspnet_isapi.dll.
  • permissões de execução
    Para visualizar as configurações de permissões de execução, execute estas etapas:
    1. Clique em Iniciar , aponte para configurações e em seguida, clique em Painel de controle .
    2. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Gerenciador de serviços de Internet .
    3. Clique com o botão direito do mouse no servidor virtual ou na pasta virtual que contém seu aplicativo ASP.NET e, em seguida, clique em Propriedades .
    4. Clique na guia Home Directory (ou na guia diretório ).
    5. Observe se as caixas de seleção Script Source Access , leitura , gravação e Pesquisa no diretório estão selecionadas. Observe também o Executar permissões configuração.

Itens de configuração do SQL Server

Microsoft SQL Server contém sua própria segurança permissões de arquivo mecanismos que funcionam separadamente da configuração do .NET Framework, IIS e NTFS. Direitos excessivamente permissivas do SQL Server podem criar uma vulnerabilidade em um aplicativo ASP.NET que pode ser usado para comprometer dados particulares. Você pode exibir todos os aspectos da configuração de segurança para o SQL Server como ela se relaciona ao ASP.NET acesso usando o SQL Enterprise Manager.

Itens de configuração do auditoria SQL Server

  1. Clique em Iniciar , aponte para programas , aponte para Microsoft SQL Server e, em seguida, clique em SQL Enterprise Manager .
  2. Expanda seu servidor de banco de dados, expanda Security e, em seguida, clique em logons .
  3. Se a conta de usuário ASPNET existir, clique com o botão direito do mouse ASPNET e, em seguida, clique em Propriedades .
  4. Em SQL Server Login Properties , clique na guia Acesso ao banco de dados .
  5. Observação os bancos de dados e as funções onde a conta foi concedido permissões de acesso.
  6. Para cada banco de dados onde a conta ASPNET tem permissões de acesso, faça o seguinte:
    1. Expanda o banco de dados e, em seguida, clique em Users .
    2. Clique com o botão direito do mouse ASPNET e, em seguida, clique em Propriedades .
    3. No Database User Properties , clique em permissões e, em seguida, observe as permissões que o usuário ASPNET tem todos os modos de exibição e tabelas.

Referências

Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
315736COMO: Proteger um aplicativo ASP.NET usando a segurança do Windows
315588COMO: Proteger um aplicativo ASP.NET usando certificados do lado do cliente

Propriedades

ID do artigo: 815144 - Última revisão: quinta-feira, 27 de fevereiro de 2014 - Revisão: 1.6
A informação contida neste artigo aplica-se a:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Palavras-chave: 
kbnosurvey kbarchive kbmt kbwebservices kbwebforms kbweb kbconfig kbsecurity kbhowtomaster KB815144 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 815144

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com