ΔΙΑΔΙΚΑΣΙΕΣ: Κλείδωμα κάτω μιας εφαρμογής ASP.NET Web ή υπηρεσία Web

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 815145 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο για να κλειδώσετε μια εφαρμογή Web του ASP.NET ή υπηρεσία Web. Οι εφαρμογές Web είναι συχνά ο προορισμός για κακόβουλες επιθέσεις.

Υπάρχουν πολλά βήματα που μπορείτε να ακολουθήσετε για να μειώσετε τον κίνδυνο που σχετίζεται με τη φιλοξενία μιας εφαρμογής Web. Σε υψηλό επίπεδο, ASP.NET εφαρμογών επωφεληθείτε από τα ίδια μέτρα ασφαλείας ως συμβατική Web εφαρμογές. Ωστόσο, οι επεκτάσεις ονόματος αρχείου ASP.NET και τη χρήση της ασφάλειας απαιτούν ειδική εξέταση. Αυτό το άρθρο περιγράφει διάφορες βασικές μηχανισμούς για τη διασφάλιση των εφαρμογών Web του ASP.NET.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.Microsoft.com/Security

Φιλτράρισμα πακέτων

ASP.NET απαιτεί καμία ειδική υπόψη κατά τη ρύθμιση παραμέτρων δικτύου εξοπλισμού ή προγραμμάτων τείχους προστασίας για το φιλτράρισμα των πακέτων με βάση τη θύρα. Internet Information Server (IIS) ορίζει τους αριθμούς θύρας TCP που χρησιμοποιεί το ASP.NET για τις επικοινωνίες. Από προεπιλογή, το ASP.NET χρησιμοποιεί τη θύρα TCP 80 για το τυπικό HTTP και χρησιμοποιεί το πρωτόκολλο TCP θύρα 443 για HTTP με την κρυπτογράφηση SSL.

Τείχος προστασίας επιπέδου εφαρμογής

Τα τείχη προστασίας επιπέδου εφαρμογής, όπως το Microsoft Internet Security and Acceleration Server, να αναλύσετε τις λεπτομέρειες της εισερχόμενης Web αιτήσεις, μαζί με την εντολή HTTP που εκδόθηκε και το αρχείο που απαιτείται. Ανάλογα με την εφαρμογή, μπορεί να ζητηθεί διαφορετικούς τύπους αρχείων. Έναν υπολογιστή-πελάτη ASP.NET μπορεί να ζητήσει νόμιμα αρχεία που έχουν οποιαδήποτε από τις ακόλουθες επεκτάσεις ονόματος αρχείου, ανάλογα με τη λειτουργικότητα της εφαρμογής:
  • .ashx
  • .aspx
  • .asmx
  • rem
  • .soap
Αρχεία που περιλαμβάνονται σε μια εφαρμογή ASP.NET, να χρησιμοποιήσετε τις ακόλουθες επεκτάσεις ονόματος αρχείου. Ωστόσο, ένα τείχος προστασίας ποτέ δεν πρέπει να προωθούν αυτά τα αρχεία στους τελικούς χρήστες. Ανάλογα με το περιβάλλον προγραμματισμού, οι προγραμματιστές μπορεί να εκδώσει Web αιτήσεις για αυτές τις επεκτάσεις:
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .CS
  • .CSPROJ
  • .dll
  • .licx
  • .PDB
  • rem
  • .Resources
  • .resx
  • .soap
  • .vb
  • .VBPROJ
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
Πρέπει να ρυθμίσετε τις παραμέτρους του τείχους προστασίας για να περιορίσετε τους τύπους των HTTP εντολές που μπορούν να υποβληθούν σε μια εφαρμογή ASP.NET. Συγκεκριμένα, πρέπει να επιτρέπετε μόνο εντολές GET, HEAD και POST από προγράμματα περιήγησης του τελικού χρήστη. Οι προγραμματιστές ίσως χρειαστεί να αποκτήσετε πρόσβαση σε άλλες εντολές HTTP, επίσης.

Ασφάλεια του NTFS

Ουσιαστικά, μπορείτε να μειώσετε τον κίνδυνο να αλλοιωθεί ιδιωτικών πληροφοριών. Για να γίνει αυτό, να περιορίσετε τα δικαιώματα αρχείου NTFS. Από προεπιλογή, οι εφαρμογές ASP.NET εκτελούνται στο περιβάλλον του λογαριασμού χρήστη ASPNET. Για μεγαλύτερη ασφάλεια, μπορείτε να ρυθμίσετε κατάλληλα δικαιώματα για το λογαριασμό χρήστη ASPNET.

Για πρόσθετες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων των δικαιωμάτων αρχείου NTFS, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
815153ΔΙΑΔΙΚΑΣΙΕΣ: Ρύθμιση παραμέτρων δικαιωμάτων αρχείων NTFS για την ασφάλεια των εφαρμογών ASP.NET

Ρύθμιση παραμέτρων του URLScan

Το URLScan είναι ένα φίλτρο ISAPI της Microsoft που έχει σχεδιαστεί για να παρέχει πιο λεπτομερείς φιλτραρίσματος των εισερχόμενων αιτήσεων Web σε διακομιστές των υπηρεσιών IIS 5.0. Το URLScan παρέχει πολλές δυνατότητες από ένα τείχος προστασίας επιπέδου εφαρμογής και να φιλτράρετε αιτήσεις με βάση το όνομα αρχείου, πληκτρολογήστε διαδρομή και την αίτηση. Για περισσότερες πληροφορίες σχετικά με τις ρυθμίσεις του εργαλείου ασφαλείας URLScan, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://TechNet.Microsoft.com/en-us/Security/cc242650.aspx
Για πρόσθετες πληροφορίες σχετικά με το URLScan, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
815155ΔΙΑΔΙΚΑΣΙΕΣ: Ρύθμιση παραμέτρων του URLScan προστασία εφαρμογών Web του ASP.NET

Ρύθμιση παραμέτρων ασφαλείας του διακομιστή SQL

Πολλές εφαρμογές ASP.NET επικοινωνεί με ένα διακομιστή Microsoft SQL Server βάσης δεδομένων. Είναι κοινό για κακόβουλες επιθέσεις σε σχέση με μια βάση δεδομένων για να χρησιμοποιήσετε μια εφαρμογή ASP.NET και στη συνέχεια το επωφεληθείτε από τα δικαιώματα που έχει εκχωρηθεί το διαχειριστή της βάσης δεδομένων στην εφαρμογή. To offer the greatest level of protection against such attacks, configure your database permissions to limit the permissions that you grant to ASP.NET. Grant only the minimum permissions that the application must have to function.

For example, limit ASP.NET to Read permissions for only those views, tables, rows, and columns that the application must have access to. Where the application does not directly update a table, do not grant to ASP.NET the permission to submit updates. For more security, configure appropriate permissions for the ASPNET user account.

For additional information about configuring SQL Server, click the following article number to view the article in the Microsoft Knowledge Base:
815154HOW TO: Configure SQL Server security for .NET applications

Αναφορές

Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://technet.microsoft.com/en-us/library/dd450372.aspx
Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
818014HOW TO: Secure applications that are built on the .NET Framework


Ιδιότητες

Αναγν. άρθρου: 815145 - Τελευταία αναθεώρηση: Τετάρτη, 22 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Λέξεις-κλειδιά: 
kbwebservices kbwebserver kbwebforms kbconfig kbdeployment kbhowtomaster kbmt KB815145 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:815145

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com