Cómo: Proteger aplicaciones que están basadas en .NET Framework

Seleccione idioma Seleccione idioma
Id. de artículo: 818014 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe consideraciones importantes para proteger las aplicaciones integradas en .NET Framework. En este artículo es uno de una serie de artículos que proporcionan información detallada para las aplicaciones integradas en .NET Framework.

Los artículos de esta serie son los siguientes:
818016Cómo: Implementar aplicaciones que están basadas en .NET Framework
818013Cómo: Compatibilidad con aplicaciones que están basadas en .NET Framework
818015Cómo: Optimizar y escalar el rendimiento de aplicaciones que están basadas en .NET Framework
818014Cómo: Proteger aplicaciones que están basadas en .NET Framework

Ajustar la seguridad de .NET Framework en forma de zona por zona

.NET Framework asigna niveles de confianza a los ensamblados administrados. En parte, estas asignaciones se basan en la zona donde se ejecuta el ensamblado. Las zonas estándar son Mi PC, intranet local, Internet, sitios de confianza y sitios que no son de confianza. Quizás tenga que aumentar o disminuir el nivel de confianza está asociado con una de estas zonas. .NET Framework incluye herramientas para ajustar estas configuraciones.

Para obtener información adicional sobre cómo ajustar la confianza asignada a una zona, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815148Cómo: Ajustar la seguridad de .NET Framework en forma de zona por zona

Ajustar el nivel de confianza que puede asignar a un ensamblado de .NET Framework

.NET Framework incluye muchas formas de determinar el nivel de confianza que se debe conceder a un ensamblado. Sin embargo, puede hacer excepciones a las reglas para permitir que un ensamblado específico de recibir un mayor nivel de confianza que normalmente recibiría según la evidencia proporcionada a common language runtime. .NET Framework proporciona una herramienta de asistente específicamente para este propósito.

Para obtener información adicional acerca de cómo ajustar los niveles de confianza para un ensamblado, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815147Cómo: Cambiar el nivel de confianza para un ensamblado de .NET Framework

Restaurar los niveles de directiva que se han personalizado

Como administrador, tiene control completo sobre el acceso que desea conceder a los ensamblados que se ejecutan en diversos niveles de confianza. Si personaliza los niveles de confianza, puede experimentar problemas al ejecutar una aplicación que normalmente se ejecuta en un nivel de confianza estándar. Sin embargo, puede restaurar rápidamente los niveles de directiva a su configuración predeterminada.

Para obtener información adicional acerca de cómo restaurar los niveles de directiva a su configuración predeterminada, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815165Cómo: Restaurar los niveles de directiva predeterminado para las aplicaciones ASP.NET

Evaluar los permisos que se concede a un ensamblado

Cuando haya empresa, equipo y las directivas de configuración de seguridad de usuario y niveles de confianza personalizable, puede resultar difícil evaluar los permisos que se ha concedido a un ensamblado administrado. La configuración de .NET Framework herramienta incluye un método sencillo para evaluar estos permisos.

Para obtener información adicional acerca de cómo evaluar los permisos que se ha concedido a un ensamblado, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815170Cómo: Evaluar los permisos que se concede a un ensamblado

Auditar la seguridad de aplicaciones .NET-Connected

Durante las actualizaciones, probar y solucionar problemas, la configuración de sistemas de producción se puede para cambiar de forma involuntaria. Por ejemplo, un administrador puede conceder credenciales administrativas a un usuario al determinar si un error está relacionado con derechos de acceso. Si el administrador olvida revocar esas credenciales con privilegios elevados después de completar el proceso de solución de problemas, la integridad del sistema está comprometida.

Porque puede disminuir la seguridad del sistema a lo largo del tiempo por este tipo de acción, es una buena idea para realizar auditorías periódicas. Para ello, documentar aspectos claves de un sistema para crear una medida de línea de base original. Compare esta configuración de la línea de base con el tiempo para determinar si se han desarrollado los problemas que puede reducir significativamente el nivel de vulnerabilidad.

Para obtener información adicional acerca los elementos de configuración específica que debe auditar para aplicaciones conectadas .NET o específicamente para las aplicaciones ASP.NET, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
815143Cómo: Auditar la seguridad de la configuración de .NET Framework
815144Cómo: Auditar la seguridad de una aplicación Web ASP.NET o servicio Web

Configurar una aplicación .NET-Connected y Microsoft SQL Server para utilizar un número alternativo de puerto de red Communications

Muchas herramientas automatizadas identifican servicios disponibles y vulnerabilidades consultando los números de puerto conocido. Estas herramientas incluyen herramientas de evaluación de seguridad legítimo y herramientas que los usuarios malintencionados pueden utilizar.

Una manera de reducir la exposición a estos tipos de herramientas es cambiar el número de puerto que las aplicaciones utilizan. Puede aplicar este método a las aplicaciones conectadas .NET que se basan en una base de datos back-end de Microsoft SQL Server. Este método funciona si el servidor y el cliente están configurados correctamente.

Para obtener información adicional acerca de cómo cambiar el número de puerto una aplicación conectada .NET utiliza para comunicarse con un equipo que ejecuta SQL Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815146Cómo: Configurar una aplicación .NET-Connected y SQL Server para utilizar un número alternativo de puerto de red Communications

Bloqueo abajo una aplicación Web ASP.NET o servicio Web

Hay muchas formas de aumentar la seguridad de las aplicaciones Web ASP.NET y servicios Web. Por ejemplo, puede utilizar el filtrado de paquetes, servidores de seguridad, permisos de archivo restrictivo, el filtro ISAPI de análisis de URL y privilegios cuidadosamente controlados de SQL Server. Es una buena idea para revisar estos diferentes métodos para proporcionar seguridad en profundidad para las aplicaciones ASP.NET.

Para obtener información adicional acerca de cómo aumentar la seguridad de la aplicación ASP.NET en varios niveles, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815145Cómo: Bloquear abajo una aplicación Web ASP.NET o servicio Web

Configurar archivo NTFS permisos para aumentar la seguridad de aplicaciones de ASP.NET

Permisos de archivo NTFS seguir una capa importante de seguridad de las aplicaciones Web. Las aplicaciones de ASP.NET incluyen muchos más tipos de archivo de entornos de aplicación Web anteriores. Los archivos que cuentas de usuario anónimo deben tener acceso a no es obvio.

Para obtener información adicional sobre los permisos de archivo mínimo que deben tener tipos de archivo ASP.NET habituales, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815153Cómo: Configurar los permisos de archivos NTFS para seguridad de aplicaciones ASP.NET

Configurar SQL Server Security para aplicaciones que están basadas en .NET Framework

De forma predeterminada, SQL Server no le concede a los usuarios la capacidad de consultar o actualizar bases de datos. Esta regla se aplica también a las aplicaciones ASP.NET y la cuenta de usuario ASPNET. Para habilitar las aplicaciones de ASP.NET tener acceso a datos que se almacenan en una base de datos de SQL Server, el Administrador de la base de datos debe conceder derechos a la cuenta ASPNET.

Para obtener información adicional acerca de cómo configurar SQL Server para permitir consultas y actualizaciones de las aplicaciones ASP.NET, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815154Cómo: Configurar la seguridad de SQL Server para aplicaciones .NET

Configurar URLScan para aumentar la protección de aplicaciones Web ASP.NET

Cuando instala URLScan en un servidor de IIS 5.0 (IIS 5.0), se configura para permitir que ejecute las aplicaciones de ASP 3.0. Sin embargo, cuando se instala .NET Framework, la configuración de URLScan no se actualiza para incluir los tipos de archivo nuevos de ASP.NET. Si desea que la seguridad agregada del filtro ISAPI de URLScan para las aplicaciones ASP.NET, ajustar el URLScan configuración.

Para obtener información adicional acerca de cómo modificar la configuración de URLScan para aumentar la seguridad para las aplicaciones ASP.NET, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815155Cómo: Configurar URLScan para proteger aplicaciones Web ASP.NET

Requerir autenticación para las aplicaciones Web ASP.NET

Muchas aplicaciones ASP.NET no permiten el acceso anónimo. Una aplicación ASP.NET que requiere la autenticación puede utilizar uno de los tres métodos siguientes: Forms autenticación, autenticación de Microsoft .NET Passport y Windows autenticación. Cada método de autenticación requiere una técnica de configuración diferente.

Restringir específicos de usuarios de ganar acceso a recursos de Web especificada

ASP.NET incluye autenticación de formularios. Esto es una forma única para autenticar usuarios sin crear cuentas de Windows. ASP.NET también incluye la capacidad para conceder o denegar acceso a recursos de Web distintos de estos usuarios.

Para obtener información adicional acerca de cómo controlar el acceso a recursos de Web por usuario, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815151Cómo: Restringir usuarios específicos de ganar acceso a recursos de Web especificada

Limitar los servicios Web de protocolos que permite un servidor

De forma predeterminada, ASP.NET admite tres formas para los clientes emitir peticiones a servicios Web de servicios Web: SOAP, HTTP GET y PUT de HTTP. Sin embargo, la mayoría de las aplicaciones requieren sólo uno de estos tres métodos. Es una buena idea de reducir la superficie de ataque deshabilitando todos los protocolos no utilizados.

Para obtener información adicional acerca de cómo deshabilitar los protocolos de servicios Web no utilizados, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815150Cómo: Limitar los protocolos de servicios Web que permite un servidor

No permitir explorador acceso a servicios Web .NET-Connected

Los servicios Web ASP.NET proporcionan una interfaz compatible con explorador para facilitar a los desarrolladores crear a clientes de servicios Web. Esta interfaz descriptivo permite cualquier persona que puede alcanzar el servicio Web para ver los detalles completos de los métodos que están disponibles y los requeridos parámetros. Este acceso es útil para servicios Web públicos que incluyen métodos sólo está disponibles públicamente. Sin embargo, puede disminuir la seguridad de servicios Web privados.

Para obtener información adicional acerca de cómo controlar el acceso a recursos de Web por usuario, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815151Cómo: Restringir usuarios específicos de ganar acceso a recursos de Web especificada

Utilizar ASP.NET para proteger los tipos de archivo

La estructura de las aplicaciones ASP.NET hace que muchos archivos privados almacenarse con archivos que solicitan los usuarios finales. ASP.NET protege estos archivos intercepta las solicitudes de los archivos y devolver un error. Este tipo de protección se puede extender a cualquier tipo de archivo mediante opciones de configuración. Si su aplicación incluye tipos de archivo inusual que deben permanecer privadas, puede utilizar la protección de archivos ASP.NET para proteger dichos archivos.

Para obtener información adicional acerca de cómo configurar ASP.NET para proteger los tipos de archivo no estándar, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815152Cómo: Utilizar ASP.NET para proteger los tipos de archivo

Referencias

Para obtener más información acerca de cómo proteger las aplicaciones integradas en .NET Framework, visite los siguientes sitios Web de Microsoft:


Propiedades

Id. de artículo: 818014 - Última revisión: miércoles, 16 de mayo de 2007 - Versión: 3.5
La información de este artículo se refiere a:
  • Microsoft .NET Framework 1.0
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft ASP.NET 1.1
  • Microsoft .NET Framework 1.1
Palabras clave: 
kbmt kbsecurity kbweb kbhowtomaster KB818014 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 818014

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com