Comment faire : sécurisé des applications qui sont créées sur .NET Framework

Traductions disponibles Traductions disponibles
Numéro d'article: 818014 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article étape par étape décrit des considérations importantes pour la sécurisation des applications construites sur le .NET Framework. Cet article fait partie d'une série d'articles qui fournit des informations détaillées pour les applications qui est basé sur le .NET Framework.

Les articles correspondants dans cette série sont les suivants :
818016 Comment faire : déployer des applications qui sont créées sur .NET Framework
818013 Comment faire : prise en charge les applications qui sont créées sur .NET Framework
818015 Comment faire : réglage et échelle performances des applications qui sont créées sur .NET Framework
818014 Comment faire : sécurisé des applications qui sont créées sur .NET Framework

Ajuster le .NET Framework sécurité sur une base de zone par zone

Le .NET Framework attribue des niveaux de confiance à assemblys gérés. Ces affectations reposent, en partie sur la zone où s'exécute l'assembly. Les zones standard sont poste de travail, intranet local, Internet, sites de confiance et sites non autorisés. Vous devrez peut-être augmenter ou diminuer le niveau de confiance est associé à une des ces zones. Le .NET Framework inclut des outils permettant de régler ces paramètres.

Pour plus d'informations sur l'ajustement l'approbation affectée à une zone, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815148 Comment faire : modifier .NET Framework sécurité sur une base de zone par zone

Ajuster le niveau de confiance qui vous autoriser à un assembly de Framework .NET

Le .NET Framework inclut plusieurs manières de déterminer le niveau de confiance vous devez accorder à un assembly. Toutefois, vous pouvez apporter des exceptions pour les règles pour activer un assembly spécifique recevoir un niveau de confiance supérieur doit généralement recevoir en fonction de la preuve fournie pour le common language runtime. Le .NET Framework fournit un outil Assistant spécialement à cet effet.

Pour plus d'informations sur comment régler les niveaux de confiance pour une assembly, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815147 Comment faire : modifier le niveau de confiance pour une assembly Framework .NET

Restaurer les niveaux de stratégies qui ont été personnalisées

En tant qu'administrateur, vous pouvez connaître contrôler l'accès vous accorder aux assemblys qui exécuter aux différents niveaux de confiance. Si vous personnalisez des niveaux de confiance, vous pouvez rencontrer des problèmes lorsque vous exécutez une application qui s'exécute généralement avec un niveau de confiance standard. Cependant, vous pouvez rapidement rétablir niveaux de stratégie sur leurs paramètres par défaut.

Pour plus d'informations sur la restauration des niveaux de stratégie sur leurs paramètres par défaut, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815165 Comment faire pour restaurer les niveaux de stratégies par défaut pour les applications ASP.NET

Évaluer les autorisations qui sont accordées à un assembly

Lorsque vous disposez Entreprise, ordinateur et les stratégies de configuration de sécurité utilisateur et niveaux de confiance personnalisables, il peut être difficile évaluer les autorisations qui ont été accordées à un assembly géré. La configuration de .NET Framework outil comporte une méthode simple pour évaluer ces autorisations.

Pour plus d'informations sur la façon évaluer les autorisations qui ont été accordées à un assembly, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815170 Comment faire pour évaluer les autorisations qui sont accordées à un assembly

Audit de la sécurité des applications connectés à .NET

Lors de mises à jour, test et le dépannage, la configuration de systèmes de production peut changent de façons accidentelles. Par exemple, un administrateur peut accorder des informations d'identification d'administration à un utilisateur lors de déterminer si une erreur est liée à des droits d'accès. Si cet administrateur oublie d'annuler ces informations d'identification avec des privilèges élevés fin le processus de dépannage, l'intégrité du système est compromise.

Parce que la sécurité du système peut être dégradée temps par ce type d'action, il est judicieux d'effectuer des audits réguliers. Pour ce faire, document clés aspects d'un système pristine pour créer une mesure de planification. Comparez ces paramètres à la planification initiale dans le temps pour déterminer si des problèmes ont développé qui peut considérablement réduire le niveau de problème.

Pour plus d'informations sur les éléments de configuration spécifiques qui vous devez auditer pour les applications connectées à .NET ou spécifiquement pour les applications ASP.NET, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
815143 Comment faire : d'audit de la sécurité de la configuration de Framework .NET
815144 Comment faire : d'audit de la sécurité d'un application Web ASP.NET ou d'un service Web

Configurer une application connectée de .NET and le Microsoft SQL Server pour utiliser un numéro de port de l'autre pour Network Communications

De nombreux outils automatisés identifier les services disponibles et des vulnérabilités en interrogeant les numéros de port connu. Ces outils comprennent notamment les outils de l'évaluation de sécurité légitime et les outils que les utilisateurs malveillants peuvent utiliser.

Une afin de réduire l'exposition à ces types d'outils consiste à modifier le numéro de port les applications utilisent. Vous pouvez appliquer cette méthode pour les applications connectées à .NET qui reposent sur une base de données Microsoft SQL Server back-end. Cette méthode fonctionne si le serveur et le client sont configurés correctement.

Pour plus d'informations sur la façon de modifier le numéro de port à une application .NET utilise pour communiquer avec un ordinateur exécutant SQL Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815146 Comment faire : configurer une application connectée de .NET et de SQL Server pour utiliser un numéro de port de l'autre pour Network Communications

Verrouillage vers le bas d'une application Web ASP.NET ou un service Web

Il existe plusieurs façons d'accroître la sécurité d'applications Web ASP.NET et services Web. Par exemple, vous pouvez utiliser le filtrage de paquets, pare-feux, les autorisations de fichier restrictif, le filtre ISAPI analyse URL et les soigneusement contrôlés SQL Server droits. Il est judicieux de consulter ces méthodes différentes pour fournir une sécurité en profondeur pour les applications ASP.NET.

Pour plus d'informations sur la façon d'améliorer la sécurité ASP.NET-application sur plusieurs couches, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815145 Comment faire pour verrouiller vers le bas d'une application Web ASP.NET ou un service Web

Configurer les fichiers NTFS autorisation pour augmenter la sécurité des applications ASP.NET

Autorisations de fichier NTFS continuer à être une couche importante de sécurité pour les applications Web. Les applications ASP.NET d'inclure plusieurs types de fichier plus que les environnements d'application Web précédentes. Les fichiers comptes d'utilisateur anonyme doivent avoir accès à n'est pas évidente.

Pour plus d'informations sur les autorisations de fichier minimale des types de fichiers ASP.NET courants nécessaires, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815153 Comment faire pour configurer des autorisations de fichiers NTFS pour la sécurité des applications ASP.NET

Configurer SQL Server la sécurité des applications qui sont créées sur .NET Framework

Par défaut, SQL Server n'accorde pas aux utilisateurs la possibilité de requête ou de mettre à jour les bases de données. Cette règle s'applique également aux applications ASP.NET et le compte d'utilisateur ASPNET. Pour activer les applications ASP.NET accéder aux données qui sont stockées dans une base de données SQL Server, l'administrateur de base de données devez accorder les droits au compte ASPNET.

Pour plus d'informations sur la façon de configurer SQL Server pour autoriser requêtes et mises à jour des applications ASP.NET, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815154 Comment faire pour configurer sécurité SQL Server pour les applications .NET

Configurer URLScan pour augmenter la protection des applications Web ASP.NET

Lorsque vous installez URLScan sur un serveur Internet Information Services 5.0 (IIS 5.0), il est configuré pour autoriser les applications ASP 3.0 exécuter. Toutefois, lorsque vous installez le .NET Framework, la configuration d'URLscan n'est pas mis à jour pour inclure les nouveaux types de fichier ASP.NET. Si vous souhaitez la sécurité ajoutée du filtre ISAPI URLScan pour vos applications ASP.NET, ajustez l'outil URLScan configuration.

Pour plus d'informations sur la façon de modifier la configuration d'URLscan pour améliorer la sécurité pour les applications ASP.NET, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815155 Comment faire pour configurer URLScan pour protéger les applications Web ASP.NET

Nécessite l'authentification pour les applications Web ASP.NET

De nombreuses applications ASP.NET n'autorisent pas l'accès anonyme. Une application ASP.NET qui nécessite l'authentification pouvez utiliser une des trois méthodes suivantes : Forms l'authentification, l'authentification Microsoft .NET Passport et Windows l'authentification. Chaque méthode d'authentification exige une technique configuration différente.

Spécifique de restreindre les utilisateurs de meilleure accès aux ressources Web spécifié

ASP.NET inclut l'authentification sur les formulaires. C'est un moyen unique pour authentifier les utilisateurs sans créer de comptes Windows. ASP.NET offre également la possibilité d'accorder ou refuser ces utilisateurs l'accès aux ressources Web différents.

Pour plus d'informations sur la façon de contrôler l'accès aux ressources Web en fonction de l'utilisateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815151 Comment faire pour restreindre les utilisateurs spécifiques de meilleure accès aux ressources Web spécifié

Limiter les services Web protocoles qui autorise un serveur

Par défaut, ASP.NET prend en charge trois méthodes pour les clients à émettre des demandes pour les services Web des services Web : SOAP, HTTP GET et HTTP PUT. Toutefois, la plupart des applications ne requièrent qu'une de ces trois méthodes. Il est judicieux de réduire la surface d'attaque en désactivant les protocoles non utilisés.

Pour plus d'informations sur la façon de désactiver protocoles de services Web non utilisés, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815150 Comment faire pour limiter les protocoles de services Web qui autorise un serveur

Ne permet pas de navigateur Access services Web connectés à .NET

Les services Web ASP.NET fournissent une interface conviviale de navigateur pour faciliter pour les développeurs de créer des clients des services Web. Cette interface convivial autorise toute personne peut atteindre le service Web pour afficher les détails complètes des méthodes qui sont disponibles et les requise paramètres. Cet accès est utile pour publics services Web qui incluent des méthodes uniquement disponibles publiquement. Toutefois, il peut réduire la sécurité des services Web privées.

Pour plus d'informations sur la façon de contrôler l'accès aux ressources Web en fonction de l'utilisateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815151 Comment faire pour restreindre les utilisateurs spécifiques de meilleure accès aux ressources Web spécifié

Utilisez ASP.NET pour protéger les types de fichiers

La structure des applications ASP.NET provoque nombreux fichiers privés à stocker avec fichiers qui demande aux utilisateurs finaux. ASP.NET protège ces fichiers en interception des requêtes pour les fichiers et en renvoyant une erreur. Vous pouvez étendre ce type de protection à tout type de fichier à l'aide des paramètres de configuration. Si votre application inclut des types de fichiers inhabituels qui doivent rester privées, vous pouvez utiliser protection des fichiers ASP.NET pour protéger ces fichiers.

Pour plus d'informations sur la façon de configurer ASP.NET afin de protéger les types de fichiers non standard, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815152 Comment faire pour utiliser ASP.NET pour protéger les types de fichiers

Références

Pour plus savoir comment sécuriser les applications qui sont conçues sur le .NET Framework, reportez-vous au adresse aux sites Web de Microsoft aux adresses suivantes :


Propriétés

Numéro d'article: 818014 - Dernière mise à jour: mercredi 16 mai 2007 - Version: 3.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft .NET Framework 1.0
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft ASP.NET 1.1
  • Microsoft .NET Framework 1.1
Mots-clés : 
kbmt kbsecurity kbweb kbhowtomaster KB818014 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 818014
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com