如何: 是否生成在.net 框架上的应用程序安全

文章翻译 文章翻译
文章编号: 818014 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本分步指南介绍了保护在.net 框架上构建的应用程序的重要注意事项。本文是一系列提供在.net 框架上构建的应用程序的详细的信息的文章之一。

本系列文章包括以下内容:
818016如何: 部署程序的应用程序是否在.net 框架上构建
818013如何: 支持是否生成在.net 框架上的应用程序
818015如何: 调整和缩放是否生成在.net 框架上的应用程序的性能
818014如何: 是否生成在.net 框架上的应用程序安全

调整区域的区域基础上的.net 框架安全

.NET 框架为托管程序集分配信任级别。这些工作分配是,部分基于,区域运行该程序集的位置。我的电脑、 本地 Intranet、 Internet、 受信任的站点和不受信任的站点,都是标准区域。 您可能需要增加或减少与其中一个区域相关联的信任级别。.NET 框架包括的工具可用于调整这些设置。

有关调整信任分配到一个区域的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815148如何: 调整区域的区域基础上的.net 框架安全

调整您到.net 框架程序集授予的信任级别

.NET 框架包含许多方法来确定的您应该向程序集授予信任级别。但是,您可以将要启用接收一个更高的信任级别比它通常将接收基于证据提供给公共语言运行库的特定程序集的规则的例外情况。.NET Framework 提供了一个向导工具,专为此目的。

有关如何调整为程序集的信任级别的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815147如何: 更改的是.net 框架程序集的信任级别

还原已被自定义的策略级别

以管理员身份,您具有完全控制授予不同信任级别运行的程序集的访问。如果您自定义信任级别,您可能会遇到问题,当您在一个标准的信任级别下运行通常的方式运行的应用程序。但是,您可以快速恢复策略级别,为其默认设置。

有关如何还原为其默认设置的策略级别的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815165如何: 为 ASP.NET 应用程序还原默认策略级别

评估为程序集授予的权限

当您有企业、 计算机,和用户的安全配置策略和可自定义信任级别时,很难评估已向托管程序集授予的权限。.NET Framework 配置工具包括一种简单的方法,以评估这些权限。

有关如何评估已对程序集授予权限的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815170如何: 求值是否为程序集授予的权限

审核.net 连接应用程序的安全

在测试,和故障排除的升级过程中的生产系统的配置可能会以意外方式更改。例如对于管理员可能授予管理凭据的用户确定是否与错误的访问权限时。如果该管理员忘记了后完成故障排查过程吊销这些提升的凭据,遭到破坏系统的完整性。

可以用这种类型,随着时间的推移会降低系统的安全性,因为它是操作的执行定期审核是操作的个好主意。为此文档创建基线度量值的 pristine 系统的关键方面。进行这些设置对比较基准比较随以确定是否已经开发了任何问题可能会显著降低的漏洞级别的时间。

您应该进行审核的.net 连接的应用程序或专门为 ASP.NET 应用程序的特定的配置项有关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815143如何: 审核.net Framework 配置的安全
815144如何: 审核 ASP.NET Web 应用程序或 Web 服务的安全

配置.net 连接应用程序和 Microsoft SQL Server 的全局端口号用于网络通信

很多的自动化的工具通过查询众所周知的端口号来标识可用的服务和安全漏洞。这些工具包括合法的安全评估工具和恶意用户可能使用的工具。

若要减少暴露于这些类型的工具的一种方法是更改应用程序使用的端口号。您可以将此方法应用于依赖于后端 Microsoft SQL Server 数据库的连接.net 的应用程序。如果在服务器和客户端都已正确配置时,此方法有效。

有关的其他信息如何更改端口号连接.net 的应用程序用来与运行 SQL Server 的计算机进行通信,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815146如何: 配置一个.net 连接应用程序和 SQL Server,一个全局端口号用于网络通信

向 ASP.NET Web 应用程序或 Web 服务下的锁定

有许多方法可以提高 ASP.NET Web 应用程序和 Web 服务的安全性。例如对于您可以使用数据包筛选、 防火墙、 严格的文件权限,该 URL 扫描 ISAPI 筛选和仔细的受控 SQL Server 权限。它是检查这些不同的方法,为 ASP.NET 应用程序提供安全深度是个好主意。

有关如何提高在多个图层的 ASP.NET 应用程序安全性的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815145如何: 向 ASP.NET Web 应用程序或 Web 服务下的锁定

若要增加的 ASP.NET 应用程序的安全配置 NTFS 文件权限

NTFS 文件权限仍然是一个重要的安全的 Web 应用程序层。ASP.NET 应用程序中包含许多更多的文件类型,比以前的 Web 应用程序环境。匿名用户帐户必须有权访问该文件不是显而易见的。

有关常见 ASP.NET 文件类型必须具有的最小的文件权限的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815153如何: 配置安全的 ASP.NET 应用程序的 NTFS 文件权限

配置 SQL Server 是否生成在.net 框架上的应用程序的安全性

默认状态下,SQL Server 不授予用户能够查询或更新数据库。此规则也适用于 ASP.NET 应用程序和 ASPNET 用户帐户。若要能够访问 SQL Server 数据库中存储的数据的 ASP.NET 应用程序数据库管理员必须授予 ASPNET 帐户的权限。

有关如何配置 SQL Server 允许查询和更新从 ASP.NET 应用程序的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815154如何: 在.net 应用程序的配置 SQL Server 安全

配置 URLScan 提升的 ASP.NET Web 应用程序保护

当您在 Internet Information Services 5.0 (IIS 5.0) 服务器上安装 URLScan 时,它被配置为允许运行的 ASP 3.0 应用程序。但是时安装了.net 框架, URLScan 配置不会更新以包括新的 ASP.NET 文件类型。如果所需的 URLScan ISAPI 筛选器添加的安全的 ASP.NET 应用程序,调整该 URLScan 配置。

有关如何修改 URLScan 配置以提高安全性的 ASP.NET 应用程序的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815155如何: 配置 URLScan 对保护 ASP.NET Web 应用程序

ASP.NET Web 应用程序的要求身份验证

许多 ASP.NET 应用程序不允许匿名访问。 ASP.NET 应用程序要求身份验证可以使用以下三种方法之一: Forms 身份验证、 Microsoft.net Passport 的身份验证和 Windows 身份验证。每个身份验证方法要求不同的配置方法。

从获得对指定的 Web 资源的访问限制特定用户

ASP.NET 包括 Forms 身份验证。这是对用户进行身份验证而不创建 Windows 帐户的唯一方法。ASP.NET 还包含能够授予或拒绝这些用户对不同的 Web 资源的访问。

有关如何控制对每用户基础上的 Web 资源的访问权限的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815151如何: 从获得对指定的 Web 资源的访问限制特定用户

限制 Web 服务的服务器许可证协议

默认状态下,ASP.NET 支持三种方法的 Web 服务客户端发出的 Web 服务的请求: SOAP、 HTTP GET,和 HTTP PUT。但是,大多数应用程序需要使用这三种方法之一。它是一个好主意,降低了攻击面,通过禁用任何未使用的协议。

有关如何禁用未使用的 Web 服务协议的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815150如何: 限制许可证服务器,Web 服务协议

执行不允许浏览器到.net 连接的 Web 服务的访问

ASP.NET Web 服务提供一个浏览器友好的界面使开发人员能够创建 Web 服务客户端更容易。此友好的界面允许任何人可以访问 Web 服务,以查看可用的方法的完整的详细信息,任何所需的参数。这种访问可用于公用 Web 服务,包括只公开的方法。但是,它可能会降低安全性的专用 Web 服务。

有关如何控制对每用户基础上的 Web 资源的访问权限的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815151如何: 从获得对指定的 Web 资源的访问限制特定用户

使用 ASP.NET 来保护文件类型

ASP.NET 应用程序的结构会导致最终用户请求的文件存储的许多专用的文件。ASP.NET 通过截获对该文件的请求,并返回错误,可以保护这些文件。您可以使用配置设置来扩展到任何文件类型的这种类型的保护。如果您的应用程序中包括应保持专用的异常的文件类型可以使用 ASP.NET 文件保护来保护这些文件。

有关如何配置 ASP.NET 可以保护非标准的文件类型的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815152如何: 使用 ASP.NET 来保护文件类型

参考

有关如何保护在.net 框架上构建的应用程序的详细信息请访问以下 Microsoft 网站:


属性

文章编号: 818014 - 最后修改: 2007年5月16日 - 修订: 3.5
这篇文章中的信息适用于:
  • Microsoft .NET Framework 1.0
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft ASP.NET 1.1
  • Microsoft .NET Framework 1.1
关键字:?
kbmt kbsecurity kbweb kbhowtomaster KB818014 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 818014
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com