如何: 安全的.NET Framework 建置的應用程式

文章翻譯 文章翻譯
文章編號: 818014 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您的保護在.NET Framework 建置的應用程式的重要考量。本文是其中一系列提供在.NET Framework 建置的應用程式的詳細的資訊的文章。

本系列中的文件包括下列各項:
818016如何: 部署在.NET Framework 建置的應用程式
818013如何: 支援在.NET Framework 建置的應用程式
818015如何: 調整及縮放在.NET Framework 建置的應用程式的效能
818014如何: 安全的.NET Framework 建置的應用程式

調整區域依區域為基礎的.NET Framework 安全性

.NET Framework 會信任層級指派給 Managed 組件。這些工作分派根據,在某種組件的執行的區域。標準的區域是我的電腦]、 [近端內部網路]、 [網際網路]、 [信任的網站] 和 [不受信任的網站。 您可能必須增加或減少與這些區域的其中一個相關聯的信任層級。.NET Framework 包括調整這些設定的工具。

取得更多資訊有關調整指派到一個區域的信任按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815148如何: 調整.NET Framework 安全性區域的區域為基礎

調整您提供給.NET Framework 組件的信任層級

.NET Framework 包括許多種方法來判斷您應該授與給組件的信任層級。但是,您可以使規則,以啟用特定的組件,以接收較高的信任層級比會通常收到根據辨識項提供給公用語言執行時間的例外狀況。.NET Framework 提供精靈的工具特別為這個目的。

如需有關如何調整組件的信任層級的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815147如何: 變更信任層級的.NET Framework 組件

還原已自訂的原則層級

以系統管理員的身份您擁有完整控制權授與執行各種信任層級的組件的存取。如果您自訂信任層級,您可能會遇到問題,當您在標準的信任層級下執行通常執行的應用程式。但是,您可以為其預設設定快速還原的原則層級。

如需有關如何還原為其預設設定的原則層級的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815165如何: 還原預設原則層級的 ASP.NET 應用程式

評估組件授與的權限

當您感到色彩太企業、 電腦,和使用者的安全性組態原則且可自訂的信任層級時,很難評估的 Managed 組件已授與權限。.NET Framework 組態工具包括簡單的方法,可以評估這些權限。

如需有關如何評估已授與組件的權限的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815170如何: 評估組件授與的權限

稽核.NET 連線應用程式安全性

升級測試,和疑難排解,期間的生產系統組態可能以超過預期的方式變更。授,例如系統管理員可能會與系統管理認證使用者時判斷錯誤是否與相關的存取權限。如果該管理員忘記這些提高權限的憑證撤銷完成疑難排解的程序之後,遭到入侵系統的完整性。

因為系統的安全性可以降低經過一段時間,此類型的動作,最好執行定期稽核。執行此動作請直接記錄關鍵層面 pristine 系統建立比較基準量值。比較可能會大幅降低弱點的層級的時間來判斷任何問題是否已經開發這些設定值與比較基準。

如額外有關特定的組態項目,您應該稽核對於.NET 連線應用程式或者專門針對 ASP.NET 應用程式的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
815143如何: 稽核.NET Framework 組態的安全性
815144如何: 稽核 ASP.NET Web 應用程式或 Web 服務的安全性

設定.NET 連線應用程式及 Microsoft SQL Server 使用一個替代的連接埠號碼作為網路通訊

許多的自動化的工具識別可用的服務及安全性漏洞查詢熟知的連接埠號碼。這些工具包括合法的安全性評定工具和惡意使用者可能使用的工具。

降低這類工具風險的一種方法是變更應用程式使用的連接埠號碼。您可以將這個方法套用至.NET 連線依賴應用程式後端 Microsoft SQL Server 資料庫。如果在伺服器和用戶端已正確設定此方法的效果。

如其他有關如何變更連接埠號碼.NET 連線應用程式用來與執行 SQL Server 的電腦通訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
815146如何: 設定.NET 連線應用程式與 SQL Server,用於網路通訊的一個替代的連接埠號碼

鎖定的 ASP.NET Web 應用程式或 Web 服務

有許多方法來增加安全性的 ASP.NET Web 應用程式及 Web 服務。比方說,您可以使用封包篩選、 防火牆、 嚴格的檔案權限、 該 URL 掃描 ISAPI 篩選器及仔細受控制的 SQL Server 權限。最好檢閱這些不同的方法為 ASP.NET 應用程式提供深度安全性。

如需有關如何增加多個層級的 ASP.NET 應用程式安全性的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815145如何: 鎖定 ASP.NET Web 應用程式或 Web 服務

設定 NTFS 檔案權限,以增加安全性的 ASP.NET 應用程式

NTFS 檔案權限繼續是很重要的圖層的 Web 應用程式的安全性。ASP.NET 應用程式包含許多比前一個 Web 應用程式環境的多個檔案類型。匿名使用者帳戶必須具有存取權的檔案並不明顯。

如其他有關常見的 ASP.NET 檔案類型必須具有的最小的檔案權限,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815153如何: 設定 NTFS 使用權檔案限基於安全性的 ASP.NET 應用程式

設定 SQL Server 在.NET Framework 建置的應用程式的安全性

預設情況下,SQL Server 不授與使用者查詢或更新資料庫的能力。此規則也適用於 ASP.NET 應用程式和 ASPNET 使用者帳戶。若要能夠存取儲存在 SQL Server 資料庫中的資料的 ASP.NET 應用程式資料庫系統管理員必須授與權限給 ASPNET 帳戶。

如需有關如何設定 SQL Server,以允許查詢和更新從 ASP.NET 應用程式的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815154如何: 設定.NET 應用程式的 SQL Server 安全性

設定 URLScan 增加保護 ASP.NET Web 應用程式

當您在上一個網際網路資訊服務 5.0 (IIS 5.0) 伺服器安裝 URLScan 時則被設定成允許 ASP 3.0 的應用程式來執行。但是,您在安裝.NET Framework 時 URLScan 設定不會更新以包含新的 ASP.NET 檔案類型。如果增加的安全性 URLScan ISAPI 篩選器的需 ASP.NET 應用程式調整 [URLScan 組態。

如需有關如何修改 URLScan 設定,以增加安全性的 ASP.NET 應用程式的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815155如何: 設定 URLScan 來保護 ASP.NET Web 應用程式

需要驗證的 ASP.NET Web 應用程式

許多 ASP.NET 應用程式並不允許匿名存取。 ASP.NET 應用程式要求驗證可以使用下列三種方法之一: 表單驗證、 Microsoft.NET Passport 驗證和 Windows 驗證。每個驗證方法需要一項不同的組態的技巧。

取得指定 Web 資源的存取限制特定使用者

ASP.NET 包含表單驗證。這是唯一的方法而不建立 Windows 帳戶驗證的使用者。ASP.NET 也包括授與或拒絕這些使用者不同的 Web 資源的存取能力。

如其他有關如何控制每個使用者為基礎的 Web 資源的存取權,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815151如何: 限制特定使用者存取指定的 Web 資源

Web 服務通訊協定伺服器允許的限制

依預設值,ASP.NET 支援三種方法可以為 Web 服務用戶端發出要求給 Web 服務: SOAP、 HTTP GET,及 HTTP PUT。不過,大部分的應用程式需要只這些三種方法之一。最好減少受攻擊面停用任何未使用的通訊協定。

如需有關如何停用未使用的 Web 服務通訊協定的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815150如何: 限制伺服器允許的 Web 服務通訊協定

不允許瀏覽器存取到.NET 連接 Web 服務

ASP.NET Web 服務提供瀏覽器友善介面,讓開發人員建立 Web 服務用戶端更容易。這個好記的介面允許任何人可以到達 Web 服務,以檢視可用的方法的完整的詳細資訊,以及任何所需的參數。包含只公開提供使用方法的公用 Web 服務可用於此存取。然而,它可能會降低私用的 Web 服務的安全性。

如其他有關如何控制每個使用者為基礎的 Web 資源的存取權,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815151如何: 限制特定使用者存取指定的 Web 資源

使用 ASP.NET 來保護的檔案類型

ASP.NET 應用程式結構會使許多私用的檔案與一般使用者要求的檔案一起儲存。ASP.NET 保護這些檔案,藉由攔截該檔案的要求,並傳回錯誤。您可以使用組態設定,擴充至任何檔案類型的此類的保護。如果您的應用程式中包含應保持私密的不尋常的檔案類型您可以使用 ASP.NET 檔案保護來保護那些檔案。

如需有關如何設定 ASP.NET 保護非標準的檔案類型的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
815152如何: 使用 ASP.NET 來保護的檔案類型

?考

如需有關如何安全的.NET Framework 建置的應用程式的詳細資訊,請造訪下列 Microsoft 網站:


屬性

文章編號: 818014 - 上次校閱: 2007年5月16日 - 版次: 3.5
這篇文章中的資訊適用於:
  • Microsoft .NET Framework 1.0
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft ASP.NET 1.1
  • Microsoft .NET Framework 1.1
關鍵字:?
kbmt kbsecurity kbweb kbhowtomaster KB818014 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:818014
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com