أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

الثقة الجزئية على صفحات ASP.NET لا تضمن عزل التطبيق

مقدمة
تتيح صفحات ASP.NET للمسؤولين إمكانية استضافة تطبيقات في أوضاع ثقة جزئية مثل ثقة متوسطة. كما تتيح لتكوين مستويات الثقة الجزئية المخصصة من خلال ملفات نهج مخصص. لمزيد من المعلومات حول كيفية استخدام الثقة المتوسطة في ASP.NET 2.0، انتقل إلى صفحة Microsoft Developer Network (MSDN) على الويب: لقد شرحنا فيما سبق وضع الثقة الجزئية في ASP.NET على أنه آلية لتطبيق عزل التطبيق في بيئة استضافة مشتركة تتم فيها استضافة تطبيقات متعددة ذات مستويات ثقة مختلفة على نفنس خادم الويب. ونقوم بتحديث توجيهاتنا حول هذا لتوضيح أن تشغيل تطبيق إطار عمل لصفحة ASP.NET في وضع ثقة جزئية لا يضمن العزل التام عن التطبيقات الأخرى التي تعمل خلال العملية ذاتها أو على جهاز الكمبيوتر نفسه. 

يُعد تكوين تطبيقات إطار عمل صفحة ASP.NET لتعمل خلال عمليات منخفضة الامتيازات منفصلة (باستخدام تجمعات تطبيقات منفردة) الإجراء الموصى به للتأكد من العزل عن تطبيقات إطار عمل صفحة ASP.NET الأخرى على خادم الويب نفسه. ويوفر القسم التالي تفاصيل حول كيفية تكوين تطبيقات للعزل. يتم تحديث الوثائق الأخرى لعكس التغييرات التي تطرأ على النهج الموضحة في هذه المقالة.
معلومات أخرى
يجب على مسؤولي الخادم تطبيق الإرشادات الواردة في هذه المقالة للتأكد من عزل التطبيقات الموجودة في بيئات استضافة مشتركة. تنطبق هذه الإرشادات على استضافة ASP.NET على نظام التشغيل Windows Server 2003 SP2 والإصدارات الأحدث. تغطي الإرشادات خدمات معلومات إنترنت (IIS) من الإصدار 6.0 إلى 7.5.

يمكن تشغيل العديد من المهام المذكورة هنا تلقائيًا باستخدام أداة سطر الأمر في IIS AppCmd.exe في IIS الإصدار 7 و7.5 وباستخدام برامج إدارة IIS النصية في IIS 6.0.

كيفية وضع التطبيقات على مواقع IIS منفصلة

في بيئة استضافة مشتركة، يجب وضع التطبيقات على مواقع IIS منفصلة. يتم عزل التكوين بشكل أفضل بين التطبيقات عند استضافتها على مواقع منفصلة. بالإضافة إلى ذلك، سيكون مضيف .NET Framework CLR منفصلاً. ويوفر هذا عزلاً إضافيًا على هذا المستوى.

لوضع كل تطبيق على موقع منفصل، اتبع الخطوات التالية:

خدمات معلومات إنترنت 6.0 (Windows Server 2003 SP2)

  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. في الجزء الأيمن، قم بتوسيع العقدة للخادم الحالي.
  3. انقر بزر الماوس الأيمن فوق عقدة مواقع الويب، وانقر فوق جديد، ثم انقر فوق موقع الويب.
  4. انقر فوق التالي.
  5. أدخل اسمًا فريدًا لموقع الويب الجديد، ثم انقر فوق التالي.
  6. قم بتكوين روابط الموقع لبيئة الاستضافة.
  7. أدخل المسار الفعلي للمجلد الذي يتم فيه تخزين ملفات التطبيق.
  8. انقر لتحديد خانة الاختيار تشغيل البرامج النصية (مثل ASP)، ثم انقر فوق التالي.
  9. انقر فوق إنهاء. يظهر الموقع الجديد ضمن عقدة مواقع الويب.

Internet Information Services 7 (Windows Vista SP2 وWindows Server 2008 SP1) وInternet Information Services 7.5 (Windows 7 وWindows Server 2008 R2)

  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. ضمن الجزء اتصالات، قم بتوسيع العقدة للخادم الحالي.
  3. حدد عقدة المواقع، ثم انقر فوق الارتباط إضافة موقع ويب ضمن الجزء إجراءات.
  4. ضمن مربع الحوار إضافة موقع ويب، أدخل اسمًا فريدًا لموقع الويب الجديد، ثم أدخل المسار الفعلي للمجلد الذي يتم تخزين ملفات التطبيق عليه. وتبعًا للإعدادات الافتراضية، يتم إنشاء تجميع تطبيق جديد يحمل نفس اسم الموقع، ويتم تكوين الموقع لاستخدام تجميع التطبيق هذا. (وهذا هو التكوين الموصى به.)
  5. قم بتكوين روابط الموقع لبيئة الاستضافة.
  6. انقر لإلغاء تحديد خانة الاختيار بدء تشغيل موقع الويب في الحال للتأكد من عدم توفر الموقع حتى يتم إكمال إرشادات العزل الواردة هنا.
  7. انقر فوق موافق. يظهر الموقع الذي تم تكوينه ضمن العقدة المواقع في الجزء اتصالات.

كيفية وضع التطبيقات في تجميعات تطبيق منفصلة

في بيئة استضافة مشتركة، يجب وضع التطبيقات في تجميعات تطبيق منفصلة. يسمح هذا بعزل التطبيقات إلى عمليات نظام تشغيل بهويات فريدة. ويوفر هذا مستوى عزل من موقع إلى آخر. (يصف القسم التالي كيفية تكوين هويات تجمع التطبيق للعزل).

خدمات معلومات إنترنت 6.0 (Windows Server 2003 SP2)

  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. في الجزء الأيمن، قم بتوسيع العقدة للخادم الحالي.
  3. انقر بزر الماوس الأيمن فوق تجمعات التطبيقات، انقر فوق جديد، ثم انقر فوق تجمع التطبيقات.
  4. أدخل اسمًا فريدًا لتجمع التطبيقات الجديد، ثم انقر فوق موافق.
  5. قم بتوسيع العقدة مواقع الويب.
  6. انقر بزر الماوس الأيمن فوق موقع الويب الهدف، ثم انقر فوق خصائص.
  7. انقر فوق علامة التبويب الدليل الرئيسي.
  8. ضمن الحقل تجمع التطبيقات في الجزء السفلي من مربع الحوار، حدد تجمع التطبيقات الجديد.
  9. انقر فوق موافق.

Internet Information Services 7 (Windows Vista SP2 وWindows Server 2008 SP1) وInternet Information Services 7.5 (Windows 7 وWindows Server 2008 R2)

بعد اتباع الخطوات المذكورة في القسم "كيفية وضع التطبيقات على مواقع IIS منفصلة"، يتم وضع الموقع الجديد تلقائيًا ضمن تجميع تطبيقات جديد ومنفصل. على الرغم من ذلك، إذا كان يجب عليك تكوين موقع حالي لاستخدام تجميع تطبيقات جديد ومنفصل، فاتبع الخطوات التالية: 
  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. ضمن الجزء اتصالات، قم بتوسيع العقدة للخادم الحالي.
  3. حدد العقدة تجمعات التطبيقات.
  4. ضمن الجزء إجراءات، انقر فوق الارتباط إضافة تجمع تطبيقات.
  5. أدخل اسمًا فريدًا لتجمع التطبيقات الجديدة، ثم حدد إصدار .NET Framework ووضع المسار.
  6. انقر فوق موافق. يتم عرض تجمع التطبيقات الجديد في القائمة.
  7. ضمن الجزء اتصالات، قم بتوسيع العقدة المواقع.
  8. حدد الموقع الذي ترغب في نقله إلى تجميع التطبيقات الذي قمت بإنشائه سابقًا خلال هذه الإجراءات.
  9. ضمن الجزء إجراءات، انقر فوق الارتباط الإعدادات الأساسية.
  10. ضمن مربع الحوار تحرير موقع، انقر فوق تحديد.
  11. ضمن القائمة تجمع التطبيقات، حدد تجمع التطبيقات الذي قمت بإنشائه سابقًا.
  12. انقر فوق موافق.
ضمن مربع الحوار تحرير موقع، انقر فوق موافق.

كيفية تكوين تجمعات التطبيقات للعزل (هوية العملية)

إن تجمعات التطبيقات تستضيف التطبيقات والمواقع المشاركة في عملية (أو عمليات) نظام التشغيل Windows. وتكون الهوية التي تعمل ضمنها العملية قابلةً للتكوين. في بيئة استضافة مشتركة، يجب توفر هوية منفصلة لكل تطبيق. يضمن ذلك تشغيل كل تطبيق ضمن سياق حساب فريد. يسمح ذلك بإجراء العزل الصحيح باستخدام قوائم التحكم بالوصول الاختيارية (DACL) الخاص بنظام الملف وميزات عزل العملية المضمنة لنظام التشغيل الأساسي. لإنشاء حساب مستخدم ثم تعيين تجمع تطبيقات لاستخدام هذا الحساب، اتبع هذه الخطوات.

Internet Information Services 6.0 (Windows Server 2003 SP2)

إنشاء حساب مستخدم محلي لاستخدامه كهوية تجمع التطبيق
  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. في الجزء على الجانب الأيمن، قم بتوسيع المستخدمون المحليون والمجموعات.
  3. انقر بزر الماوس الأيمن فوق العقدة المستخدمون، ثم انقر فوق مستخدم جديد.
  4. أدخل اسمًا فريدًا وكلمة مرور قوية لحساب المستخدم الجديد.
  5. انقر لإلغاء تحديد خانة الاختيار يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول في المرة القادمة.
  6. انقر لتحديد خانة الاختيار لا يمكن للمستخدم تغيير كلمة المرور.
  7. انقر فوق إنشاء، ثم انقر فوق إغلاق.
  8. في الجزء الأيمن، حدد العقدة المستخدمون. يظهر الحساب الجديد في القائمة.
قم بتكوين تجمع التطبيقات لاستخدام حساب مستخدم محلي جديد
  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. في الجزء الأيمن، قم بتوسيع العقدة للخادم الحالي.
  3. قم بتوسيع العقدة تجمعات التطبيقات.
  4. انقر بزر الماوس الأيمن فوق تجمع التطبيقات الهدف، ثم انقر فوق خصائص.
  5. انقر فوق علامة التبويب الهوية.
  6. حدد زر الخيار قابل للتكوين.
  7. أدخل اسم المستخدم وكلمة المرور للحساب الجديد.
  8. انقر فوق موافق.
  9. أعد إدخال كلمة المرور في مربع الحوار تأكيد كلمة المرور، ثم انقر فوق موافق.

Internet Information Services 7 و7.5 (Windows Vista SP2 وWindows Server 2008 SP1 وWindows 7 وWindows Server 2008 R2)

  1. افتح إدارة خدمات معلومات الإنترنت (IIS).
  2. ضمن الجزء اتصالات، قم بتوسيع العقدة للخادم الحالي.
  3. حدد العقدة تجمعات التطبيقات.
  4. حدد تجمع التطبيقات الهدف.
  5. ضمن الجزء إجراءات، انقر فوق الارتباط إعدادات متقدمة.
  6. ضمن القسم نموذج عملية، قم بتعيين الخاصية هوية التي تخص ApplicationPoolIdentity. يعمل هذا الإعداد تلقائيًا على إنشاء هوية فريدة لهذا التجمع من التطبيقات. ضمن الأقسام التالية، يمكنك استخدام هذه الهوية الفريدة لتعيين القوائم النسبية للتحكم بالوصول (DACL) في مواقع الملف الذي يحتاج التطبيق للوصول إليه.
  7. انقر فوق موافق.

كيفية تكوين قوائم DACL على مواقع محتوى التطبيق

تكون القائمة النسبية للتحكم بالوصول (DACL) عبارة عن قائمة بالأذونات المرتبطة بعنصر ويمكن استخدامها للتحكم بالوصول إلى العنصر. إن استخدام قوائم DACL لتقييد الوصول إلى محتوى التطبيق يساعد في تقوية العزل بين المواقع المستضافة على خادم الويب نفسه. للحصول على مزيد من المعلومات حول قوائم التحكم بالوصول وهويات IIS، راجع تأمين المحتوى في IIS من خلال القوائم النسبية للتحكم بالوصول الخاصة بنظام الملفات

جميع إصدارات IIS

  1. افتح المجلد الجذر لمحتوى الموقع من موجه الأوامر أو في مستكشف Windows.
  2. اتبع أيًا من الأساليب التالية لإزالة إدخالات لأي وصول غير مسؤول لهذا الموقع. (وهذا يتضمن مجموعة المستخدمين).
    • ضمن مستكشف Windows، انقر بزر الماوس الأيمن فوق المجلد، ثم حدد خصائص، ثم انقر فوق علامة التبويب الأمان، ثم قم بتغيير قائمة التحكم بالوصول.
    • ضمن موجه الأوامر، استخدم الأداة المساعدة icacls.exe (أو cacls.exe على الإصدارات الأقدم من نظام التشغيل Windows) لتغيير قائمة التحكم بالوصول.
  3. قم بإضافة إدخال جديد لهوية العملية التي حددتها للموقع.
  4. قم بإعطاء الهوية الجديدة إمكانية الوصول مع امتيازات القراءة والتنفيذ إلى المجلد.
إذا كان هناك مجلدات خاصة تتطلب أذونات الكتابة من التطبيق (على سبيل المثال، المجلد "عمليات تحميل")، اتبع الخطوات التالية:

خدمات معلومات إنترنت 6.0 (Windows Server 2003 SP2)

  1. ضمن مستكشف Windows، انقر بزر الماوس الأيمن فوق المجلد، ثم حدد خصائص، ثم انقر فوق علامة التبويب أمان، ثم قم بإضافة وصول تعديل لهوية العملية.
  2. بالنسبة للمجلدات التي تحتوي على محتوى ثابت (الصور والملفات النصية وغيرها)، اتبع الخطوات التالية:
    1. افتح إدارة خدمات معلومات الإنترنت (IIS).
    2. في الجزء الأيمن، انقر بزر الماوس الأيمن فوق اسم المجلد المناسب، ثم انقر فوق خصائص.
    3. انقر فوق علامة التبويب دليل.
    4. ضمن القائمة أذونات التنفيذ، حدد بلا.

Internet Information Services 7 و7.5 (Windows Vista SP2 وWindows Server 2008 SP1 وWindows 7 وWindows Server 2008 R2)

  1. ضمن مستكشف Windows، انقر بزر الماوس الأيمن فوق المجلد، ثم حدد خصائص، ثم انقر فوق علامة التبويب أمان، ثم قم بإضافة وصول تعديل لهوية العملية.
  2. بالنسبة للمجلدات التي تحتوي على محتوى ثابت (الصور وملفات نصية وهكذا)، قم بإضافة إدخال الملف "web.config" للموقع الذي لا يسمح بإذن البرنامج النصي في الإعداد accessPolicy:
    <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>

كيفية تكوين موقع مجلد ملفات ASP.NET مؤقت وكيفية تعيين قوائم التحكم بالوصول الاختيارية لكل موقع

يتطلب ASP.NET موقعًا على الخادم لتخزين البيانات المؤقتة مثل الملفات المجمعة. يمثل ذلك عادةً مجلد ملفات ASP.NET المؤقت. تبعًا للإعدادات الافتراضية، يقع هذا المجلد ضمن المجلد الذي تم به تثبيت .NET Framework يساعد تخصيص موقع مؤقت مختلف لكل موقع وتأمين المجلد منفردًا بشكل مناسب على تقوية العزل بين المواقع المستضافة على خادم الويب نفسه. لمزيد من المعلومات حول مجلد ملفات ASP.NET المؤقت، راجع فهم تجميع ASP.NET الديناميكي.

كيفية تكوين موقع مجلد ملفات ASP.NET لكل موقع

  1. قم بإنشاء مجلد جديد لكل موقع لتخزين ملفات ASP.NET المؤقتة لهذا الموقع من الأفضل استخدام محرك أقراص غير نظامية لتخزين الملفات المؤقتة.
  2. ضمن ملف الجذر الخاص بالخادم web.config أو applicationHost.config، قم بتضمين إعداد للإشارة إلى موقع المجلد الجديد لهذا الموقع المعين باستخدام عنصر <الوقع>، مثل ما يلي:
    <configuration> <location path="path"> <system.web> <compilation tempDirectory="temp-files-path" /> </system.web> </location> <!-- and so on --> </configuration>

كيفية إعداد قوائم التحكم بالوصول الاختيارية المناسبة على موقع مجلد ملفات ASP.NET المؤقتة

  1. استخدم موجه الأوامر أو مستكشف Windows لإزالة الأذونات لأي وصول غير مسؤول لهذا الموقع. (وهذا يتضمن مجموعة المستخدمين).
  2. قم بإضافة إدخال جديد لهوية العملية التي قمت بتحديدها لهذا الموقع سابقًا، ثم قم بإعطاء هذه الهوية صلاحية الوصول إلى هذا المجلد مع امتياز التعديل.

كيفية إزالة بيانات التكوين الحساسة من ملفات التكوين الجذر

تقع ملفات التطبيق web.config ضمن مجلد المحتوى للتطبيق الذي تتم خدمته. وحتى عند عدم خدمة ASP.NET لملف التطبيق web.config، أثناء عمله، من الأفضل وضع المعلومات الحساسة للأمان مثل إعدادات مفتاح الجهاز وسلاسل الاتصال داخل ملف التكوين الموجود خارج موقع التطبيق. يعمل ذلك على إضافة دفاع ضد الكشف عن المعلومات.

Internet Information Services 6.0 (Windows Server 2003 SP2)

يُعد تخزين معلومات التكوين الحساسة للأمان داخل ملف web.config الجذر ليس بالخيار الجيد لعزل البيانات بين المواقع المختلفة، وذلك لأن جميع المواقع لديها إمكانية وصول للقراءة إلى هذا الملف. ولذلك، على IIS 6 يجب تخزين التكوين الحساس في ملف web.config للتطبيق الخاص بك. يتيح هذا للمواقع إمكانية عزل التكوين الحساس عن بعضه البعض. وفي هذه الحالة، سيعتمد التطبيق على دفاعات ASP.NET لمنع ملف التطبيق web.config من خدمته والتأكد من عدم الكشف عن المعلومات الحساسة.

Internet Information Services 7 و7.5 (Windows Vista SP2 وWindows Server 2008 SP1 وWindows 7 وWindows Server 2008 R2)

بالنسبة لـ IIS 7 والإصدارات الأحدث، قم بنقل التكوين الحساس الموجود في ملف IIS applicationHost.config إلى عنصر <الموقع> الذي يعمل على توجيه التكوين إلى الموقع الذي ينطبق عليه. للحصول على مزيد من المعلومات، راجع كيفية استخدام التأمين في تكوين IIS 7.0. شركة Microsoft تشكر الأشخاص التالية أسماؤهم للعمل معها للمساعدة في حماية عملائها:
ملاحظة هذه عبارة عن مقالة "للنشر العاجل" تم إنشاؤها مباشرةً من قِبل منظمة الدعم الخاصة بـ Microsoft. وتم توفير المعلومات الواردة بها كاستجابةً للمشكلات البارزة. وكنتيجة للاستعجال في إتاحة هذه المقالة، فقد تحتوى المواد الواردة بها على بعض الأخطاء المطبعية وقد يتم مراجعتها في أي وقت بدون إشعار بذلك. راجع شروط الاستخدام لمعرفة الاعتبارات الأخرى.
خصائص

رقم الموضوع: 2698981 - آخر مراجعة: 06/07/2012 15:48:00 - المراجعة: 1.0

Microsoft .NET Framework 4.0, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 1.0 Service Pack 3

  • atdownload kbinfo kbexpertiseinter kbsecurity KB2698981
تعليقات