ΔΙΑΔΙΚΑΣΙΕΣ: Για να κλειδώσετε μια εφαρμογή Web του ASP.NET ή υπηρεσία Web

Σύνοψη

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο για να κλειδώσετε μια εφαρμογή Web του ASP.NET ή μια υπηρεσία Web. Οι εφαρμογές Web είναι συχνά ο προορισμός για κακόβουλες επιθέσεις.

Υπάρχουν πολλά βήματα που μπορείτε να ακολουθήσετε για να μειώσετε τον κίνδυνο που σχετίζεται με τη φιλοξενία μιας εφαρμογής Web. Σε υψηλό επίπεδο, οι εφαρμογές ASP.NET που επωφελούνται από τα ίδια μέτρα ασφαλείας ως συμβατική Web εφαρμογές. Ωστόσο, οι επεκτάσεις ονόματος αρχείου ASP.NET και τη χρήση της ασφάλειας απαιτούν ειδική εξέταση. Αυτό το άρθρο περιγράφει διάφορες κλειδιού μηχανισμούς για τη διασφάλιση των εφαρμογών Web του ASP.NET.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Επιστροφή στην κορυφή

Το φιλτράρισμα πακέτου

ASP.NET απαιτεί καμία ιδιαίτερη προσοχή κατά τη ρύθμιση παραμέτρων δικτύου εξοπλισμού ή προγραμμάτων τείχους προστασίας για το φιλτράρισμα των πακέτων με βάση τη θύρα. Internet Information Server (IIS) ορίζει τους αριθμούς θύρας TCP που χρησιμοποιεί το ASP.NET για επικοινωνίες. Από προεπιλογή, το ASP.NET χρησιμοποιεί τη θύρα TCP 80 για το τυπικό HTTP και χρησιμοποιεί τη θύρα TCP 443 για HTTP με την κρυπτογράφηση SSL.

Επιστροφή στην κορυφή

Επίπεδο εφαρμογής τείχη προστασίας

Τα τείχη προστασίας επιπέδου εφαρμογής, όπως το Microsoft Internet Security and Acceleration Server, να αναλύσετε τις λεπτομέρειες των εισερχομένων αιτήσεων Web, συμπεριλαμβάνοντας την εντολή HTTP που εκδίδεται και το αρχείο που ζητήθηκε. Ανάλογα με την εφαρμογή, μπορεί να ζητηθεί διαφορετικούς τύπους αρχείων. Ένα πρόγραμμα-πελάτη ASP.NET νόμιμη ίσως σας ζητήσουν αρχεία που έχουν οποιαδήποτε από τις παρακάτω επεκτάσεις ονόματος αρχείου, ανάλογα με τη λειτουργικότητα της εφαρμογής:
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .soap
Αρχεία που περιλαμβάνονται σε μια εφαρμογή του ASP.NET μπορούν να χρησιμοποιούν τις ακόλουθες επεκτάσεις ονόματος αρχείου. Ωστόσο, ένα τείχος προστασίας θα πρέπει ποτέ να προωθήσετε αυτά τα αρχεία στους τελικούς χρήστες. Ανάλογα με το περιβάλλον ανάπτυξης, ο προγραμματιστής μπορεί να εκδίδει αιτήσεων Web για αυτές τις επεκτάσεις:
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .cs
  • .csproj
  • .dll
  • .licx
  • .pdb
  • .rem
  • .resources
  • .resx
  • .soap
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
Πρέπει να ρυθμίσετε τις παραμέτρους του τείχους προστασίας για να περιορίσετε τους τύπους εντολών HTTP που μπορούν να υποβληθούν σε μια εφαρμογή του ASP.NET. Συγκεκριμένα, πρέπει να επιτρέπετε μόνο εντολές GET, HEAD και POST από προγράμματα περιήγησης του τελικού χρήστη. Οι προγραμματιστές ίσως χρειαστεί να αποκτήσετε πρόσβαση σε άλλες εντολές HTTP, επίσης.

Επιστροφή στην κορυφή

Ασφάλεια του NTFS

Ουσιαστικά, μπορείτε να μειώσετε τον κίνδυνο των ιδιωτικών πληροφοριών παραβιαστεί. Για να γίνει αυτό, περιορίζουν τα δικαιώματα αρχείου NTFS. Από προεπιλογή, οι εφαρμογές ASP.NET εκτελούνται στο περιβάλλον του λογαριασμού χρήστη ASPNET. Για μεγαλύτερη ασφάλεια, μπορείτε να ρυθμίσετε κατάλληλα δικαιώματα για το λογαριασμό χρήστη ASPNET.

Για πρόσθετες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων των δικαιωμάτων αρχείου NTFS, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

815153 ΔΙΑΔΙΚΑΣΙΕΣ: ρύθμιση παραμέτρων NTFS αρχείο δικαιώματα για την ασφάλεια των εφαρμογών ASP.NET

Επιστροφή στην κορυφή

Ρύθμιση παραμέτρων του URLScan

Το URLScan είναι ένα φίλτρο ISAPI της Microsoft που έχει σχεδιαστεί για να παρέχουν πιο λεπτομερείς φιλτραρίσματος των εισερχόμενων αιτήσεων Web σε διακομιστές των υπηρεσιών IIS 5.0. Το URLScan παρέχει πολλές δυνατότητες από ένα τείχος προστασίας σε επίπεδο εφαρμογών και να φιλτράρετε αιτήσεις με βάση το όνομα αρχείου, πληκτρολογήστε τη διαδρομή και αίτηση. Για περισσότερες πληροφορίες σχετικά με του εργαλείου ασφαλείας URLScan, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για πρόσθετες πληροφορίες σχετικά με το URLScan, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

815155 ΔΙΑΔΙΚΑΣΙΕΣ: ρύθμιση παραμέτρων του URLScan για την προστασία των εφαρμογών ASP.NET Web

Επιστροφή στην κορυφή

Ρυθμίσετε τις παραμέτρους ασφαλείας του SQL Server

Πολλές εφαρμογές ASP.NET που επικοινωνούν με μια βάση δεδομένων Microsoft SQL Server. Είναι συνηθισμένο για κακόβουλες επιθέσεις σε μια βάση δεδομένων για να χρησιμοποιήσετε μια εφαρμογή του ASP.NET και, στη συνέχεια, να την εκμεταλλευτείτε τα δικαιώματα που έχει εκχωρηθεί το διαχειριστή της βάσης δεδομένων στην εφαρμογή. Για να προσφέρετε το μεγαλύτερο επίπεδο προστασίας από τέτοιες επιθέσεις, ρυθμίστε τις παραμέτρους σας δικαιώματα στη βάση δεδομένων για να περιορίσετε τα δικαιώματα που εκχωρείτε σε ASP.NET. Χορήγηση μόνο τα ελάχιστα δικαιώματα που πρέπει να έχετε την εφαρμογή σε λειτουργία.

Για παράδειγμα, να περιορίσετε ASP.NET για ανάγνωση δικαιώματα για μόνο αυτές τις προβολές, πίνακες, γραμμές και στήλες που η εφαρμογή πρέπει να έχει πρόσβαση. Όταν η εφαρμογή δεν ενημερώνει άμεσα έναν πίνακα, μην παραχωρείτε σε ASP.NET το δικαίωμα να υποβάλουν τις ενημερωμένες εκδόσεις. Για μεγαλύτερη ασφάλεια, ρυθμίστε κατάλληλα δικαιώματα για το λογαριασμό χρήστη ASPNET.

Για πρόσθετες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων του SQL Server, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

815154 ΔΙΑΔΙΚΑΣΙΕΣ: ρύθμιση παραμέτρων του SQL Server ασφαλείας για εφαρμογές .NET

Επιστροφή στην κορυφή

Αναφορές

Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

818014 ΔΙΑΔΙΚΑΣΙΕΣ: ασφαλείς εφαρμογές που είναι ενσωματωμένες στο .NET Framework

Σφάλμα #: 4226 (Συντήρηση περιεχομένου)

Επιστροφή στην κορυφή
Ιδιότητες

Αναγνωριστικό άρθρου: 815145 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια