ΕΙΣΑΓΩΓΗ
Το ASP.NET επιτρέπει στους διαχειριστές να φιλοξενούν εφαρμογές σε λειτουργίες μερικής αξιοπιστίας όπως το μεσαίο επίπεδο αξιοπιστίας. Επιτρέπει, επίσης, τις ρυθμίσεις παραμέτρων προσαρμοσμένων επιπέδων μερικής αξιοπιστίας μέσω αρχείων προσαρμοσμένης πολιτικής. Για περισσότερες πληροφορίες σχετικά με τρόπο χρήσης του μεσαίου επιπέδου αξιοπιστίας στο ASP.NET 2.0, επισκεφτείτε την παρακάτω ιστοσελίδα του Microsoft Developer Network (MSDN):
Διαδικασία: Χρήση μεσαίου επιπέδου αξιοπιστίας στο ASP.NET 2.0Η μερική αξιοπιστία του ASP.NET περιγράφηκε παραπάνω ως ένας μηχανισμός για την ενίσχυση της απομόνωσης της εφαρμογής σε ένα κοινόχρηστο περιβάλλον φιλοξενίας στο οποίο φιλοξενούνται στον ίδιο διακομιστή web πολλαπλές εφαρμογές με διαφορετικό επίπεδο αξιοπιστίας. Ενημερώνουμε τις οδηγίες μας σχετικά με αυτό το ζήτημα έτσι ώστε να καταστεί σαφές ότι η εκτέλεση μιας εφαρμογής πλαισίου εργασίας σελίδας ASP.NET με μερική αξιοπιστία δεν εγγυάται πλήρη απομόνωση από τις άλλες εφαρμογές που εκτελούνται με την ίδια διεργασία ή στον ίδιο υπολογιστή. Η ρύθμιση παραμέτρων των εφαρμογών πλαισίου εργασίας σελίδας ASP.NET έτσι ώστε να εκτελούνται σε διακριτές διεργασίες με περιορισμένα προνόμια (χρησιμοποιώντας μεμονωμένους χώρους συγκέντρωσης εφαρμογών) αποτελεί τη συνιστώμενη διαδικασία για να διασφαλίσετε την απομόνωση από τις υπόλοιπες εφαρμογές πλαισίου εργασίας σελίδας του ASP.NET στον ίδιο διακομιστή web. Η παρακάτω ενότητα παρέχει λεπτομέρειες σχετικά με τον τρόπο ρύθμισης παραμέτρων εφαρμογών για απομόνωση. Ενημερώνουμε την υπόλοιπη τεκμηρίωσή μας, ώστε να απεικονίζει την αλλαγή στην πολιτική που περιγράφεται σε αυτό το άρθρο.
Περισσότερες πληροφορίες
Οι διαχειριστές τομέα θα πρέπει να ακολουθούν τις οδηγίες που περιέχονται σε αυτό το άρθρο προκειμένου να διασφαλίσουν ότι οι εφαρμογές είναι απομονωμένες σε κοινόχρηστα περιβάλλοντα φιλοξενίας. Αυτές οι οδηγίες ισχύουν για τη φιλοξενία του ASP.NET στον Windows Server 2003 SP2 και σε νεότερες εκδόσεις. Οι οδηγίες καλύπτουν τις υπηρεσίες Internet Information Services (IIS) 6.0 έως 7.5. AppCmd.exe του IIS στον IIS 7 και 7.5 καθώς και με τη χρήση δεσμών ενεργειών διαχείρισης υπηρεσιών IIS στον IIS 6.0.
Πολλές από τις εργασίες που περιγράφονται εδώ μπορούν να αυτοματοποιηθούν χρησιμοποιώντας το εργαλείο γραμμής εντολώνΤρόπος τοποθέτησης των εφαρμογών σε ξεχωριστές τοποθεσίες IIS
Σε ένα κοινόχρηστο περιβάλλον φιλοξενίας, οι εφαρμογές θα πρέπει να τοποθετούνται σε ξεχωριστές τοποθεσίες IIS. Η ρύθμιση παραμέτρων είναι καλύτερα απομονωμένη μεταξύ εφαρμογών, όταν αυτές φιλοξενούνται σε ξεχωριστές τοποθεσίες. Επιπλέον, η υποδοχή .NET Framework CLR θα είναι ξεχωριστή. Με αυτόν τον τρόπο παρέχεται επιπλέον απομόνωση σε αυτό το επίπεδο.
Για να τοποθετήσετε κάθε εφαρμογή σε μια ξεχωριστή τοποθεσία, ακολουθήστε τα εξής βήματα:Υπηρεσίες Internet Information Services 6.0 (Windows Server 2003 SP2)
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο αριστερό τμήμα του παραθύρου, αναπτύξτε τον κόμβο για τον τρέχοντα διακομιστή.
-
Κάντε δεξιό κλικ στον κόμβο Τοποθεσίες Web (Web Sites), κάντε κλικ στην επιλογή Δημιουργία (New) και, στη συνέχεια, κάντε κλικ στην επιλογή Τοποθεσία Web (Web Site).
-
Κάντε κλικ στο κουμπί Επόμενο (Next).
-
Εισαγάγετε ένα μοναδικό όνομα για τη νέα τοποθεσία Web και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο (Next).
-
Ρυθμίστε τις παραμέτρους των συνδέσεων τοποθεσίας για το περιβάλλον φιλοξενίας.
-
Εισαγάγετε τη φυσική διαδρομή του φακέλου στον οποίο αποθηκεύονται τα αρχεία της εφαρμογής.
-
Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Εκτέλεση δεσμών ενεργειών (όπως ASP) (Run scripts (such as ASP)) και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο (Next).
-
Κάντε κλικ στο κουμπί Τέλος (Finish). Η νέα τοποθεσία εμφανίζεται στον κόμβο Τοποθεσίες Web (Web Sites).
Υπηρεσίες Internet Information Services 7 (Windows Vista SP2 και Windows Server 2008 SP1) και υπηρεσίες Internet Information Services 7.5 (Windows 7 και Windows Server 2008 R2)
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο παράθυρο Συνδέσεις (Connections), αναπτύξτε τον κόμβο για τον τρέχοντα διακομιστή.
-
Επιλέξτε τον κόμβο Τοποθεσίες (Sites) και, στη συνέχεια, κάντε κλικ στη σύνδεση Προσθήκη τοποθεσίας Web (Add Web Site) στο παράθυρο Ενέργειες (Actions).
-
Στο παράθυρο διαλόγου Προσθήκη τοποθεσίας Web (Add Web Site), εισαγάγετε ένα μοναδικό όνομα για τη νέα τοποθεσία Web και, στη συνέχεια, εισαγάγετε τη φυσική διαδρομή του φακέλου στον οποίο αποθηκεύονται τα αρχεία της εφαρμογής. Από προεπιλογή, δημιουργείται νέος χώρος συγκέντρωσης εφαρμογών, ο οποίο έχει το ίδιο όνομα με την τοποθεσία, ενώ οι παράμετροι της τοποθεσίας ρυθμίζονται έτσι ώστε να χρησιμοποιούν αυτόν τον χώρο συγκέντρωσης. (Αυτή είναι η συνιστώμενη ρύθμιση παραμέτρων).
-
Ρυθμίστε τις παραμέτρους των συνδέσεων τοποθεσίας για το περιβάλλον φιλοξενίας.
-
Κάντε κλικ για κατάργηση της επιλογής του πλαισίου ελέγχου Άμεση έναρξη τοποθεσίας Web (Start Web site immediately) για να βεβαιωθείτε ότι η τοποθεσία δεν είναι διαθέσιμη έως ότου οι οδηγίες απομόνωσης που περιγράφονται ανωτέρω ολοκληρωθούν.
-
Κάντε κλικ στο κουμπί OK. Η τοποθεσία που έχει ρυθμιστεί εμφανίζεται στον κόμβο Τοποθεσίες (Sites) στο παράθυρο Συνδέσεις (Connections).
Τρόπος τοποθέτησης των τοποθεσιών σε ξεχωριστούς χώρους συγκέντρωσης εφαρμογών
Σε ένα κοινόχρηστο περιβάλλον φιλοξενίας, οι εφαρμογές θα πρέπει να τοποθετούνται σε ξεχωριστούς χώρους συγκέντρωσης εφαρμογών. Με τον τρόπο αυτό οι εφαρμογές απομονώνονται σε ξεχωριστές διεργασίες λειτουργικού συστήματος με μοναδικές ταυτότητες. Με αυτόν τον τρόπο παρέχεται ένα επίπεδο απομόνωσης από τη μια τοποθεσία στην άλλη. (Η παρακάτω ενότητα περιγράφει τον τρόπο ρύθμισης παραμέτρων των ταυτοτήτων χώρου συγκέντρωσης εφαρμογών για απομόνωση).
Υπηρεσίες Internet Information Services 6.0 (Windows Server 2003 SP2)
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο αριστερό τμήμα του παραθύρου, αναπτύξτε τον κόμβο για τον τρέχοντα διακομιστή.
-
Κάντε δεξιό κλικ στο στοιχείο Χώροι συγκέντρωσης εφαρμογών (Application Pools), κάντε κλικ στην επιλογή Δημιουργία (New) και, στη συνέχεια, κάντε κλικ στο στοιχείο Χώρος συγκέντρωσης εφαρμογών (Application Pool).
-
Εισαγάγετε ένα μοναδικό όνομα για τον νέο χώρο συγκέντρωσης εφαρμογών και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
-
Αναπτύξτε τον κόμβο Τοποθεσίες Web (Web Sites).
-
Κάντε δεξιό κλικ στην τοποθεσία Web προορισμού και, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες (Properties).
-
Κάντε κλικ στην καρτέλα Κεντρικός κατάλογος (Home Directory).
-
Στο πεδίο Χώρος συγκέντρωσης εφαρμογών (Application pool) στο κάτω μέρος του παραθύρου διαλόγου, επιλέξτε τον νέο χώρο συγκέντρωσης εφαρμογών.
-
Κάντε κλικ στο κουμπί OK.
Υπηρεσίες Internet Information Services 7 (Windows Vista SP2 και Windows Server 2008 SP1) και υπηρεσίες Internet Information Services 7.5 (Windows 7 και Windows Server 2008 R2)
Αφού ακολουθήσετε τα βήματα στην ενότητα "Τρόπος τοποθέτησης των εφαρμογών σε ξεχωριστές τοποθεσίες IIS", η νέα τοποθεσία τοποθετείται αυτομάτως σε έναν νέο, ξεχωριστό χώρο συγκέντρωσης εφαρμογών. Ωστόσο, εάν πρέπει να ρυθμίσετε τις παραμέτρους μιας υπάρχουσας τοποθεσίας, έτσι ώστε να χρησιμοποιεί έναν νέο, ξεχωριστό χώρο συγκέντρωσης εφαρμογών, ακολουθήστε τα παρακάτω βήματα:
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο παράθυρο Συνδέσεις (Connections), αναπτύξτε τον κόμβο για τον τρέχοντα διακομιστή.
-
Επιλέξτε τον κόμβο Χώροι συγκέντρωσης εφαρμογών (Application Pools).
-
Στο παράθυρο Ενέργειες (Actions), κάντε κλικ στη σύνδεση Προσθήκη χώρου συγκέντρωσης εφαρμογών (Add Application Pool).
-
Εισαγάγετε ένα μοναδικό όνομα για τον χώρο συγκέντρωσης εφαρμογών και, στη συνέχεια επιλέξτε μια έκδοση .NET Framework προορισμού καθώς και λειτουργία διοχέτευσης.
-
Κάντε κλικ στο κουμπί OK. Ο νέος χώρος συγκέντρωσης εφαρμογών εμφανίζεται στη λίστα.
-
Στο παράθυρο Συνδέσεις (Connections ), αναπτύξτε τον κόμβο Τοποθεσίες (Sites).
-
Επιλέξτε την τοποθεσία στην οποία επιθυμείτε να μετακινήσετε τον χώρο συγκέντρωσης εφαρμογών που δημιουργήσατε προηγουμένως σε αυτή τη διαδικασία.
-
Στο παράθυρο Ενέργειες (Actions), κάντε κλικ στη σύνδεση Βασικές ρυθμίσεις (Basic Settings).
-
Στο παράθυρο διαλόγου Επεξεργασία τοποθεσίας (Edit Site), κάντε κλικ στο στοιχείο Επιλογή (Select).
-
Στη λίστα του Χώρου συγκέντρωσης εφαρμογών (Application pool), επιλέξτε τον χώρο συγκέντρωσης εφαρμογών που δημιουργήσατε προηγουμένως.
-
Κάντε κλικ στο κουμπί OK.
Στο παράθυρο διαλόγου Επεξεργασία τοποθεσίας (Edit Site), κάντε κλικ στην επιλογή OK.
Τρόπος ρύθμισης παραμέτρων των ταυτοτήτων χώρου συγκέντρωσης εφαρμογών για απομόνωση (ταυτότητα διεργασίας)
Οι χώροι συγκέντρωσης εφαρμογών φιλοξενούν εφαρμογές και τοποθεσίες σε μια διεργασία Windows (ή διεργασίες). Υπάρχει δυνατότητα ρύθμισης παραμέτρων της ταυτότητας με την οποία εκτελείται η διεργασία. Σε ένα κοινόχρηστο περιβάλλον φιλοξενίας, θα πρέπει να υπάρχει μια ξεχωριστή ταυτότητα για κάθε εφαρμογή. Με αυτόν τον τρόπο διασφαλίζεται ότι κάθε εφαρμογή εκτελείται στο περιβάλλον ενός μοναδικού λογαριασμού. Αυτό επιτρέπει τη σωστή απομόνωση χρησιμοποιώντας λίστες διακριτικού ελέγχου πρόσβασης στο σύστημα αρχείων (DACL) και τις ενσωματωμένες λειτουργίες απομόνωσης διαδικασίας του υποκείμενου λειτουργικού συστήματος. Για να δημιουργήσετε έναν λογαριασμό χρήστη και στη συνέχεια να αντιστοιχίσετε έναν χώρο συγκέντρωσης εφαρμογών προκειμένου να χρησιμοποιήσετε αυτόν το λογαριασμό, ακολουθήστε τα εξής βήματα.
Υπηρεσίες Internet Information Services 6.0 (Windows Server 2003 SP2)
Δημιουργήστε ένα τοπικό λογαριασμό χρήστη για να χρησιμοποιήσετε ως ταυτότητα του χώρου συγκέντρωσης εφαρμογών
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο αριστερό τμήμα του παραθύρου, αναπτύξτε το στοιχείο Τοπικοί χρήστες και ομάδες (Local Users and Groups).
-
Κάντε δεξιό κλικ στο κόμβο Χρήστες (Users) και στη συνέχεια στην επιλογή Νέος χρήστης (New User ).
-
Εισαγάγετε ένα μοναδικό όνομα και έναν ισχυρό κωδικό πρόσβασης για τον νέο λογαριασμό χρήστη.
-
Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Ο χρήστης πρέπει να αλλάξει κωδικό πρόσβασης στην επόμενη σύνδεση (User must change password at next logon).
-
Κάντε κλικ για να επιλέξετε στο πλαίσιο ελέγχου Ο χρήστης δεν μπορεί να αλλάξει τον κωδικό πρόσβασης (User cannot change password).
-
Κάντε κλικ στο κουμπί Δημιουργία (Create) και, στη συνέχεια, κάντε κλικ στο κουμπί Κλείσιμο (Close).
-
Στο αριστερό τμήμα του παραθύρου, επιλέξτε τον κόμβο Χρήστες (Users). Ο νέος λογαριασμός εμφανίζεται στη λίστα.
Ρυθμίσετε τις παραμέτρους του χώρου συγκέντρωσης εφαρμογών για να χρησιμοποιήσετε τον λογαριασμό νέου τοπικού χρήστη
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο αριστερό τμήμα του παραθύρου, αναπτύξτε τον κόμβο για τον τρέχοντα διακομιστή.
-
Αναπτύξτε τον κόμβο Χώροι συγκέντρωσης εφαρμογών (Application Pools).
-
Κάντε δεξιό κλικ στον χώρο συγκέντρωσης εφαρμογών και, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες (Properties).
-
Κάντε κλικ στην καρτέλα Ταυτότητα (Identity).
-
Κάντε κλικ στο κουμπί επιλογής Με δυνατότητα ρύθμισης (Configurable).
-
Εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης για τον νέο λογαριασμό.
-
Κάντε κλικ στο κουμπί OK.
-
Εισαγάγετε ξανά τον κωδικό πρόσβασης στο παράθυρο διαλόγου Επιβεβαίωση κωδικού πρόσβασης (Confirm Password)και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
Υπηρεσίες Internet Information Services 7 και 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 και Windows Server 2008 R2)
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο παράθυρο Συνδέσεις (Connections), αναπτύξτε τον κόμβο για τον τρέχοντα διακομιστή.
-
Επιλέξτε τον κόμβο Χώροι συγκέντρωσης εφαρμογών (Application Pools).
-
Επιλέξτε τον χώρο συγκέντρωσης εφαρμογών προορισμού.
-
Στο παράθυρο Ενέργειες (Actions), κάντε κλικ στη σύνδεση Ρυθμίσεις για προχωρημένους (Advanced Settings).
-
Στην ενότητα Μοντέλο διεργασίας (Process Model), ορίστε την ιδιότητα Ταυτότητα (Identity) στην ένδειξη ApplicationPoolIdentity. Αυτή η ρύθμιση δημιουργεί αυτομάτως μια μοναδική ταυτότητα για αυτόν τον χώρο συγκέντρωσης εφαρμογών. Στις ενότητες που ακολουθούν, μπορείτε να χρησιμοποιήσετε αυτή τη μοναδική ταυτότητα για να ορίσετε λίστες διακριτικού ελέγχου πρόσβασης (DACL) στις θέσεις αρχείων στις οποίες η εφαρμογή χρειάζεται πρόσβαση.
-
Κάντε κλικ στο κουμπί OK.
Τρόπος ρύθμισης παραμέτρων των DACL σε θέσεις περιεχομένου εφαρμογών
Η λίστα διακριτικού ελέγχου πρόσβασης (DACL) είναι μια λίστα αδειών που σχετίζονται με ένα αντικείμενο και που μπορεί να χρησιμοποιηθεί για τον έλεγχο της πρόσβασης στο αντικείμενο. Η χρήση DACL για τον περιορισμό της πρόσβασης στο περιεχόμενο της εφαρμογής συμβάλλει στην ενίσχυση της απομόνωσης μεταξύ ιστότοπων που φιλοξενούνται στον ίδιο διακομιστή web. Για περισσότερες πληροφορίες σχετικά με τις ταυτότητες ACL και IIS, ανατρέξτε στην ενότητα Ασφαλές περιεχόμενο στο IIS μέσω ACL συστήματος αρχείων
Όλες οι εκδόσεις του IIS
-
Ανοίξτε τον ριζικό φάκελο για το περιεχόμενο της τοποθεσίας σε μια γραμμή εντολών ή στην Εξερεύνηση των Windows.
-
Χρησιμοποιήστε μία από τις ακόλουθες μεθόδους για να καταργήσετε καταχωρήσεις για κάθε πρόσβαση σε αυτήν τη θέση χωρίς δικαιώματα διαχειριστή. (Αυτό περιλαμβάνει την ομάδα Users).
-
Στην Εξερεύνηση των Windows, κάντε δεξιό κλικ στον φάκελο, επιλέξτε το στοιχείο Ιδιότητες (Properties), κάντε κλικ στην καρτέλα Ασφάλεια (Security) και, στη συνέχεια, αλλάξτε την λίστα ελέγχου πρόσβασης.
-
Σε μια γραμμή εντολών, χρησιμοποιήστε το βοηθητικό πρόγραμμα icacls.exe (ή το cacls.exe σε παλαιότερες εκδόσεις του λειτουργικού συστήματος Windows) για να αλλάξετε τη λίστα ελέγχου πρόσβασης.
-
-
Προσθέστε μια νέα καταχώρηση για την ταυτότητα της διεργασίας που επιλέξατε για την τοποθεσία.
-
Δώστε στη νέα ταυτότητα πρόσβαση στον φάκελο για ανάγνωση και εκτέλεση.
Εάν υπάρχουν συγκεκριμένοι φάκελοι που απαιτούν δικαιώματα εγγραφής από την εφαρμογή (για παράδειγμα, ένας φάκελος "Μεταφορτώσεις"), ακολουθήστε τα παρακάτω βήματα:
Υπηρεσίες Internet Information Services 6.0 (Windows Server 2003 SP2)
-
Στην Εξερεύνηση των Windows, κάντε δεξιό κλικ στον φάκελο, επιλέξτε το στοιχείο Ιδιότητες (Properties), κάντε κλικ στην καρτέλα Ασφάλεια (Security) και, στη συνέχεια προσθέστε πρόσβαση για Τροποποίηση (Modify) για την ταυτότητα της διεργασίας.
-
Για τους φακέλους που θα περιέχουν στατικό περιεχόμενο (εικόνες, αρχεία κειμένου και ούτω καθεξής), ακολουθήστε τα εξής βήματα:
-
Ανοίξτε τη Διαχείριση των υπηρεσιών Internet Information Services (IIS).
-
Στο αριστερό τμήμα του παραθύρου, κάντε δεξιό κλικ στο κατάλληλο όνομα φακέλου και, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες (Properties).
-
Κάντε κλικ στην καρτέλα Κατάλογος (Directory).
-
Στη λίστα Δικαιώματα εκτέλεσης (Execute Permissions), επιλέξτε Κανένα (None).
-
Υπηρεσίες Internet Information Services 7 και 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 και Windows Server 2008 R2)
-
Στην Εξερεύνηση των Windows κάντε δεξιό κλικ στον φάκελο, επιλέξτε το στοιχείο Ιδιότητες (Properties), κάντε κλικ στην καρτέλα Ασφάλεια (Security) και, στη συνέχεια προσθέστε πρόσβαση για Τροποποίηση (Modify) για την ταυτότητα της διεργασίας.
-
Για φακέλους που θα περιέχουν στατικό περιεχόμενο (εικόνες, αρχεία κειμένου και ούτω καθεξής), προσθέστε την καταχώρηση αρχείου "web.config" για τη θέση που δεν παρέχει δικαιώματα δέσμης ενεργειών στη ρύθμιση accessPolicy: <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>
Τρόπος ρύθμισης παραμέτρων θέσης προσωρινού φακέλου αρχείων ASP.NET και τρόπος ρύθμισης DACL ανά τοποθεσία
Το ASP.NET απαιτεί μια θέση στον διακομιστή για την αποθήκευση προσωρινών δεδομένων όπως μεταγλωττισμένων αρχείων. Αυτή είναι συνήθως ο προσωρινός φάκελος αρχείων ASP.NET. Από προεπιλογή, αυτός ο φάκελος βρίσκεται στον φάκελο όπου έχει εγκατασταθεί το .NET Framework. Η εκχώρηση διαφορετικής προσωρινής θέσης για κάθε τοποθεσία και η κατάλληλη μεμονωμένη προστασία του φακέλου συμβάλλει στην ενίσχυση της απομόνωσης μεταξύ τοποθεσιών που φιλοξενούνται στον ίδιο διακομιστή web. Για περισσότερες πληροφορίες σχετικά με τον προσωρινό φάκελο αρχείων ASP.NET, ανατρέξτε στην ενότητα Κατανόηση δυναμικής μεταγλώττισης ASP.NET.
Τρόπος ρύθμισης παραμέτρων μιας διαφορετικής θέσης για τον προσωρινό φάκελο αρχείων ASP.NET για κάθε τοποθεσία
-
Δημιουργήστε έναν νέο φάκελο για κάθε τοποθεσία όπου θα αποθηκεύονται τα προσωρινά αρχεία ASP.NET για αυτήν την τοποθεσία. Είναι προτιμότερο να χρησιμοποιήσετε μια μονάδα δίσκου εκτός συστήματος για την αποθήκευση των προσωρινών αρχείων.
-
Στο ριζικό αρχείο web.config ή applicationHost.config του διακομιστή, συμπεριλάβετε μια ρύθμιση που θα οδηγεί στη θέση του νέου φακέλου για τη συγκεκριμένη τοποθεσία χρησιμοποιώντας ένα στοιχείο <θέσης>, όπως το εξής: <configuration> <location path="path"> <system.web> <compilation tempDirectory="temp-files-path" /> </system.web> </location> <!-- και ούτω καθεξής --> </configuration>
Τρόπος ορισμού κατάλληλων DACL στη θέση του προσωρινού φακέλου αρχείων ASP.NET
-
Χρησιμοποιήστε μια γραμμή εντολών ή την Εξερεύνηση των Windows για να καταργήσετε τα δικαιώματα για οποιαδήποτε πρόσβαση σε αυτή τη θέση χωρίς δικαιώματα διαχειριστή. (Αυτό περιλαμβάνει την ομάδα Users).
-
Προσθέστε μια νέα καταχώρηση για την ταυτότητα διεργασίας που επιλέξατε για αυτόν τον ιστότοπο προηγουμένως και, στη συνέχεια, παραχωρήστε σε αυτήν την ταυτότητα πρόσβαση για Τροποποίηση (Modify) για αυτόν τον φάκελο.
Τρόπος κατάργησης ευαίσθητων δεδομένων ρύθμισης παραμέτρων από ριζικά αρχεία ρύθμισης παραμέτρων
Τα αρχεία εφαρμογής web.config βρίσκονται στον φάκελο περιεχομένου αυτής της εφαρμογής που εξυπηρετείται. Παρά το γεγονός ότι το αρχείο ASP.NET δεν θα εξυπηρετεί το αρχείο εφαρμογής web.config, όταν είναι βολικό, είναι προτιμότερο να τοποθετείτε ευαίσθητες πληροφορίες ασφαλείας όπως ρυθμίσεις κλειδιού υπολογιστή και συμβολοσειρές σύνδεσης σε ένα αρχείο ρύθμισης παραμέτρων που βρίσκεται εκτός της θέσης της εφαρμογής. Με αυτόν τον τρόπο ενισχύεται η άμυνα κατά της αποκάλυψης πληροφοριών.
Υπηρεσίες Internet Information Services 6.0 (Windows Server 2003 SP2)
Η αποθήκευση ευαίσθητων πληροφοριών ασφαλείας σχετικά με τη ρύθμιση των παραμέτρων στο ριζικό αρχείο web.config δεν αποτελεί καλή επιλογή για την απομόνωση δεδομένων μεταξύ διαφορετικών τοποθεσιών, καθώς όλες οι τοποθεσίες έχουν δυνατότητα πρόσβασης για ανάγνωση σε αυτό το αρχείο. Επομένως, στο IIS 6 θα πρέπει να αποθηκεύσετε ευαίσθητες ρυθμίσεις παραμέτρων στο αρχείο εφαρμογής web.config. Με αυτόν τον τρόπο οι τοποθεσίες που έχουν τη δυνατότητα απομόνωσης των ευαίσθητων ρυθμίσεων παραμέτρων μεταξύ τους. Σε αυτήν την περίπτωση, η εφαρμογή σας θα βασίζεται στις άμυνες ASP.NET για την παρεμπόδιση της εξυπηρέτησης του αρχείου εφαρμογής web.config και για την εξασφάλιση ότι οι ευαίσθητες πληροφορίες δεν θα αποκαλυφθούν.
Internet Information Services 7 και 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 και Windows Server 2008 R2)
Για τις εκδόσεις IIS 7 και τις νεότερες, μετακινήστε την ευαίσθητη ρύθμιση παραμέτρων που βρίσκεται στο αρχείο IIS applicationHost.config σε ένα στοιχείο <θέσης> το οποίο εξάγει τη ρύθμιση παραμέτρων στην τοποθεσία στην οποία εφαρμόζεται. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Τρόπος χρήσης κλειδώματος στη ρύθμιση παραμέτρων του IIS 7.0. Η Microsoft ευχαριστεί τα παρακάτω άτομα για τη συνεργασία τους στην προστασία των πελατών: