Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Comment : Verrouiller une Application ASP.NET Web ou un Service Web

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 815145
Résumé
Cet article décrit comment faire pour verrouiller une Application de Web ASP.NET ou un Service Web. Les applications Web sont fréquemment la cible pour les attaques.

Il existe plusieurs étapes que vous pouvez prendre pour réduire le risque associé à l'hébergement d'une application Web. À un niveau élevé, les applications ASP.NET bénéficient des mêmes mesures de sécurité que les applications Web classiques. Toutefois, les extensions de nom de fichier ASP.NET et l'utilisation de la sécurité nécessitent une attention particulière. Cet article décrit plusieurs des principaux mécanismes de sécurisation des applications Web d'ASP.NET.

Pour plus d'informations sur la sécurité, visitez le site Web de Microsoft à l'adresse suivante :retour en haut

Le filtrage de paquets

ASP.NET n'exige aucune considération particulière lorsque vous configurez l'équipement réseau ou pare-feu de filtrage de paquets basés sur le port. Internet Information Server (IIS) définit les numéros de port TCP qu'ASP.NET utilise pour les communications. Par défaut, ASP.NET utilise le port TCP 80 pour HTTP standard et utilise le port TCP 443 pour HTTP avec le cryptage SSL.

retour en haut

Pare-feu de couche application

Les pare-feux de la couche d'applicative, tels que Microsoft Internet Security and Acceleration Server, peuvent analyser les détails des requêtes Web entrantes, y compris la commande HTTP envoyée et le fichier demandé. Selon l'application, différents types de fichiers peuvent être demandés. Un client ASP.NET peut légitimement demander des fichiers ayant des extensions de nom fichier suivantes, selon les fonctionnalités de l'application :
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .SOAP
Les fichiers qui sont inclus dans une application ASP.NET peuvent utiliser les extensions de nom de fichier suivantes. Toutefois, un pare-feu ne doit jamais rediriger ces fichiers pour les utilisateurs finaux. En fonction de l'environnement de développement, les développeurs peuvent délivrer des demandes Web pour ces extensions :
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .cs
  • .csproj
  • .dll
  • .licx
  • .pdb
  • .rem
  • .Resources
  • .resx
  • .SOAP
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
Vous devez configurer le pare-feu pour restreindre les types de commandes HTTP qui peuvent être soumis à une application ASP.NET. Plus précisément, vous devez autoriser uniquement les commandes GET, HEAD et POST à partir de navigateurs de l'utilisateur final. Les développeurs peuvent devoir accéder également à d'autres commandes HTTP.

retour en haut

Sécurité NTFS

Vous pouvez efficacement réduire le risque de compromission des informations privées. Pour ce faire, limitez les autorisations de fichier NTFS. Par défaut, les applications ASP.NET s'exécutent dans le contexte du compte d'utilisateur ASPNET. Pour plus de sécurité, vous pouvez configurer des autorisations appropriées pour le compte d'utilisateur ASPNET.

Pour plus d'informations sur la configuration des autorisations de fichiers NTFS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815153 Comment : Configurer des autorisations de fichiers NTFS pour la sécurité des applications d'ASP.NET
retour en haut

Configurer URLScan

URLScan est un filtre ISAPI Microsoft est conçu pour fournir plus d'un filtrage des demandes Web entrantes sur les serveurs IIS 5.0. URLScan fournit de nombreuses fonctionnalités d'un pare-feu de couche d'Application et peut filtrer des requêtes basées sur le nom de fichier, chemin d'accès et une demande de type. Pour plus d'informations sur l'outil de sécurité URLScan, visitez le site Web de Microsoft à l'adresse suivante :Pour plus d'informations sur URLScan, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815155 Comment : Configurer URLScan pour protéger les applications Web d'ASP.NET
retour en haut

Configurer la sécurité de SQL Server

De nombreuses applications ASP.NET communiquent avec une base de données Microsoft SQL Server. Il est courant pour les attaques malveillantes contre une base de données à utiliser une application ASP.NET et de bénéficier des autorisations administrateur de la base de données a accordé à l'application. Pour vous offrir le meilleur niveau de protection contre de telles attaques, configurez vos autorisations de base de données pour limiter les autorisations que vous accordez à ASP.NET. Accordez uniquement les autorisations minimales que l'application doit disposer de la fonction.

Par exemple, limiter ASP.NET pour lire les autorisations pour que les affichages, tables, lignes et colonnes que l'application doit avoir accès à. Dans le cas où l'application n'actualise pas directement une table, n'accordez pas à ASP.NET l'autorisation d'envoyer des mises à jour. Pour plus de sécurité, configurez les autorisations appropriées pour le compte d'utilisateur ASPNET.

Pour plus d'informations sur la configuration de SQL Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815154 Comment : Configurer la sécurité de SQL Server pour les applications .NET
retour en haut
Références
Pour plus d'informations, visitez le site Web de Microsoft à l'adresse suivante :Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
818014 Comment : Sécuriser des applications qui reposent sur le.NET Framework


retour en haut

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 815145 - Dernière mise à jour : 11/22/2015 07:18:00 - Révision : 5.0

Microsoft ASP.NET 1.0, Microsoft ASP.NET 1.1

  • kbwebservices kbwebserver kbwebforms kbconfig kbdeployment kbhowtomaster kbmt KB815145 KbMtfr
Commentaires