Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

INTRODUZIONE

ASP.NET consente agli amministratori di ospitare applicazioni in modalità di attendibilità parziale come attendibilità media. Consente inoltre la configurazione dei livelli di attendibilità parziale personalizzati mediante i file dei criteri personalizzati. Per ulteriori informazioni sull'utilizzo dell'attendibilità media in ASP.NET 2.0, visitare la seguente pagina Web MSDN (Microsoft Developer Network):

Procedura: utilizzare l'attendibilità media in ASP.NET 2.0In precedenza è stata descritta l'attendibilità parziale ASP.NET come meccanismo per imporre l'isolamento delle applicazioni in un ambiente di hosting condiviso nel quale più applicazioni che dispongono di diversi livelli di affidabilità vengono ospitati nello stesso server Web. Microsoft sta aggiornando le indicazioni relative a questo argomento per comunicare che l'esecuzione di un'applicazione del framework della pagina ASP.NET in modalità di isolamento parziale non garantisce l'isolamento completo da altre applicazioni che sono in esecuzione nello stesso processo o nello stesso computer.

La configurazione delle applicazioni del framework della pagina ASP.NET per l'esecuzione in processi separati con privilegi minimi (mediante l'utilizzo di pool di applicazioni singoli) è la procedura consigliata per garantire l'isolamento da altre applicazioni del framework della pagina ASP.NET nello stesso server Web. Nella seguente sezione vengono fornite informazioni dettagliate su come configurare le applicazioni per l'isolamento. Microsoft sta aggiornando altra documentazione per riflettere le modifiche nei criteri descritti in questo articolo.

Informazioni

Gli amministratori del server devono applicare le linee guida fornite in questo articolo per assicurare che le applicazioni siano isolate in ambienti di hosting condivisi. Queste linee guida si applicano ad ASP.NET hosting su Windows Server 2003 SP2 e versioni successive. Le linee guida riguardano Internet Information Services (IIS) da 6.0 a 7.5.

Molte attività descritte possono essere automatizzate tramite lo strumento della riga di comando IIS AppCmd.exe in IIS 7 e 7.5 e tramite gli script di amministrazione IIS in IIS 6.0.

Come collocare le applicazioni in siti IIS separati

In un ambiente di hosting condiviso, le applicazioni devono essere collocate in siti IIS separati. La configurazione è isolata meglio tra le applicazioni quando vengono ospitate in siti separati. Inoltre, l'host .NET Framework CLR verrà separato. In questo modo viene fornito isolamento aggiuntivo.

Per collocare ogni applicazione in un sito separato, attenersi alla seguente procedura:

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro di sinistra, espandere il nodo per il server corrente.

  3. Fare clic con il pulsante destro del mouse sul nodo Siti Web, scegliere Nuovo, quindi Sito Web.

  4. Scegliere Avanti.

  5. Immettere un nome univoco per il nuovo sito Web, quindi fare clic su Avanti.

  6. Configurare i binding di sito per l'ambiente di hosting.

  7. Immettere il percorso fisico della cartella in cui sono archiviati i file dell'applicazione.

  8. Selezionare la casella di controllo Esecuzione script (ad esempio, ASP), quindi scegliere Avanti.

  9. Scegliere Fine. Il nuovo sito viene visualizzato nel nodo Siti Web.

Internet Information Services 7 (Windows Vista SP2 e Windows Server 2008 SP1) e Internet Information Services 7.5 (Windows 7 e Windows Server 2008 R2)

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni, espandere il nodo per il server corrente.

  3. Selezionare il nodo Siti, quindi fare clic sul collegamento Aggiungi sito Web nel riquadro Azioni.

  4. Nella casella di dialogo Aggiungi sito Web, immettere un nome univoco per il nuovo sito Web, quindi immettere il percorso fisico della cartella in cui sono archiviati i file dell'applicazione. Per impostazione predefinita, viene creato un nuovo pool di applicazioni con lo stesso nome del sito e il sito viene configurato per utilizzare questo pool di applicazioni. Si tratta della configurazione consigliata.

  5. Configurare i binding di sito per l'ambiente di hosting.

  6. Fare clic per deselezionare la casella di controllo Avvia il sito Web immediatamente per assicurarsi che il sito non sia disponibile finché le linee guida dell'isolamento qui descritte non vengano completate.

  7. Scegliere OK. Il sito configurato viene visualizzato nel nodo Siti nel riquadro Connessioni.

Come collocare i siti in pool di applicazioni separati

In un ambiente di hosting condiviso, le applicazioni devono essere collocate in pool di applicazioni separati. In questo modo le applicazioni vengono isolate in processi del sistema operativo separati con identità univoche. Questo fornisce un livello di isolamento da un sito a un altro. Nella sezione seguente viene descritto come configurare le identità di pool di applicazioni per l'isolamento.

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro di sinistra, espandere il nodo per il server corrente.

  3. Fare clic con il pulsante destro del mouse su Pool di applicazioni, scegliere Nuovo, quindi Pool di applicazioni.

  4. Immettere un nome univoco per il nuovo pool di applicazioni, quindi fare clic su OK.

  5. Espandere il nodo Siti Web.

  6. Fare clic con il pulsante destro del mouse sul sito Web di destinazione, quindi scegliere Proprietà.

  7. Scegliere la scheda Home Directory.

  8. Nel campo Pool di applicazioni nella parte inferiore della finestra di dialogo, selezionare il nuovo pool di applicazioni.

  9. Scegliere OK.

Internet Information Services 7 (Windows Vista SP2 e Windows Server 2008 SP1) e Internet Information Services 7.5 (Windows 7 e Windows Server 2008 R2)

Una volta completata la procedura descritta nella sezione "Come collocare le applicazioni in siti IIS separati", il nuovo sito viene automaticamente collocato in un nuovo pool di applicazioni separato. Tuttavia, se è necessario configurare un sito esistente per utilizzare un nuovo pool di applicazioni separato, attenersi alla seguente procedura:

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni, espandere il nodo per il server corrente.

  3. Selezionare il nodo Pool di applicazioni.

  4. Nel riquadro Azioni, fare clic sul collegamento Aggiungi pool di applicazioni.

  5. Immettere un nome univoco per il nuovo pool di applicazioni, quindi selezionare una versione .NET Framework di destinazione e una modalità pipeline.

  6. Scegliere OK. Il nuovo pool di applicazioni viene visualizzato nell'elenco.

  7. Nel riquadro Connessioni, espandere il nodo Siti.

  8. Selezionare il sito che si desidera spostare nel pool di applicazioni creato precedentemente in questa procedura.

  9. Nel riquadro Azioni, fare clic sul collegamento Impostazioni di base.

  10. Nella finestra di dialogo Modifica sito, fare clic su Seleziona.

  11. Nell'elenco Pool di applicazioni, selezionare il pool di applicazioni creato in precedenza.

  12. Scegliere OK.

Nella finestra di dialogo Modifica sito, fare clic su OK.

Come configurare pool di applicazioni per isolamento (identità del processo)

I pool di applicazioni ospitano applicazioni e siti nei processi Windows. È possibile configurare l'identità con cui viene eseguito il processo. In un ambiente di hosting condiviso, deve essere presente un'identità separata per ogni applicazione. In questo modo si assicura che ogni applicazione è in esecuzione nel contesto di un account univoco. Questo consente il corretto isolamento mediante gli elenchi di controllo di accesso discrezionale (DACL) del file di sistema e le funzionalità integrate dell'isolamento del processo del relativo sistema operativo. Per creare un account utente e quindi assegnare un pool di applicazioni per utilizzare l'account, attenersi alla seguente procedura.

Internet Information Services 6.0 (Windows Server 2003 SP2)

Creare un account utente locale per utilizzare come identità del pool di applicazioni

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro di sinistra, espandere Utenti e gruppi locali.

  3. Fare clic con il pulsante destro del mouse sul nodo Utenti e scegliere Nuovo utente.

  4. Immettere un nome univoco e una password complessa per il nuovo account utente.

  5. Deselezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo.

  6. Selezionare la casella di controllo Cambiamento password non consentito.

  7. Scegliere Crea, quindi Chiudi.

  8. Nel riquadro di sinistra, selezionare il nodo Utenti. Il nuovo account viene visualizzato nell'elenco.

Configurare il pool di applicazioni per utilizzare il nuovo account utente locale

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro di sinistra, espandere il nodo per il server corrente.

  3. Espandere il nodo Pool di applicazioni.

  4. Fare clic con il pulsante destro del mouse sul pool di applicazioni di destinazione, quindi scegliere Proprietà.

  5. Fare clic sulla scheda Identità.

  6. Selezionare il pulsante di opzione Configurabile.

  7. Immettere il nome utente e la password del nuovo account.

  8. Scegliere OK.

  9. Immettere nuovamente la password nella finestra di dialogo Conferma password, quindi scegliere OK.

Internet Information Services 7 e 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 e Windows Server 2008 R2)

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni, espandere il nodo per il server corrente.

  3. Selezionare il nodo Pool di applicazioni.

  4. Selezionare il pool di applicazioni di destinazione.

  5. Nel riquadro Azioni, fare clic sul collegamento Impostazioni avanzate.

  6. Nella sezione Modello di processo, impostare la proprietà Identità su ApplicationPoolIdentity. Questa impostazione consente di creare automaticamente un'identità univoca per il pool di applicazioni. Nelle seguenti sezioni, puoi utilizzare questa identità univoca per impostare gli elenchi di controllo di accesso discrezionale (DACL) nei percorsi dei file ai quali l'applicazione deve accedere.

  7. Scegliere OK.

Come configurare DACL in percorsi del contenuto delle applicazioni

L'elenco di controllo di accesso discrezionale è un elenco delle autorizzazioni associate a un oggetto da poter utilizzare per controllare l'accesso all'oggetto. L'utilizzo di DACL per limitare l'accesso al contenuto delle applicazioni consente di potenziare l'isolamento tra siti ospitati nello stesso server Web. Per ulteriori informazioni su ACL e identità IIS, vedere Contenuto sicuro in IIS tramite ACL del file system

Tutte le versioni di IIS

  1. Aprire la cartella radice per il contenuto del sito al prompt dei comandi o in Windows Explorer.

  2. Utilizzare uno dei seguenti metodi per rimuovere le voci per ogni accesso utente non amministratore in questo percorso. Include il gruppo Utenti.

    • In Windows Explorer, fare clic con il pulsante destro del mouse sulla cartella, selezionare Proprietà, scegliere la scheda Sicurezza, quindi modificare l'elenco di controllo di accesso.

    • Al prompt dei comandi, utilizzare l'utilità icacls.exe (o cacls.exe in versioni precedenti del sistema operativo di Windows) per modificare l'elenco di controllo di accesso.

  3. Aggiungere una nuova voce per l'identità del processo selezionato per il sito.

  4. Assegnare alla nuova identità l'accesso Lettura/esecuzione alla cartella.



Se non sono presenti cartelle specifiche che richiedono autorizzazioni di scrittura dall'applicazione (ad esempio, una cartella "Caricamenti"), attenersi alla seguente procedura:

Internet Information Services 6.0 (Windows Server 2003 SP2)

  1. In Windows Explorer, fare clic con il pulsante destro del mouse sulla cartella, selezionare Proprietà, scegliere la scheda Sicurezza, quindi aggiungere l'accesso Modifica per l'identità del processo.

  2. Per le cartelle contenenti contenuto statico (immagini, file di testo e così via), attenersi alla seguente procedura:

    1. Aprire Gestione Internet Information Services (IIS).

    2. Nel riquadro di sinistra, fare clic con il pulsante destro del mouse sul nome della cartella appropriata, quindi scegliere Proprietà.

    3. Scegliere la scheda Directory.

    4. Nell'elenco Autorizzazioni di esecuzione, selezionare Nessuna.

Internet Information Services 7 e 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 e Windows Server 2008 R2)

  1. In Windows Explorer, fare clic con il pulsante destro del mouse sulla cartella, selezionare Proprietà, scegliere la scheda Sicurezza, quindi aggiungere l'accesso Modifica per l'identità del processo.

  2. Per le cartelle contenenti contenuto statico (immagini, file di testo e così via), aggiungere una voce di file "web.config" per il percorso che impedisce l'autorizzazione Script nell'impostazione accessPolicy: <system.webServer> <handlers accessPolicy="Read,Write" /> </system.webServer>

Come configurare un percorso della cartella dei file temporanei di ASP.NET e come impostare DACL per sito

ASP.NET richiede un percorso nel server per archiviare i dati temporanei come file compilati. In genere si tratta della cartella dei file temporanei di ASP.NET. Per impostazione predefinita, questa cartella si trova nella cartella in cui è installato .NET Framework. Allocare un percorso temporaneo differente per ogni sito e proteggere la cartella individualmente e in modo appropriato consente di potenziare l'isolamento tra siti ospitati nello stesso server Web. Per ulteriori informazioni sulla cartella dei file temporanei di ASP.NET, vedere Informazioni sulla compilazione dinamica di ASP.NET.

Come configurare un percorso differente della cartella dei file temporanei di ASP.NET per ogni sito

  1. Creare una nuova cartella per ogni sito per archiviare la cartella dei file temporanei di ASP.NET del sito. È preferibile utilizzare un'unità non di sistema per archiviare i file temporanei.

  2. Nel file principale web.config o applicationHost.config del server, è inclusa un'impostazione per scegliere il percorso della nuova cartella per quel determinato sito tramite un elemento <percorso>, come questo: <configurazione> <percorso="path"> <system.web> <compilazione tempDirectory="temp-files-path" /> </system.web> </location> <!-- e così via --> </configuration>

Come impostare DACL appropriati per il percorso della cartella dei file temporanei di ASP.NET

  1. Utilizzare un prompt dei comandi o Esplora risorse per rimuovere le autorizzazioni di accesso di utenti non amministratori in questa posizione. Include il gruppo Utenti.

  2. Aggiungere una nuova voce per l'identità del processo selezionata in precedenza per questo sito, quindi consentire all'identità l'accesso Modifica per la cartella.

Come rimuovere dati riservati dai file di configurazione principali

I file di applicazione web.config si trovano nella cartella del contenuto per l'applicazione servita. Anche se ASP.NET non serve il file di applicazione web.config, quando è pratico, è preferibile inserire le informazioni relative alla sicurezza come le impostazioni di chiave macchina e le stringhe di connessione in un file di configurazione situato all'esterno del percorso dell'applicazione. In questo modo viene aggiunta una misura difensiva contro la divulgazione di informazioni.

Internet Information Services 6.0 (Windows Server 2003 SP2)

Archiviare informazioni di configurazione relative alla sicurezza nel file principale web.config non è consigliabile per l'isolamento dei dati tra diversi siti, poiché tutti i siti dispongono dell'accesso di lettura per il file. Pertanto, in IIS 6 è necessario archiviare la configurazione riservata nel file di applicazione web.config. Questo consente ai siti di isolare una configurazione riservata da un'altra. In questo caso, l'applicazione si basa sulle difese di ASP.NET per impedire che il file di configurazione web.config venga servito e per prevenire la divulgazione di informazioni riservate.

Internet Information Services 7 e 7.5 (Windows Vista SP2, Windows Server 2008 SP1, Windows 7 e Windows Server 2008 R2)

Per IIS 7 e versioni successive, spostare la configurazione riservata che si trova nel file applicationHost.config di IIS in un elemento <percorso> che collega la configurazione al sito al quale si applica. Per ulteriori informazioni, vedere Come utilizzare il blocco nella configurazione di IIS 7.0. Microsoft ringrazia le seguenti persone per aver collaborato al fine di proteggere i clienti:

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×