方法: ASP.NET Web アプリケーションまたは Web サービスのセキュリティを監査

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:815144
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
手順説明、ASP.NET Web アプリケーションまたは、ASP.NET Web サービスのセキュリティを監査するします。

システムのセキュリティは新しい要素が、システムの理想的な構成に追加されると減少します。 新しいアプリケーションのインストール、ソフトウェアの更新、一時的な構成の変更、および、システムのセキュリティ構成のトラブルシューティングの変更の側面です。 意図的または意図しない、これらの変更は、システムのセキュリティ要件を満たさなくなるにあります。 この影響を小さくには、システム セキュリティ構成の定期的に監査を実行します。 文書し、がシステムに導入されましたが、セキュリティ構成へのすべての変更を評価します。 必要に応じて、これらの変更を取り消します。

ここでは、ASP.NET アプリケーションに影響するキーの構成設定について説明します。 これらの設定を文書化のクリーンな状態で、システムを初めて構成するとします。 元の設定に対する現在の設定を比較する定期的に監査を実行します。 これらの監査では、システムのセキュリティの時間の経過を低下させることを防止できます。 ここではこれらの設定の構成方法をについてはできません。

監査に関連する .NET Framework アプリケーションを ASP.NET ではないセキュリティの構成項目の追加についてはをクリックして以下「サポート技術情報」(Microsoft Knowledge Base) 資料を参照。
815143[HOW TO、.NET Framework 構成のセキュリティを監査
back to the top

.NET フレームワークの構成項目


.NET Framework では、ファイルの階層を使用してアプリケーションに適用されるポリシーの決定をします。 次のファイルには、デフォルトの構成設定含まれています。
\ System Root \Microsoft.NET\Framework\ Version \CONFIG\Machine.config
という Web.config または ApplicationName の.config ファイルによって、アプリケーションのルート フォルダー (またはすべてのサブフォルダー) でこれらの設定をオーバーライドする可能性があります。 これらすべてのファイル、アプリケーションのセキュリティの構成を正確に評価を監査する必要があります。 構成ファイルの重要な要素次に示します。
  • <trace> (具体的には、 有効な 属性と localOnly 属性)
  • <processmodel>
  • <customerrors>
  • <authentication> (とそれに含まれる要素)
  • <identity>
  • <authorization>
  • <securitypolicy>
  • <machinekey>
  • <httphandlers>
  • <processmodel> (具体的には、属性の 有効にするに は、 ユーザー名 属性と パスワード 属性の)
  • <webservices> 要素で構成要素を <protocols>
back to the top

ファイルのアクセス許可

ASP.NET ファイルとフォルダー、監査に関連付けられている NTFS ファイル アクセス許可が含まれます。 これらが、親フォルダーから継承されます。 またはファイルごとに一意に定義できます。

多数のファイルのファイル アクセス許可を簡単に監査するには、Cacls.exe を使用するテキスト ファイルへのアクセス許可の書き込みコマンド ライン ユーティリティです。 およびするたび、監査を実行、このテキスト ファイルをシステムがクリーンにすると、作成したファイルを比較し、変更に注意します。

Output.txt という名前のファイルへのすべてのサブフォルダーと C:\inetpub\wwwroot\ フォルダーに関連付けられたすべてのファイルのアクセス許可を書き込み、コマンド プロンプトで次のコマンドを実行します。
CACLS C:\inetpub\wwwroot\*/T > output.txt
back to the top

IIS の構成項目

Windows 2000 システムをインターネットを使用して ASP.NET アプリケーションをサポートするインフォメーション サービス (IIS) 5. 0 です。 .NET Framework をインストールすると IIS は自動的に ASP.NET をサポートする構成されます。 IIS では、次の設定を定期的に監査します。
  • アプリケーションのマッピング
    アプリケーション マッピングの設定を表示するには、次の手順に従います。
    1. クリックして の設定 ] をポイントして [ コントロール パネルの をクリックして の開始 ]。
    2. [ 管理ツール ] ダブルクリックして、[ インターネット サービス マネージャー ] をダブルクリックします。
    3. 仮想サーバー、またはその仮想フォルダーを含む、ASP.NET アプリケーションを右クリックして [ プロパティ ] をクリックします。
    4. [ ホーム ディレクトリ ] タブ (または [ ディレクトリ ] タブをクリック) クリックします。
    5. [ アプリケーションの設定 ] の [ 構成 ] をクリックします。
    6. Aspnet_isapi.dll ファイルにマップされているファイル名拡張子をメモします。
  • [実行アクセス許可
    実行アクセス許可設定を表示をするには次の手順に従います。
    1. クリックして の設定 ] をポイントして [ コントロール パネルの をクリックして の開始 ]。
    2. [ 管理ツール ] ダブルクリックして、[ インターネット サービス マネージャー ] をダブルクリックします。
    3. 仮想サーバー、またはその仮想フォルダーを含む、ASP.NET アプリケーションを右クリックして [ プロパティ ] をクリックします。
    4. [ ホーム ディレクトリ ] タブ (または [ ディレクトリ ] タブをクリック) クリックします。
    5. スクリプト ソース アクセス 読み取り 書き込み および ディレクトリの参照 ] チェック ボックスが選択されているかどうかを確認します。 なお、 実行アクセス許可 設定します。
back to the top

SQL Server の構成項目

Microsoft SQL Server は独自のセキュリティを含む、.NET Framework 構成、IIS では、および NTFS から個別に機能するメカニズム ファイル アクセス許可。 過度寛容な型指定の SQL Server の権限は、ASP.NET アプリケーションのプライベート データを侵害に使用される可能性がありますで脆弱性を作成する可能性があります。 ASP.NET との関係として SQL Server のセキュリティ構成のあらゆる側面を表示する、SQL Enterprise Manager にしてアクセスします。

監査の SQL Server の構成項目

  1. [スタート ] をクリックして、 プログラム ] をポイントし、 Microsoft SQL Server ] をポイントし、 SQL Enterprise Manager
  2. データベース サーバーを展開を セキュリティ ] を展開し ログイン ] をクリックします。
  3. ASPNET ユーザー アカウントが存在する場合 ASPNET ] を右クリックし、 プロパティ
  4. SQL Server ログインのプロパティ ] で [ データベースへのアクセス ] タブをクリックします。
  5. データベースと、役割のアカウントはアクセス許可が与えられています確認します。
  6. ASPNET アカウントがアクセス許可データベースごとに、については、次の操作行います。
    1. データベースを拡張し、 ユーザー を実行します。
    2. ASPNET ] を右クリックし、 プロパティ を実行します。
    3. [ データベース ユーザーのプロパティ ] で、[ アクセス許可 、ASPNET ユーザーがすべてのテーブルおよびビューに対して持っているアクセス許可を確認します。
back to the top
関連情報
詳細については、クリック、次資料、記事の「サポート技術情報」(Microsoft Knowledge Base) を表示: して
315736方法: Windows のセキュリティを使用して ASP.NET アプリケーションを保護します。
315588[HOW TO クライアント側の証明書を使用して ASP.NET アプリケーションをセキュリティ保護
back to the top

警告: この記事は自動翻訳されています

プロパティ

文書番号:815144 - 最終更新日: 02/26/2014 21:04:15 - リビジョン: 1.6

Microsoft ASP.NET 1.0, Microsoft ASP.NET 1.1

  • kbnosurvey kbarchive kbhowtomaster kbwebforms kbweb kbsecurity kbconfig kbwebservices kbmt KB815144 KbMtja
フィードバック