Bezpieczne aplikacje oparte na .NET Framework
W tym artykule opisano ważne zagadnienia dotyczące zabezpieczania aplikacji opartych na usłudze Microsoft .NET Framework.
Oryginalna wersja produktu: .NET Framework
Oryginalny numer KB: 818014
Podsumowanie
Ten artykuł jest jednym z serii artykułów zawierających szczegółowe informacje dla aplikacji opartych na .NET Framework.
Artykuły z tej serii zawierają następujące artykuły:
Dostosowywanie zabezpieczeń .NET Framework w zależności od strefy
.NET Framework przypisuje poziomy zaufania do zarządzanych zestawów. Te przypisania są częściowo oparte na strefie, w której działa zestaw. Strefy standardowe to Mój komputer, lokalny intranet, Internet, zaufane witryny i niezaufane witryny. Może być konieczne zwiększenie lub zmniejszenie poziomu zaufania skojarzonego z jedną z tych stref. .NET Framework zawiera narzędzia do dostosowywania tych ustawień.
Dostosowywanie poziomu zaufania w zestawie .NET Framework
.NET Framework zawiera wiele sposobów określania poziomu zaufania, który należy przyznać zestawowi. Można jednak wprowadzić wyjątki od reguł, aby umożliwić określonemu zestawowi uzyskanie wyższego poziomu zaufania niż zwykle na podstawie dowodów dostarczonych w środowisku uruchomieniowym języka wspólnego. .NET Framework udostępnia narzędzie kreatora specjalnie do tego celu.
Przywracanie dostosowanych poziomów zasad
Jako administrator masz pełną kontrolę nad dostępem udzielanym do zestawów uruchamianych na różnych poziomach zaufania. W przypadku dostosowywania poziomów zaufania mogą wystąpić problemy podczas uruchamiania aplikacji, która zwykle działa na standardowym poziomie zaufania. Można jednak szybko przywrócić poziomy zasad do ich ustawień domyślnych.
Ocena uprawnień przyznanych zestawowi
Jeśli masz zasady konfiguracji zabezpieczeń przedsiębiorstwa, komputera i użytkownika oraz dostosowywalne poziomy zaufania, ocena uprawnień przyznanych zestawowi zarządzanego może być trudna. Narzędzie .NET Framework Configuration zawiera prostą metodę oceny tych uprawnień.
Inspekcja zabezpieczeń programu . Aplikacje połączone z platformą NET
Podczas uaktualniania, testowania i rozwiązywania problemów konfiguracja systemów produkcyjnych może ulec zmianie w niezamierzony sposób. Na przykład administrator może udzielić poświadczeń administracyjnych użytkownikowi podczas określania, czy błąd jest związany z prawami dostępu. Jeśli administrator zapomni odwołać te poświadczenia z podwyższonym poziomem uprawnień po zakończeniu procesu rozwiązywania problemów, integralność systemu zostanie naruszona.
Ponieważ zabezpieczenia systemu mogą być z czasem obniżone przez tego typu działania, dobrym pomysłem jest przeprowadzanie regularnych inspekcji. Aby to zrobić, należy udokumentować kluczowe aspekty nieskazitelnego systemu w celu utworzenia miary bazowej. Porównaj te ustawienia z punktem odniesienia w czasie, aby określić, czy wystąpiły jakiekolwiek problemy, które mogą znacznie zmniejszyć poziom luki w zabezpieczeniach.
Skonfiguruj element . Aplikacja połączona z siecią i SQL Server do używania alternatywnego numeru portu do komunikacji sieciowej
Wiele zautomatyzowanych narzędzi identyfikuje dostępne usługi i luki w zabezpieczeniach, wykonując zapytania dotyczące znanych numerów portów. Narzędzia te obejmują zarówno wiarygodne narzędzia do oceny zabezpieczeń, jak i narzędzia, których mogą używać złośliwi użytkownicy.
Jednym ze sposobów zmniejszenia narażenia na tego typu narzędzia jest zmiana numeru portu używanego przez aplikacje. Tę metodę można zastosować do metody . Aplikacje połączone z siecią, które korzystają z bazy danych SQL Server zaplecza. Ta metoda działa, jeśli zarówno serwer, jak i klient są poprawnie skonfigurowane.
Blokowanie ASP.NET aplikacji internetowej lub usługi internetowej
Istnieje wiele sposobów zwiększenia bezpieczeństwa ASP.NET aplikacji internetowych i usług internetowych. Można na przykład użyć filtrowania pakietów, zapór, restrykcyjnych uprawnień do plików, filtru INTERFEJSU programowania aplikacji serwera internetowego (ISAPI) i starannie kontrolowanych uprawnień SQL Server. Dobrym pomysłem jest zapoznanie się z tymi różnymi metodami, aby zapewnić szczegółowe zabezpieczenia aplikacji ASP.NET.
Konfigurowanie uprawnień do plików NTFS w celu zwiększenia bezpieczeństwa aplikacji ASP.NET
Uprawnienia do plików systemu plików NTFS (New Technology File System) nadal są ważną warstwą zabezpieczeń dla aplikacji internetowych. ASP.NET aplikacje zawierają o wiele więcej typów plików niż poprzednie środowiska aplikacji internetowych. Pliki, do których muszą mieć dostęp anonimowe konta użytkowników, nie są oczywiste.
Konfigurowanie zabezpieczeń SQL Server dla aplikacji opartych na .NET Framework
Domyślnie SQL Server nie daje użytkownikom możliwości wykonywania zapytań ani aktualizowania baz danych. Ta reguła ma również zastosowanie do aplikacji ASP.NET i konta użytkownika aspnet. Aby umożliwić aplikacjom ASP.NET uzyskanie dostępu do danych przechowywanych w SQL Server bazie danych, administrator bazy danych musi przyznać uprawnienia do konta ASPNET.
Aby uzyskać dodatkowe informacje na temat sposobu konfigurowania SQL Server w celu zezwalania na zapytania i aktualizacje z aplikacji ASP.NET, zobacz Konfigurowanie uprawnień do obiektów bazy danych.
Konfigurowanie aplikacji URLScan w celu zwiększenia ochrony aplikacji internetowych ASP.NET
Po zainstalowaniu programu URLScan na serwerze usług Internet Information Services 5.0 (IIS 5.0) skonfigurowano go tak, aby zezwalał na uruchamianie aplikacji asp 3.0. Jednak podczas instalowania .NET Framework konfiguracja URLScan nie jest aktualizowana w celu uwzględnienia nowych typów plików ASP.NET. Jeśli chcesz dodać zabezpieczenia filtru URLScan ISAPI dla aplikacji ASP.NET, dostosuj konfigurację URLScan.
Wymaganie uwierzytelniania dla aplikacji internetowych ASP.NET
Wiele ASP.NET aplikacji nie zezwala na dostęp anonimowy. Aplikacja ASP.NET wymagająca uwierzytelniania może użyć jednej z następujących trzech metod: uwierzytelniania formularzy, uwierzytelniania .NET Passport i uwierzytelniania systemu Windows. Każda metoda uwierzytelniania wymaga innej techniki konfiguracji.
Ograniczanie dostępu określonych użytkowników do określonych zasobów internetowych
ASP.NET obejmuje uwierzytelnianie formularzy. Jest to unikatowy sposób uwierzytelniania użytkowników bez tworzenia kont systemu Windows. ASP.NET obejmuje również możliwość udzielania lub odmawiania dostępu tych użytkowników do różnych zasobów internetowych.
Aby uzyskać więcej informacji na temat sposobu kontrolowania dostępu do zasobów internetowych dla poszczególnych użytkowników, odwiedź stronę Jak ograniczyć dostęp określonych użytkowników do określonych zasobów internetowych.
Ograniczanie protokołów usług internetowych dozwolonych przez serwer
Domyślnie ASP.NET obsługuje trzy sposoby wystawiania żądań do usług internetowych przez klientów usług internetowych: SOAP, HTTP GET i HTTP PUT. Jednak większość aplikacji wymaga tylko jednej z tych trzech metod. Dobrym pomysłem jest zmniejszenie obszaru ataków przez wyłączenie nieużywanych protokołów.
Nie zezwalaj przeglądarce na dostęp do programu . Usługi sieci Web połączone z siecią NET
ASP.NET usługi internetowe zapewniają przyjazny dla przeglądarki interfejs ułatwiający deweloperom tworzenie klientów usług internetowych. Ten przyjazny interfejs umożliwia wszystkim osobom, które mogą skontaktować się z usługą internetową, wyświetlanie pełnych szczegółów dostępnych metod i wszystkich wymaganych parametrów. Ten dostęp jest przydatny w przypadku publicznych usług sieci Web, które obejmują tylko publicznie dostępne metody. Może to jednak zmniejszyć bezpieczeństwo prywatnych usług internetowych.
Aby uzyskać dodatkowe informacje o sposobie kontrolowania dostępu do zasobów internetowych na poszczególnych użytkowników, odwiedź stronę Jak ograniczyć dostęp określonych użytkowników do określonych zasobów internetowych.
Ochrona typów plików przy użyciu ASP.NET
Struktura aplikacji ASP.NET powoduje, że wiele plików prywatnych jest przechowywanych z plikami żądanymi przez użytkowników końcowych. ASP.NET chroni te pliki przez przechwycenie żądań dotyczących plików i zwrócenie błędu. Tego typu ochronę można rozszerzyć na dowolny typ pliku przy użyciu ustawień konfiguracji. Jeśli aplikacja zawiera nietypowe typy plików, które powinny pozostać prywatne, możesz użyć ASP.NET ochrony plików, aby chronić te pliki.
Informacje
Aby uzyskać więcej informacji na temat zabezpieczania aplikacji opartych na .NET Framework, odwiedź stronę Co nowego w Windows 10 wdrożeniu.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla