Защита приложений, созданных на основе платформа .NET Framework

Статья
07/17/2023

В этой статье описываются важные рекомендации по защите приложений, созданных на основе Microsoft платформа .NET Framework.

Исходная версия продукта: платформа .NET Framework
Исходный номер базы знаний: 818014

Сводка

Эта статья является одной из серии статей, в которых содержатся подробные сведения о приложениях, созданных на основе платформа .NET Framework.

В этой серии содержатся следующие статьи:

Настройка безопасности платформа .NET Framework в зависимости от зоны

Платформа .NET Framework назначает управляемым сборкам уровни доверия. Эти назначения частично основаны на зоне, в которой выполняется сборка. Стандартные зоны: "Мой компьютер", "Локальная интрасеть", "Интернет", "Доверенные сайты" и "Ненадежные сайты". Может потребоваться увеличить или уменьшить уровень доверия, связанный с одной из этих зон. Платформа .NET Framework включает средства для настройки этих параметров.

Настройка уровня доверия в сборке платформа .NET Framework

Платформа .NET Framework включает множество способов определения уровня доверия, который следует предоставить сборке. Однако можно сделать исключения из правил, чтобы разрешить определенной сборке получать более высокий уровень доверия, чем обычно, на основе доказательств, предоставленных среде CLR. Специально для этой цели платформа .NET Framework предоставляет средство мастера.

Восстановление настроенных уровней политики

Администратор имеет полный контроль над доступом, предоставляемым сборкам, которые выполняются на различных уровнях доверия. При настройке уровней доверия могут возникнуть проблемы при запуске приложения, которое обычно выполняется на стандартном уровне доверия. Однако вы можете быстро восстановить уровни политики до параметров по умолчанию.

Оценка разрешений, предоставленных сборке

При наличии политик конфигурации корпоративной, машинной и пользовательской безопасности, а также настраиваемых уровней доверия может быть трудно оценить разрешения, предоставленные управляемой сборке. Средство настройки платформа .NET Framework включает простой метод для оценки этих разрешений.

Аудит безопасности . Приложения, подключенные к NET

Во время обновлений, тестирования и устранения неполадок конфигурация рабочих систем может измениться непреднамеренно. Например, администратор может предоставить учетные данные администратора пользователю, определяя, связана ли ошибка с правами доступа. Если этот администратор забудет отозвать эти учетные данные с повышенными привилегиями после завершения процесса устранения неполадок, целостность системы будет скомпрометирована.

Так как этот тип действий может со временем снизить безопасность системы, рекомендуется проводить регулярные аудиты. Для этого задокументируйте ключевые аспекты нетронутой системы, чтобы создать базовую меру. Сравните эти параметры с базовым показателем с течением времени, чтобы определить, возникли ли какие-либо проблемы, которые могут значительно снизить уровень уязвимости.

Настройте . Приложение, подключенное к NET, и SQL Server использовать альтернативный номер порта для сетевого взаимодействия

Многие автоматизированные средства определяют доступные службы и уязвимости, запрашивая известные номера портов. К этим средствам относятся как допустимые средства оценки безопасности, так и средства, которые могут использовать злоумышленники.

Одним из способов снижения уязвимости этих типов инструментов является изменение номера порта, используемого приложениями. Этот метод можно применить к . Приложения, подключенные к NET, которые используют серверную SQL Server базу данных. Этот метод работает, если сервер и клиент настроены правильно.

Блокировка веб-приложения или веб-службы ASP.NET

Существует множество способов повышения безопасности ASP.NET веб-приложений и веб-служб. Например, можно использовать фильтрацию пакетов, брандмауэры, ограниченные разрешения для файлов, фильтр ISAPI для проверки URL-адресов и тщательно контролируемые SQL Server привилегии. Рекомендуется изучить эти различные методы, чтобы обеспечить безопасность для ASP.NET приложений.

Настройка разрешений файлов NTFS для повышения безопасности приложений ASP.NET

Разрешения файлов новой файловой системы технологии (NTFS) по-прежнему остаются важным уровнем безопасности для веб-приложений. ASP.NET приложения содержат гораздо больше типов файлов, чем предыдущие среды веб-приложений. Файлы, к которым должны иметь доступ анонимные учетные записи пользователей, не очевидны.

Настройка SQL Server безопасности для приложений, созданных на основе платформа .NET Framework

По умолчанию SQL Server не предоставляет пользователям возможность запрашивать или обновлять базы данных. Это правило также применяется к ASP.NET приложениям и учетной записи пользователя ASPNET. Чтобы разрешить приложениям ASP.NET доступ к данным, хранящимся в базе данных SQL Server, администратор базы данных должен предоставить права учетной записи ASPNET.

Дополнительные сведения о настройке SQL Server для разрешения запросов и обновлений из ASP.NET приложений см. в статье Настройка разрешений для объектов базы данных.

Настройка URLScan для повышения защиты ASP.NET веб-приложений

При установке URLScan на сервере iis 5.0 (IIS 5.0) он настраивается так, чтобы разрешить запуск приложений ASP 3.0. Однако при установке платформа .NET Framework конфигурация URLScan не обновляется для включения новых ASP.NET типов файлов. Если вы хотите добавить безопасность фильтра ISAPI URLScan для приложений ASP.NET, измените конфигурацию URLScan.

Требовать проверку подлинности для ASP.NET веб-приложений

Многие приложения ASP.NET не разрешают анонимный доступ. Приложение ASP.NET, требующее проверки подлинности, может использовать один из следующих трех методов: проверка подлинности с помощью форм, проверка подлинности .NET Passport и проверка подлинности Windows. Для каждого метода проверки подлинности требуется другой способ настройки.

Ограничение доступа определенных пользователей к указанным веб-ресурсам

ASP.NET включает проверку подлинности с помощью форм. Это уникальный способ проверки подлинности пользователей без создания учетных записей Windows. ASP.NET также включает в себя возможность предоставлять или запрещать доступ этих пользователей к различным веб-ресурсам.

Дополнительные сведения о том, как управлять доступом к веб-ресурсам на уровне отдельных пользователей, см. в статье Ограничение доступа конкретных пользователей к указанным веб-ресурсам.

Ограничение протоколов веб-служб, разрешенных сервером

По умолчанию ASP.NET поддерживает три способа отправки клиентами веб-служб запросов к веб-службам: SOAP, HTTP GET и HTTP PUT. Однако для большинства приложений требуется только один из этих трех методов. Рекомендуется уменьшить область атаки, отключив все неиспользуемые протоколы.

Не разрешайте браузеру доступ к . Веб-службы, подключенные к NET

ASP.NET веб-службы предоставляют удобный для браузера интерфейс, упрощающий разработчикам создание клиентов веб-служб. Этот удобный интерфейс позволяет всем, кто может обратиться к веб-службе, просматривать полные сведения о доступных методах и всех необходимых параметрах. Этот доступ полезен для общедоступных веб-служб, которые включают только общедоступные методы. Однако это может снизить безопасность частных веб-служб.

Использование ASP.NET для защиты типов файлов

Структура приложений ASP.NET приводит к тому, что многие частные файлы хранятся в файлах, запрашиваемых конечными пользователями. ASP.NET защищает эти файлы, перехватывая запросы для файлов и возвращая ошибку. Этот тип защиты можно расширить на любой тип файла с помощью параметров конфигурации. Если приложение содержит необычные типы файлов, которые должны оставаться закрытыми, можно использовать защиту файлов ASP.NET для защиты этих файлов.

Ссылки

Дополнительные сведения о защите приложений, созданных на основе платформа .NET Framework, см. в статье Новые возможности развертывания Windows 10.