62,046
社区成员
发帖
与我相关
我的任务
分享怎么设置asp.net服务器的安全性?
特别是IIS方面,SDK默认安装的应用程序映射都是需要的吗?
还有那些关于asp.net要特别注意的呢?
还有那些关于asp.net要特别注意的呢?
...全文
请发表友善的回复…
发表回复
chido 2003-08-20
- 打赏
- 举报
aspnet_client这个目录不可以删除,里面放的是一些客户端的JS脚本,好多地方都要调用他的,如果你删了,就得重新生成一份。
smartcreater 2003-08-20
- 打赏
- 举报
ASP .NET 中的安全性
WEB 开发者这设计和实现应用程序时一定要 考虑安全性。安全有不同的类型和级别,应用程序所需的安全性各不相同,这取决于应用程序的作用,存贮的数据类型,能承担的风险,工作量,时间开销,金钱开销等。
基本的安全策略:
1. 服务器的设置和应用程序的设计
防止由于不安全的服务器设置和不恰当的应用程序设计危及WEB服务器的和数据的安全
2. 打补丁
防止由于服务器软件的缺陷危及WEB服务器的安全。
3. 访问控制
防止不恰当的访问设置危及WEB服务器的和数据的安全。
4. 审计和日志
跟踪那些访问站点的用户的访问内容和时间。
5. 使用SSL和其他的加密安全工具
服务器的设置和应用程序的设计:
选择合适的操作系统
选择用途
如果在一台计算机上运行WEB服务器,数据库服务器以及组件,存在很大的安全隐患,不要把数据库存放在暴露与Internet 上的WEB服务器上;同时向服务器添加更多用途时,也增加了安全隐患。在配置服务器时要明确每台服务器的用途。
选择服务
那些已运行但未使用的服务可能造成巨大的安全风险,如安装了FTP或SMTP服务但没有保护这些服务的使用端口,那么可能被利用一些众所周知的缺陷危及服务器的安全。如果没有时用某个服务就不要安装它,如果需要安装一些不经常使用的服务,应该将它们的设置为手动启动而不是自动启动。
制定安全策略
密码
不要使用弱密码和空白密码
一般健壮的密码 至少包含 :大写、小写、数字、非字母符号(如* % # $)中的3种,最小长度8位。
密码存储的安全性
WEB 应用程序的一个常见问题是密码或其他敏感数具备存储在一个不安全的地方,纯文本文件(如ASP/ASP.NET页),Global.asa/Global.asax文件以及web的配置文件。当web服务器有安全缺陷是这是不安全的。
解决方法:
1. 对于Intranet来说,如使用SQL_SERVER ,用信任连接服务器,该方法通过连接字符串的Trusted_Connection属性通知SQL_SERVER使用当前用户的NT登录信息进行登录。这对用户通过NT用户名和密码的NTLM登录应用程序很有用。
2. 使用appSetting配置节将连接字符串信息保存在Machine.config文件中,该文件不直接暴露在应用程序的Web空间中,(密码仍为纯文本文件)可以将包含Machine.config的目录和包含Web应用程序的目录放在不同的驱动器中。
用SSL保护通信
默认情况下,由HTTP 请求和响应发送的信息都是明文。在Web应用中最常用的加密形式是SSL(Secure Sockets Layer, 安全套接字层 协议)。要求在Web服务器与浏览器间进行安全通信的站点使用SSL创建并交换密钥,对客户端与服务器端的通信进行加密。通常的电子商务站点用这种方式保护信用卡信息。SSL 也可保护如SessionID cookie和使用基本验证或ASP.NET基于窗体验证时的登录信息。
默认情况下,SSL通信使用443端口(非SSL的Web通信使用80端口),通过在URL前加https://前缀表明是用SSL加密的。为Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。
申请证书步骤:
[Internet 服务管理器] 单击要使用SSL保护的站点并选择 [属性] [目录安全性] [服务器证书] ,将启动Web服务器证书向导。
用Web 服务器证书向导创建一个新的证书请求。 证书颁发机构将校验请求并发送一个服务器证书。(证书的名称必须匹配要求安装该证书的站点的完全合格域名称。否则,用户将得到警告,即使服务器证书有效但证书重的名称不匹配请求的URL)。
安装证书步骤:
1.找到从证书颁发机构接收到的证书文件,右击文件并选择 [安装证书]。
2.打开 [internet 服务管理器]
3.右击要用SSL保护的站点并选择 [属性]。
4.[目录安全性] [服务器证书],将再次启动web服务器证书向导。
5.[下一步]进入向导第2页
6.[服务器证书]中选择[分配一个已存在的证书] [下一步]。
7.[已存在的证书]页面里列出当前计算机的所有证书,包括刚才安装的证书。选择想要的证书 [下一步]
8.检查[证书摘要]信息以确保所分配的是正确的证书。然后[下一步],然后[完成]
安装证书后:用户可通过https://请求页面,即可使用SSL加密站点中任何虚拟目录中的通信。但是,要确保页面只能通过SSL查看,则必须为要保护的页面或目录请求SSL(在 [目录安全性] 或 [文件安全性] 选项卡中单击 [编辑] 按钮,在随后出现的 [安全通信] 对话框中进行配置即可)。
未完待续 ----------------------- Written by smartcreater
更多安全信息参考:http://www.microsoft.com/technet/security
http://www.microsoft.com/technet/security/iis5chk.asp
http://nsa2.www.conxion.com/win2k/download.htm
WEB 开发者这设计和实现应用程序时一定要 考虑安全性。安全有不同的类型和级别,应用程序所需的安全性各不相同,这取决于应用程序的作用,存贮的数据类型,能承担的风险,工作量,时间开销,金钱开销等。
基本的安全策略:
1. 服务器的设置和应用程序的设计
防止由于不安全的服务器设置和不恰当的应用程序设计危及WEB服务器的和数据的安全
2. 打补丁
防止由于服务器软件的缺陷危及WEB服务器的安全。
3. 访问控制
防止不恰当的访问设置危及WEB服务器的和数据的安全。
4. 审计和日志
跟踪那些访问站点的用户的访问内容和时间。
5. 使用SSL和其他的加密安全工具
服务器的设置和应用程序的设计:
选择合适的操作系统
选择用途
如果在一台计算机上运行WEB服务器,数据库服务器以及组件,存在很大的安全隐患,不要把数据库存放在暴露与Internet 上的WEB服务器上;同时向服务器添加更多用途时,也增加了安全隐患。在配置服务器时要明确每台服务器的用途。
选择服务
那些已运行但未使用的服务可能造成巨大的安全风险,如安装了FTP或SMTP服务但没有保护这些服务的使用端口,那么可能被利用一些众所周知的缺陷危及服务器的安全。如果没有时用某个服务就不要安装它,如果需要安装一些不经常使用的服务,应该将它们的设置为手动启动而不是自动启动。
制定安全策略
密码
不要使用弱密码和空白密码
一般健壮的密码 至少包含 :大写、小写、数字、非字母符号(如* % # $)中的3种,最小长度8位。
密码存储的安全性
WEB 应用程序的一个常见问题是密码或其他敏感数具备存储在一个不安全的地方,纯文本文件(如ASP/ASP.NET页),Global.asa/Global.asax文件以及web的配置文件。当web服务器有安全缺陷是这是不安全的。
解决方法:
1. 对于Intranet来说,如使用SQL_SERVER ,用信任连接服务器,该方法通过连接字符串的Trusted_Connection属性通知SQL_SERVER使用当前用户的NT登录信息进行登录。这对用户通过NT用户名和密码的NTLM登录应用程序很有用。
2. 使用appSetting配置节将连接字符串信息保存在Machine.config文件中,该文件不直接暴露在应用程序的Web空间中,(密码仍为纯文本文件)可以将包含Machine.config的目录和包含Web应用程序的目录放在不同的驱动器中。
用SSL保护通信
默认情况下,由HTTP 请求和响应发送的信息都是明文。在Web应用中最常用的加密形式是SSL(Secure Sockets Layer, 安全套接字层 协议)。要求在Web服务器与浏览器间进行安全通信的站点使用SSL创建并交换密钥,对客户端与服务器端的通信进行加密。通常的电子商务站点用这种方式保护信用卡信息。SSL 也可保护如SessionID cookie和使用基本验证或ASP.NET基于窗体验证时的登录信息。
默认情况下,SSL通信使用443端口(非SSL的Web通信使用80端口),通过在URL前加https://前缀表明是用SSL加密的。为Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。
申请证书步骤:
[Internet 服务管理器] 单击要使用SSL保护的站点并选择 [属性] [目录安全性] [服务器证书] ,将启动Web服务器证书向导。
用Web 服务器证书向导创建一个新的证书请求。 证书颁发机构将校验请求并发送一个服务器证书。(证书的名称必须匹配要求安装该证书的站点的完全合格域名称。否则,用户将得到警告,即使服务器证书有效但证书重的名称不匹配请求的URL)。
安装证书步骤:
1.找到从证书颁发机构接收到的证书文件,右击文件并选择 [安装证书]。
2.打开 [internet 服务管理器]
3.右击要用SSL保护的站点并选择 [属性]。
4.[目录安全性] [服务器证书],将再次启动web服务器证书向导。
5.[下一步]进入向导第2页
6.[服务器证书]中选择[分配一个已存在的证书] [下一步]。
7.[已存在的证书]页面里列出当前计算机的所有证书,包括刚才安装的证书。选择想要的证书 [下一步]
8.检查[证书摘要]信息以确保所分配的是正确的证书。然后[下一步],然后[完成]
安装证书后:用户可通过https://请求页面,即可使用SSL加密站点中任何虚拟目录中的通信。但是,要确保页面只能通过SSL查看,则必须为要保护的页面或目录请求SSL(在 [目录安全性] 或 [文件安全性] 选项卡中单击 [编辑] 按钮,在随后出现的 [安全通信] 对话框中进行配置即可)。
未完待续 ----------------------- Written by smartcreater
更多安全信息参考:http://www.microsoft.com/technet/security
http://www.microsoft.com/technet/security/iis5chk.asp
http://nsa2.www.conxion.com/win2k/download.htm
xanswer 2003-08-20
- 打赏
- 举报
添加了ASP.net的功能后发现每个网站的目录都有一个aspnet_client的目录?为什么会这样?如不要这个目录可以吗?要怎么去掉(该不会要一个一个删吧)?
fansun 2003-08-20
- 打赏
- 举报
1.目前为止asp.net 可以认为是很安全的 原因不仅仅是从技术上来说
有一个很重要的原因是精通它的人并不比asp的多。
2.asp.net 的安全有两个方面 一个是系统本身的设置 一个是代码的编写
3.提高asp.net 安全需要的几点
a.不要用系统默认的站点 自己新建一个站点(当然配置你新建站点的安全性是很麻烦的这里先不说具体的方法)
b.代码不要泄露(似乎这是废话)
c.asp.net 站点的内容要放在ntfs分区上(似乎这也是废话)
d.至于应用程序影射 你没有必要都删除 如果你实在不放心你可以完全让你的站点跑起来之后 然后删除你没有用到的影射 要一个一个的删除 便于测试是否影响你网站的正常运行。
有一个很重要的原因是精通它的人并不比asp的多。
2.asp.net 的安全有两个方面 一个是系统本身的设置 一个是代码的编写
3.提高asp.net 安全需要的几点
a.不要用系统默认的站点 自己新建一个站点(当然配置你新建站点的安全性是很麻烦的这里先不说具体的方法)
b.代码不要泄露(似乎这是废话)
c.asp.net 站点的内容要放在ntfs分区上(似乎这也是废话)
d.至于应用程序影射 你没有必要都删除 如果你实在不放心你可以完全让你的站点跑起来之后 然后删除你没有用到的影射 要一个一个的删除 便于测试是否影响你网站的正常运行。
