配置存储和工具

 

目标

使用本单元进行以下设置:

  • 标识 .NET 安全配置存储

  • 标识可用于编辑安全设置的工具

适用于:

本单元适用于以下产品和技术:

  • Microsoft ® Windows® 2000 Server 2000 操作系统

  • Microsoft .NET 框架

  • Microsoft SQL Server 2000

如何使用本单元

本单元是《构建安全的 ASP.NET 应用程序》指南的一个参考单元。它包含了一些辅助信息,有助于您深入理解本指南提供的其他单元中的解决方案,因此您也应该阅读该单元。

本页内容

摘要 摘要
IIS 安全配置 IIS 安全配置
ASP.NET 安全配置 ASP.NET 安全配置
企业服务安全配置* 企业服务安全配置*
ASP.NET Web 服务安全配置 ASP.NET Web 服务安全配置
.NET 远程处理安全配置** .NET 远程处理安全配置**
SQL Server 安全配置 SQL Server 安全配置

摘要

下面的几个表中汇总了可用于 .NET Web 应用程序的多种身份验证、授权和安全通信服务。这些表显示了每项核心 .NET Web 应用程序技术可用的多种安全服务,并针对每项技术指示了在何处维护相关的安全配置设置,以及可以使用哪些工具来编辑设置。

Internet 信息服务 (IIS) 元数据内的设置可以用 IIS MMC 管理单元来配置,或者可以通过脚本以编程方式配置。在 machine.config 或 web.config 内维护的设置可以使用任何文本编辑器(例如,记事本)或 XML 编辑器(例如,Microsoft Visual Studio® .NET XML 编辑器)来编辑。

返回页首

IIS 安全配置

身份验证

配置

工具

匿名
基本
简要
Windows 集成
客户端证书

IIS 元数据

IIS MMC 管理单元

脚本

Makecert.exe 可用于创建测试证书

授权

配置

工具

NTFS 权限 (Windows ACL)


IP 和 DNS 限制

Windows (NTFS) 文件系统


IIS 元数据

Windows 资源管理器
Cacls.exe
安全模板
Secedit.exe
组策略

安全通信

配置

工具

SSL


IPSec

Windows (NTFS) 文件系统

计算机的本地策略(注册)或 Microsoft Active Directory® 目录服务

IIS MMC 管理单元
脚本

本地安全策略 MMC 管理单元
域安全策略 MMC 管理单元
Ipsecpol.exe

附加网关守卫

配置

工具

IP 地址和域名限制

IIS 元数据

IIS MMC 管理单元
脚本

返回页首

ASP.NET 安全配置

身份验证

配置

工具

Windows
窗体
密码
无(自定义)

machine.config 或 web.config 的 <authentication> 元素

Notepad.exe
Visual Studio .NET
任何 XML 编辑器

授权

配置

工具

URL 授权



文件授权











.NET 角色

Machine.config 或 Web.config 的 <authorization> 元素

Windows (NTFS) 文件系统
Active Directory
–或–
SAM 元数据
–或–
自定义数据存储(例如,SQL Server)

Notepad.exe
Visual Studio .NET
任何 XML 编辑器

Windows 资源管理器
Calcs.exe
安全模板
Secedit.exe
组策略
对于 Windows 组,使用 Active Directory 用户和计算机 MMC 管理单元,或者(对于本地设置)使用计算机管理工具

ADSI 脚本
Net.exe
对于自定义组–
依赖自定义数据存储

返回页首

企业服务安全配置*

身份验证

配置

工具

DCOM/RPC 身份验证

COM+ 目录
:服务组件(以及规则 DCOM)代理的计算机范围的设置在 Machine.config 中维护。

组件服务 MMC 管理单元
脚本(目录自动化对象)

授权

配置

工具

企业服务 (COM+) 角色



Windows ACL(当在服务组件中使用模拟时)

COM+ 目录




Windows (NTFS) 文件系统

组件服务 MMC 管理单元
脚本(目录自动化对象)

Windows 资源管理器
Cacls.exe
安全模板
Secedit.exe
组策略

安全通信

配置

工具

RPC 加密
(数据包保密性)






IPSec

COM+ 目录
注:服务组件(以及规则 DCOM)代理的计算机范围的设置在 Machine.config 中维护。

计算机的本地策略(注册)或 Active Directory

组件服务
脚本(目录自动化对象)





本地安全策略 MMC 管理单元Ipsecpol.exe

* 企业服务组件的安全服务可以应用于服务器和库应用程序宿主的组件。但是,对于库应用程序有某些限制,这是因为许多安全默认值是从宿主进程继承的,因而不能直接配置。进程范围的身份验证也可以由库应用程序显式关闭。有关更多详细信息,请参见单元“企业服务安全”。

返回页首

ASP.NET Web 服务安全配置

身份验证

配置

工具

Windows



自定义

Machine.config 或 Web.config 的 <authentication> 元素

自定义数据存储(例如,SQL Server 或 Active Directory}

记事本
Visual Studio .NET
任何 XML 编辑器

依赖自定义存储。

授权

配置

工具

URL 授权



文件授权





.NET 角色

Web.config



Windows (NTFS) 文件系统




Active Directory
–或–
SAM 数据库
–或–
自定义数据存储(例如,SQL Server)

记事本
Visual Studio .NET
任何 XML 编辑器

Windows 资源管理器
Cacls.exe
安全模板
Secedit.exe
组策略

对于 Windows 组,使用 Active Directory 用户和计算机 MMC 管理单元,或者(对于本地设置)使用计算机管理工具

ADSI 脚本
Net.exe
对于自定义组
–依赖自定义存储

安全通信

配置

工具

SSL


IPSec

IIS 元数据


计算机的本地策略(注册)或 Active Directory

IIS MMC 管理单元
脚本

本地安全策略 MMC 管理单元
Ipsecpol.exe

返回页首

.NET 远程处理安全配置**

下表使用了 ASP.NET 宿主和 HTTP 通道。

身份验证

配置

工具

Windows

自定义

IIS 元数据

自定义数据存储(例如,SQL Server)

IIS MMC 管理单元脚本

依赖自定义存储

授权

配置

工具

URL 授权



文件授权





.NET 角色

Web.config



Windows (NTFS) 文件系统




Active Directory
–或–
SAM 数据库
–或–
自定义数据存储(例如,SQL Server

记事本
Visual Studio .NET
任何 XML 编辑器

Windows 资源管理器
Cacls.exe
安全模板
Secedit.exe
组策略

对于 Windows 组,使用 Active Directory 用户和计算机 MMC 管理单元,或者(对于本地设置)使用计算机管理工具

ADSI 脚本,
Net.exe
对于自定义组–
依赖自定义存储

安全通信

配置

工具

SSL

IPSec

IIS 元数据

计算机的本地策略(注册)或 Active Directory

IIS MMC 管理单元脚本

本地安全策略 MMC 管理单元
Ipsecpol.exe

** 针对 .NET 远程处理显示的安全服务假设 .NET 远程组件寄宿在 ASP.NET 内并使用 HTTP 通道。在使用 TCP 通道且寄宿在 IIS 外部(例如,在自定义的 Win32 进程或 Win32 服务中)的 .NET 远程组件没有可用的默认安全服务。有关更多详细信息,请参见单元“.NET 远程处理安全”。

返回页首

SQL Server 安全配置

身份验证

配置

工具

集成 Windows

SQL Server 标准身份验证

SQL Server

SQL Server

SQL Server 企业管理器
SQL Server 企业管理器

授权

配置

工具

对象权限
数据库角色
服务器角色
用户定义的数据库角色
应用程序角色

SQL Server

SQL Server 企业管理器
Osql.exe(数据库脚本)

安全通信

配置

工具

SSL





IPSec

服务器的计算机证书存储
客户端和服务器注册设置
连结字符串

计算机的本地策略(注册)或 Active Directory

证书 MMC 管理单元

服务器网络实用工具
客户端网络实用工具



本地安全策略管理单元
Ipsecpol.exe

转到原英文页面

返回页首 返回页首
请使用浏览器的分享功能分享到微信等