DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 815145 - Dernière mise à jour: jeudi 11 janvier 2007 - Version: 4.5

 

Sommaire

Résumé

Cet article étape par étape explique comment verrouiller une application Web ASP.NET ou un service Web. Applications Web sont souvent la cible pour les attaques malveillantes.

Il existe plusieurs étapes que vous pouvez prendre pour réduire le risque est associé à hébergement d'une application Web. À un niveau élevé, ASP.NET applications tirer parti des même mesures de sécurité que Web traditionnel applications. Toutefois, les extensions de fichier ASP.NET et l'utilisation de sécurité requièrent considération particulière. Cet article décrit plusieurs mécanismes de clé pour sécuriser les applications Web ASP.NET.

Pour plus d'informations sur la sécurité, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/security (http://www.microsoft.com/security)

Filtrage de paquets

ASP.NET ne requiert aucune considération particulière lorsque vous configurez l'équipement réseau ou programmes de pare-feu de filtrage des paquets de port. Internet (IIS) définit les numéros de port TCP ASP.NET utilise pour les communications. Par défaut, ASP.NET utilise le port TCP 80 pour HTTP standard, et utilise TCP port 443 pour le protocole HTTP avec le cryptage SSL.

Pare-feu de couche Application

Pare-feu de couche application, tels que Microsoft Internet Security et Server de Acceleration, pouvez analyser les détails d'entrant Web demandes, y compris la commande HTTP qui est émise et le fichier qui est demandé. En fonction de l'application, différents types de fichiers peuvent être demandées. Un client d'ASP.NET peut légitimement demande fichiers ayant des extensions de nom fichier suivantes, selon les fonctionnalités d'application :
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .SOAP
Fichiers qui sont inclus dans une application ASP.NET peuvent utiliser les extensions de nom de fichier suivantes. Cependant, un pare-feu doit jamais transférer ces fichiers pour les utilisateurs finaux. En fonction de l'environnement de développement, les développeurs peuvent émettre Web demandes de ces extensions :
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .cs
  • .csproj
  • .dll
  • .licx
  • .PDB
  • .rem
  • .Resources
  • fichiers .resx
  • .SOAP
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
Vous devez configurer le pare-feu pour restreindre les types de HTTP commandes qui peuvent être envoyées à une application ASP.NET. Plus précisément, vous devez permet uniquement commandes GET, HEAD et POST à partir de navigateurs par l'utilisateur final. Les développeurs peuvent doivent accéder aux autres commandes HTTP, également.

Sécurité NTFS

Vous pouvez effectivement réduire le risque d'informations privées ne soient compromises. Pour ce faire, limitez les autorisations de fichier NTFS. Par défaut, les applications ASP.NET exécuteront dans le contexte du compte d'utilisateur ASPNET. Pour plus de sécurité, vous pouvez configurer les autorisations appropriées pour compte ASPNET.

Pour plus d'informations sur la configuration des autorisations de fichier NTFS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815153  (http://support.microsoft.com/kb/815153/ ) Comment faire pour configurer des autorisations de fichier NTFS pour la sécurité des applications ASP.NET

Configurer URLScan

URLScan est un filtre ISAPI de Microsoft qui est conçu pour fournir plus le filtrage des demandes Web entrantes sur les serveurs de services Internet (IIS) 5.0. URLScan fournit plusieurs fonctionnalités d'un pare-feu de couche d'application et pouvez filtrer les requêtes d'après nom de fichier, chemin d'accès et demande du type. Pour plus d'informations sur l'outil de sécurité URLScan, reportez-vous au site de Web Microsoft suivant :
http://technet.microsoft.com/en-us/security/cc242650.aspx (http://technet.microsoft.com/en-us/security/cc242650.aspx)
Pour plus d'informations sur URLScan, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815155  (http://support.microsoft.com/kb/815155/ ) Comment faire pour configurer URLScan pour protéger les applications Web ASP.NET

Configurer la sécurité de SQL Server

De nombreuses applications ASP.NET communiquer avec un serveur Microsoft SQL Server base de données. Il est courant que les attaques par rapport à une base de données à utiliser une application ASP.NET, puis la profiter des autorisations l'administrateur de base de données a accordé à l'application. Pour proposer le niveau plus élevé de protection contre ces attaques, configurez vos autorisations de base de données pour limiter les autorisations que vous accordez à ASP.NET. Accordez uniquement les autorisations minimales que l'application doit disposer de la fonction.

Par exemple, limiter ASP.NET pour lire les autorisations des uniquement ces affichages, tables, lignes et des colonnes qu'elle doit avoir accès à. Où l'application ne met pas directement à jour une table, n'accordez pas à ASP.NET de l'autorisation d'envoyer des mises à jour. Pour plus de sécurité, configurer les autorisations appropriées pour le compte d'utilisateur ASPNET.

Pour plus d'informations sur la configuration de SQL Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
815154  (http://support.microsoft.com/kb/815154/ ) Comment faire pour configurer la sécurité SQL Server pour les applications .NET

Références

Pour plus d'informations, reportez-vous au site de Web Microsoft suivant :
http://technet.microsoft.com/en-us/library/dd450372.aspx (http://technet.microsoft.com/en-us/library/dd450372.aspx)
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
818014  (http://support.microsoft.com/kb/818014/ ) Comment faire : sécurisé des applications qui sont conçues sur le .NET Framework



Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
Mots-clés : 
kbmt kbwebservices kbwebserver kbwebforms kbconfig kbdeployment kbhowtomaster KB815145 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 815145  (http://support.microsoft.com/kb/815145/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store