DetailPage-MSS-KB

기술 자료

기술 자료: 815145 - 마지막 검토: 2007년 1월 11일 목요일 - 수정: 4.5

 

이 페이지에서

요약

이 문서에서는 ASP.NET 웹 응용 프로그램 또는 웹 서비스 아래로 잠그는 방법을 설명합니다. 웹 응용 프로그램을 자주 악의적인 공격의 대상이 됩니다.

웹 응용 프로그램을 호스팅하는 함께 관련된 위험을 줄이기 위해 취할 수 있는 많은 방법이 있습니다. 높은 수준의 ASP.NET 같은 보안 측정값으로 기존의 웹 응용 프로그램의 혜택을 응용 프로그램. 그러나 ASP.NET 파일 이름 확장명 및 보안 특별한 주의가 필요합니다. 이 문서에서는 ASP.NET 웹 응용 프로그램 보안에 대한 몇 가지 주요 메커니즘에 대해 설명합니다.

보안에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/security (http://www.microsoft.com/security)

패킷 필터링

네트워킹 장비 또는 포트 기반 패킷 필터링 방화벽 프로그램을 구성하면 ASP.NET 특별한 주의가 필요합니다. 인터넷 정보 서버(IIS) 통신을 위해 ASP.NET에서 사용하는 TCP 포트 번호를 정의합니다. 기본적으로 ASP.NET 표준 HTTP, TCP 포트 80을 사용하는 및 대한 HTTP SSL 암호화를 사용하여 포트 443 TCP 사용합니다.

응용 프로그램 계층 방화벽

Microsoft 인터넷 보안 및 가속 서버 같은 응용 프로그램 계층 방화벽은 들어오는 자세히 분석할 수 요청, 발급된 HTTP 명령 및 요청된 파일을 포함한 웹. 응용 프로그램에 따라 다른 파일 형식은 요청할 수 있습니다. ASP.NET 클라이언트 응용 프로그램 기능에 따라 다음 파일 이름 확장명을 가진 파일을 합법적으로 요청할 수 있습니다.
  • .ashx
  • .aspx
  • .asmx
  • .rem
  • .soap
ASP.NET 응용 프로그램에서 포함된 파일은 다음과 같은 파일 확장명을 사용할 수 있습니다. 그러나 방화벽이 절대로 최종 사용자가 이러한 파일을 전달해야 합니다. 웹 개발자는 개발 환경에 따라 발급할 수 이러한 확장 요청:
  • .asax
  • .ascx
  • .asmx
  • .axd
  • .config
  • .cs
  • .csproj
  • .dll
  • .licx
  • .pdb
  • .rem
  • .resources
  • .resx
  • .soap
  • .vb
  • .vbproj
  • .vsdisco
  • .webinfo
  • .xsd
  • .xsx
HTTP 형식을 제한할 수 있도록 방화벽을 구성해야 합니다 명령을 ASP.NET 응용 프로그램의 제출할 수 있습니다. 특히, 최종 사용자가 브라우저에서 유일한 HEAD, GET 및 POST 명령을 허용해야 합니다. 개발자는 다른 HTTP 명령은 또한 액세스할 수 있을 수 있습니다.

NTFS 보안

개인 정보 손상 위험을 효율적으로 줄일 수 있습니다. 이렇게 하려면 NTFS 파일 사용 권한을 제한하십시오. 기본적으로 ASP.NET 응용 프로그램은 ASPNET 사용자 계정의 컨텍스트에서 실행됩니다. 보다 강력한 보안을 ASPNET 사용자 계정에 대한 적절한 사용 권한을 구성할 수 있습니다.

NTFS 파일 사용 권한 구성에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
815153  (http://support.microsoft.com/kb/815153/ ) 방법: NTFS 파일 사용 권한을 보안 ASP.NET 응용 프로그램의 구성

URLScan을 구성합니다

URLScan은 IIS 5.0 서버에서 들어오는 웹 요청 필터링을 자세한 제공하도록 설계된 Microsoft ISAPI 필터입니다. URLScan 많은 응용 프로그램 계층 방화벽 기능을 제공하며 경로와 요청 파일 이름을 기준으로 요청을 필터링할 수 있습니다. URLScan 보안 도구에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet.microsoft.com/en-us/security/cc242650.aspx (http://technet.microsoft.com/en-us/security/cc242650.aspx)
URLScan에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
815155  (http://support.microsoft.com/kb/815155/ ) 방법: ASP.NET 웹 응용 프로그램을 보호하기 위해 URLScan 구성

SQL Server 보안 구성

많은 ASP.NET 응용 프로그램을 사용하여 Microsoft SQL Server와 통신하는 데이터베이스. 악의적인 공격으로부터 ASP.NET 응용 프로그램 및 응용 프로그램에 데이터베이스 관리자가 부여한 사용 권한을 이용하여 다음 데이터베이스 것이 일반적입니다. 가장 큰 이러한 공격으로부터 보호 수준을 제공하는 ASP.NET으로 부여할 사용 권한을 제한하려면 데이터베이스 사용 권한을 구성하십시오. 응용 프로그램이 있어야 최소 권한만 부여하는 함수에.

예를 들어, ASP.NET으로 읽기 제한 액세스 권한을 경우에만 이러한 보기, 테이블, 행 및 열 응용 프로그램에 있어야 합니다. ASP.NET 응용 프로그램이 테이블을 직접 업데이트할 경우 업데이트를 전송할 수 있는 권한을 부여하지 마십시오. 보다 강력한 보안을 ASPNET 사용자 계정에 대한 적절한 사용 권한을 구성하십시오.

SQL Server 구성에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
815154  (http://support.microsoft.com/kb/815154/ ) 방법: .NET 응용 프로그램 위한 SQL Server 보안 구성

참조

자세한 내용은 다음 Microsoft 웹 사이트를 참고하시기 바랍니다:
http://technet.microsoft.com/en-us/library/dd450372.aspx (http://technet.microsoft.com/en-us/library/dd450372.aspx)
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
818014  (http://support.microsoft.com/kb/818014/ ) 방법: .NET Framework를 기반으로 작성된 응용 프로그램 보안



본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
키워드: 
kbmt kbwebservices kbwebserver kbwebforms kbconfig kbdeployment kbhowtomaster KB815145 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
중소기업이 아닙니까?
소셜 채널로 문의하기