Esporta (0) Stampa
Espandi tutto
Il presente articolo è stato tradotto manualmente. Passare il puntatore sulle frasi nell'articolo per visualizzare il testo originale.
Traduzione
Originale

Procedura: proteggere un'applicazione ASP.NET su un server condiviso

Un server Web condiviso che include più applicazioni per diversi clienti deve anche garantire la sicurezza di ogni applicazione e dei relativi dati per evitare che siano esposti agli altri utenti dell'applicazione sul server. Nella procedura descritta di seguito vengono illustrate le operazioni necessarie per proteggere un'applicazione ASP.NET su un server condiviso.

Per proteggere un'applicazione ASP.NET su un server condiviso

  1. Eseguire l'hosting dell'applicazione Web in un computer che esegue Windows Server 2003. Verificare che i file dell'applicazione siano memorizzati in un'unità formattata con il file system NTFS.

    Poiché tutte le applicazioni ASP.NET vengono eseguite con l'identità di un solo processo (l'account ASPNET locale) in Windows 2000 e Windows XP Professional, non è possibile isolare effettivamente un'applicazione a meno che non sia in esecuzione su Windows Server 2003.

  2. Nello snap-in Gestione computer del server Web (nella cartella Strumenti di amministrazione) selezionare Utenti e gruppi locali in Utilità di sistema. Aggiungere un nuovo utente. Tale utente rappresenterà l'identità del pool di applicazioni, noto anche come identità del processo dell'applicazione ASP.NET.

    Nella cartella Gruppi, in Utenti e gruppi locali, aggiungere l'identità appena creata per l'applicazione al gruppo IIS_WPG. In questo modo la nuova identità disporrà sicuramente delle autorizzazioni necessarie per essere eseguita come un'identità per un pool di applicazioni.

  3. Creare un pool di applicazioni per l'applicazione mediante Gestione Internet Information Services (IIS) sul server Web.

    Aprire la pagina delle proprietà per il nuovo pool di applicazioni e selezionare la scheda Identità. Impostare l'identità come Configurabile e specificare il Nome utente e la Password dell'identità del pool di applicazioni creata in precedenza.

  4. Nella cartella Siti Web di Gestione Internet Information Services (IIS) aprire la pagina delle proprietà dell'applicazione in uso. Impostare il Pool di applicazioni dell'applicazione Web sul pool di applicazioni appena creato. Potrebbe essere necessario fare clic sul pulsante Crea per creare l'applicazione Web che si sta sviluppando come applicazione, qualora questa operazione non sia già stata eseguita.

    È possibile inserire più applicazioni in un pool di applicazioni. È importante che nel pool di applicazioni vengano incluse solo le applicazioni in grado di condividere dati, ad esempio più applicazioni per un singolo cliente.

  5. Creare una directory per il pool di applicazioni che conterrà i file temporanei per le applicazioni incluse nel pool. Nei file Web.config di tutte le applicazioni incluse nel pool specificare questa nuova directory come directory temporanea dell'applicazione utilizzando l'attributo tempDirectory della sezione di configurazione compilation. Di seguito è riportato un esempio:

    <configuration>
      <system.web>
        <compilation tempDirectory="C:\WebApps\AppPool1_Temp" />
      </system.web>
    </configuration>
    
  6. Nel file system di Windows. Impostare gli elenchi di controllo dell'accesso (ACL, Access Control List) in modo che l'identità del pool di applicazioni e le eventuali identità rappresentate (vedere Rappresentazione ASP.NET) dell'applicazione dispongano dell'accesso appropriato ai file e alle sottodirectory che la compongono, oltre a un accesso completo alla directory temporanea creata in precedenza. Rimuovere il gruppo IIS_WPG dagli ACL. Assicurarsi che altri utenti sul server non dispongano dell'accesso a tali file e cartelle, a meno che non venga richiesto, rimuovendo, ad esempio, gruppi generali, come Everyone o Users. Verificare che le identità rappresentate siano incluse negli elenchi di controllo dell'accesso indicati in Elenchi di controllo di accesso (ACL, Access Control List) ASP.NET necessari.

È possibile anche migliorare la sicurezza dell'applicazione crittografando le informazioni riservate nei file Web.config mediante la configurazione protetta. Per ulteriori informazioni, vedere Crittografia delle informazioni di configurazione tramite la configurazione protetta.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft