Konfigurationsspeicher und -tools

  • Artikel

* * *

Auf dieser Seite

Modulübersicht Modulübersicht
Zielsetzung Zielsetzung
Betrifft Betrifft
Verwendung dieses Moduls Verwendung dieses Moduls
Zusammenfassung Zusammenfassung
IIS-Sicherheitskonfiguration IIS-Sicherheitskonfiguration
ASP.NET-Sicherheitskonfiguration ASP.NET-Sicherheitskonfiguration
Enterprise Services-Sicherheitskonfiguration* Enterprise Services-Sicherheitskonfiguration*
ASP.NET-Webservices-Sicherheitskonfiguration ASP.NET-Webservices-Sicherheitskonfiguration
.NET Remoting-Sicherheitskonfiguration**  .NET Remoting-Sicherheitskonfiguration**
SQL Server-Sicherheitskonfiguration SQL Server-Sicherheitskonfiguration

Modulübersicht

In diesem Modul werden die verschiedenen Konfigurationseinstellungen für Authentifizierung, Autorisierung und sichere Kommunikation erläutert, die für .NET-Webanwendungen zur Verfügung stehen. Es wird detailliert angegeben, wo die einzelnen Konfigurationselemente gespeichert werden und welche Tools Sie zum Bearbeiten der Einstellungen einsetzen können.

 

Zielsetzung

Themenbereiche:

  • Identifizieren der Konfigurationsspeicher für .NET-Sicherheit

  • Identifizieren der Tools, die für die Bearbeitung der Sicherheitseinstellungen verwendet werden können

 

Betrifft

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

  • Windows 2000 Server 2000

  • Microsoft .NET Framework

  • Microsoft SQL Server 2000

 

Verwendung dieses Moduls

Bei diesem Modul handelt es sich um ein Referenzmodul für das Handbuch Erstellen sicherer ASP.NET-Anwendungen. Es enthält ergänzende Informationen, mit denen Sie Ihr Verständnis der in diesem Handbuch vorgestellten Lösungen erweitern können.

 

Zusammenfassung

In den nachstehenden Tabellen finden Sie eine Zusammenfassung der Dienste und Dienstkombinationen für Authentifizierung, Autorisierung und sichere Kommunikation, die für .NET-Webanwendungen zur Verfügung stehen. Die Tabellen enthalten die verschiedenen Sicherheitsdienste für die jeweiligen Kerntechnologien, auf deren Basis .NET-Webanwendungen entwickelt werden. Darüber hinaus wird für jede Technologie angegeben, wo die zugehörigen Sicherheitskonfigurationseinstellungen verwaltet werden und welche Tools Sie zum Bearbeiten der Einstellungen verwenden können.

Hinweis: Die Einstellungen in der Metabasis der Internetinformationsdienste (IIS) werden mit dem IIS-MMC-Snap-In oder programmgesteuert per Skript konfiguriert. Die Einstellungen in den Dateien Machine.config oder Web.config können mit einem beliebigen Texteditor (wie z. B. Notepad) oder XML-Editor (wie dem XML-Editor von Microsoft Visual Studio® .NET) bearbeitet werden.

 

IIS-Sicherheitskonfiguration

Authentifizierung

Konfiguration

Tools

Anonyme
Basis-
Digest-
Integrierte Windows-
Clientzertifikate

IIS-Metabasis

IIS-MMC-Snap-In

Skript

Zum Erstellen von Testzertifikaten kann Makecert.exe verwendet werden.

Autorisierung

Konfiguration

Tools

NTFS-Berechtigungen
(Windows-ACLs)

IP- und DNS-Einschränkungen

Windows- (NTFS-)Dateisystem

IIS-Metabasis

Windows Explorer
Cacls.exe
Sicherheitsvorlagen
Secedit.exe
Gruppenrichtlinie

Sichere Kommunikation

Konfiguration

Tools

SSL

IPSec

Windows- (NTFS-)Dateisystem

Lokale Richtlinie des Computers (Registrierung) oder Verzeichnisdienst Microsoft Active Directory®

IIS-MMC-Snap-In
Skript

MMC-Snap-In Lokale Sicherheitsrichtlinie
MMC-Snap-In Domänensicherheitsrichtlinie
Ipsecpol.exe

Weitere Gatekeeper

Konfiguration

Tools

IP-Adress- und Domänennameneinschränkungen

IIS-Metabasis

IIS-MMC-Snap-In
Skript

 

ASP.NET-Sicherheitskonfiguration

Authentifizierung

Konfiguration

Tools

Windows
Formulare
Passport
Keine (Benutzerdefiniert)

authentication-Element von Machine.config oder Web.config.

Notepad.exe
Visual Studio .NET
Beliebiger XML-Editor

Autorisierung

Konfiguration

Tools

URL-Autorisierung


Dateiautorisierung

NET-Rollen

authorization;-Element von Machine.config oder Web.config.


Windows- (NTFS-)Dateisystem
Active Directory – oder –
SAM-Datenbank – oder –
Benutzerdefinierter Datenspeicher (z. B. SQL Server)

Notepad.exe
Visual Studio .NET
Beliebiger XML-Editor

Windows Explorer
Cacls.exe
Sicherheitsvorlagen
Secedit.exe
Gruppenrichtlinie

Verwenden Sie für Windows-Gruppen das MMC-Snap-In Active Directory-Benutzer und -Computer oder (für lokale Einstellungen) das Verwaltungstool

ADSI-Skript
Net.exe

Für benutzerdefinierte Gruppen – abhängig vom benutzerdefinierten Datenspeicher

 

Enterprise Services-Sicherheitskonfiguration*

Authentifizierung

Konfiguration

Tools

DCOM/RPC-Authentifizierung

COM+-Katalog

Hinweis: Computerweite Einstellungen für Serviced Component- (und reguläre DCOM-)Proxys werden in Machine.config verwaltet.

MMC-Snap-In
Komponentendienste
Skript (Katalogautomatisierungsobjekte)

Autorisierung

Konfiguration

Tools

Enterprise Services- (COM+-)Rollen

Windows-ACLs (wenn die Serviced Component in Verbindung mit Identitätswechsel verwendet wird)

COM+-Katalog

Windows- (NTFS-)Dateisystem

MMC-Snap-In
Komponentendienste
Skript (Katalogautomatisierungsobjekte)

Windows Explorer
Cacls.exe
Sicherheitsvorlagen
Secedit.exe
Gruppenrichtlinie

Sichere Kommunikation

Konfiguration

Tools

RPC-Verschlüsselung (Paketsicherheit)





IPSec

COM+-Katalog

Hinweis: Computerweite Einstellungen für Serviced Component- (und reguläre DCOM-)Proxys werden in Machine.config verwaltet.

Lokale Richtlinie des Computers (Registrierung) oder Active Directory

Komponentendienste-Skript (Katalogautomatisierungsobjekte)




MMC-Snap-In Lokale Sicherheitsrichtlinie
Ipsecpol.exe

* Die Sicherheitsdienste für Enterprise Services-Komponenten gelten sowohl für Komponenten, für die der Server als Host fungiert, als auch für Bibliotheksanwendungen. Bei Bibliotheksanwendungen müssen jedoch diverse Einschränkungen berücksichtigt werden, da viele der Sicherheitsstandards vom Hostprozess vererbt werden und daher nicht direkt konfigurierbar sind. Die prozessweite Authentifizierung kann von Bibliotheksanwendungen zudem explizit ausgeschaltet werden. Weitere Informationen finden Sie in Modul 9, "Enterprise Services-Sicherheit".

 

ASP.NET-Webservices-Sicherheitskonfiguration

Authentifizierung

Konfiguration

Tools

Windows-Authentifizierung

Benutzerdefiniert

authentication;-Element von Machine.config oder Web.config.

Benutzerdefinierter Datenspeicher (z. B. SQL Server oder Active Directory)

Notepad
Visual Studio .NET
Beliebiger XML-Editor

Abhängig vom benutzerdefinierten Datenspeicher

Autorisierung

Konfiguration

Tools

URL-Autorisierung

Dateiautorisierung

.NET-Rollen

Web.config

Windows- (NTFS-)Dateisystem

Active Directory
– oder –
SAM-Datenbank
#8211; oder –
Benutzerdefinierter Datenspeicher (z. B. SQL Server)

Notepad
Visual Studio .NET
Beliebiger XML-Editor

Windows Explorer
Cacls.exe
Sicherheitsvorlagen
Secedit.exe
Gruppenrichtlinie

Verwenden Sie für Windows-Gruppen das MMC-Snap-In Active Directory-Benutzer und -Computer oder (für lokale Einstellungen) das Verwaltungstool

ADSI-Skript
Net.exe
Für benutzerdefinierte Gruppen
– abhängig vom benutzerdefinierten Datenspeicher

Sichere Kommunikation

Konfiguration

Tools

SSL

IPSec

IIS-Metabasis

Lokale Richtlinie des Computers (Registrierung) oder Active Directory

IIS-MMC-Snap-In
Skript

MMC-Snap-In Lokale Sicherheitsrichtlinie
Ipsecpol.exe

 

.NET Remoting-Sicherheitskonfiguration**

Hinweis: In der folgenden Tabelle wird von einem ASP.NET-Host und dem HTTP-Kanal ausgegangen.

Authentifizierung

Konfiguration

Tools

Windows-Authentifizierung

Benutzerdefiniert

IIS-Metabasis

Benutzerdefinierter Datenspeicher (z. B. SQL Server)

IIS-MMC-Snap-In-Skript

Abhängig vom benutzerdefinierten Datenspeicher

Autorisierung

Konfiguration

Tools

URL-Autorisierung

Dateiautorisierung

.NET-Rollen

Web.config

Windows- (NTFS-)Dateisystem

Active Directory
– oder –
SAM-Datenbank
– oder –
benutzerdefinierter Datenspeicher (z. B. SQL Server)

Notepad
Visual Studio .NET
Beliebiger XML-Editor

Windows Explorer
cacls.exe
Sicherheitsvorlagen
Secedit.exe
Gruppenrichtlinie

Verwenden Sie für Windows-Gruppen das MMC-Snap-In Active Directory-Benutzer und -Computer oder (für lokale Einstellungen) das Verwaltungstool

ADSI-Skript,
Net.exe
Für benutzerdefinierte Gruppen – abhängig vom benutzerdefinierten Datenspeicher

Sichere Kommunikation

Konfiguration

Tools

SSL

IPSec

IIS-Metabasis

Lokale Richtlinie des Computers (Registrierung) oder Active Directory

IIS-MMC-Snap-In-Skript

MMC-Snap-In Lokale
Sicherheitsrichtlinie
Ipsecpol.exe

** Die für .NET Remoting aufgeführten Sicherheitsdienste setzen voraus, dass ASP.NET als Host für die .NET-Remotekomponente fungiert und der HTTP-Kanal verwendet wird. Für .NET-Remotekomponenten, für die IIS nicht als Host fungiert (sondern beispielsweise ein benutzerdefinierter Win32-Prozess oder ein Win32-Dienst) und die den TCP-Kanal verwenden, stehen keine standardmäßigen Sicherheitsdienste zur Verfügung. Weitere Informationen finden Sie in Modul 11, ".NET Remoting-Sicherheit".

 

SQL Server-Sicherheitskonfiguration

Authentifizierung

Konfiguration

Tools

Integrierte Windows-Authentifizierung
SQL Server-Standardauthentifizierung

SQL Server
SQL Server

SQL Server Enterprise Manager
SQL Server Enterprise Manager

Autorisierung

Konfiguration

Tools

Objektberechtigungen
Datenbankrollen
Serverrollen
Benutzerdefinierte Datenbankrollen
Anwendungsrollen

SQL Server

SQL Server Enterprise Manager
Osql.exe (Datenbankskript)

Sichere Kommunikation

Konfiguration

Tools

SSL

IPSec

Zertifikatspeicher des Servercomputers
Registrierungseinstellungen von Client und Server
Verbindungszeichenfolge

Lokale Richtlinie des Computers (Registrierung) oder Active Directory

MMC-Snap-In Zertifikate
SQL Server-Netzwerkkonfiguration
SQL Server-Clientkonfiguration

Snap-In Lokale Sicherheitsrichtlinie
Ipsecpol.exe