Konfigurationsspeicher und -tools
Auf dieser Seite
Modulübersicht
Zielsetzung
Betrifft
Verwendung dieses Moduls
Zusammenfassung
IIS-Sicherheitskonfiguration
ASP.NET-Sicherheitskonfiguration
Enterprise Services-Sicherheitskonfiguration*
ASP.NET-Webservices-Sicherheitskonfiguration
.NET Remoting-Sicherheitskonfiguration**
SQL Server-Sicherheitskonfiguration
Modulübersicht
In diesem Modul werden die verschiedenen Konfigurationseinstellungen für Authentifizierung, Autorisierung und sichere Kommunikation erläutert, die für .NET-Webanwendungen zur Verfügung stehen. Es wird detailliert angegeben, wo die einzelnen Konfigurationselemente gespeichert werden und welche Tools Sie zum Bearbeiten der Einstellungen einsetzen können.
Zielsetzung
Themenbereiche:
Identifizieren der Konfigurationsspeicher für .NET-Sicherheit
Identifizieren der Tools, die für die Bearbeitung der Sicherheitseinstellungen verwendet werden können
Betrifft
Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Windows 2000 Server 2000
Microsoft .NET Framework
Microsoft SQL Server 2000
Verwendung dieses Moduls
Bei diesem Modul handelt es sich um ein Referenzmodul für das Handbuch Erstellen sicherer ASP.NET-Anwendungen. Es enthält ergänzende Informationen, mit denen Sie Ihr Verständnis der in diesem Handbuch vorgestellten Lösungen erweitern können.
Zusammenfassung
In den nachstehenden Tabellen finden Sie eine Zusammenfassung der Dienste und Dienstkombinationen für Authentifizierung, Autorisierung und sichere Kommunikation, die für .NET-Webanwendungen zur Verfügung stehen. Die Tabellen enthalten die verschiedenen Sicherheitsdienste für die jeweiligen Kerntechnologien, auf deren Basis .NET-Webanwendungen entwickelt werden. Darüber hinaus wird für jede Technologie angegeben, wo die zugehörigen Sicherheitskonfigurationseinstellungen verwaltet werden und welche Tools Sie zum Bearbeiten der Einstellungen verwenden können.
Hinweis: Die Einstellungen in der Metabasis der Internetinformationsdienste (IIS) werden mit dem IIS-MMC-Snap-In oder programmgesteuert per Skript konfiguriert. Die Einstellungen in den Dateien Machine.config oder Web.config können mit einem beliebigen Texteditor (wie z. B. Notepad) oder XML-Editor (wie dem XML-Editor von Microsoft Visual Studio® .NET) bearbeitet werden.
IIS-Sicherheitskonfiguration
Authentifizierung |
Konfiguration |
Tools |
---|---|---|
Anonyme |
IIS-Metabasis |
IIS-MMC-Snap-In Skript Zum Erstellen von Testzertifikaten kann Makecert.exe verwendet werden. |
Autorisierung |
Konfiguration |
Tools |
NTFS-Berechtigungen IP- und DNS-Einschränkungen |
Windows- (NTFS-)Dateisystem IIS-Metabasis |
Windows Explorer |
Sichere Kommunikation |
Konfiguration |
Tools |
SSL IPSec |
Windows- (NTFS-)Dateisystem Lokale Richtlinie des Computers (Registrierung) oder Verzeichnisdienst Microsoft Active Directory® |
IIS-MMC-Snap-In MMC-Snap-In Lokale Sicherheitsrichtlinie |
Weitere Gatekeeper |
Konfiguration |
Tools |
IP-Adress- und Domänennameneinschränkungen |
IIS-Metabasis |
IIS-MMC-Snap-In |
ASP.NET-Sicherheitskonfiguration
Authentifizierung |
Konfiguration |
Tools |
---|---|---|
Windows |
authentication-Element von Machine.config oder Web.config. |
Notepad.exe |
Autorisierung |
Konfiguration |
Tools |
URL-Autorisierung
NET-Rollen |
authorization;-Element von Machine.config oder Web.config.
|
Notepad.exe Windows Explorer Verwenden Sie für Windows-Gruppen das MMC-Snap-In Active Directory-Benutzer und -Computer oder (für lokale Einstellungen) das Verwaltungstool ADSI-Skript Für benutzerdefinierte Gruppen – abhängig vom benutzerdefinierten Datenspeicher |
Enterprise Services-Sicherheitskonfiguration*
Authentifizierung |
Konfiguration |
Tools |
---|---|---|
DCOM/RPC-Authentifizierung |
COM+-Katalog Hinweis: Computerweite Einstellungen für Serviced Component- (und reguläre DCOM-)Proxys werden in Machine.config verwaltet. |
MMC-Snap-In |
Autorisierung |
Konfiguration |
Tools |
Enterprise Services- (COM+-)Rollen Windows-ACLs (wenn die Serviced Component in Verbindung mit Identitätswechsel verwendet wird) |
COM+-Katalog Windows- (NTFS-)Dateisystem |
MMC-Snap-In Windows Explorer |
Sichere Kommunikation |
Konfiguration |
Tools |
RPC-Verschlüsselung (Paketsicherheit)
|
COM+-Katalog Hinweis: Computerweite Einstellungen für Serviced Component- (und reguläre DCOM-)Proxys werden in Machine.config verwaltet. Lokale Richtlinie des Computers (Registrierung) oder Active Directory |
Komponentendienste-Skript (Katalogautomatisierungsobjekte)
|
* Die Sicherheitsdienste für Enterprise Services-Komponenten gelten sowohl für Komponenten, für die der Server als Host fungiert, als auch für Bibliotheksanwendungen. Bei Bibliotheksanwendungen müssen jedoch diverse Einschränkungen berücksichtigt werden, da viele der Sicherheitsstandards vom Hostprozess vererbt werden und daher nicht direkt konfigurierbar sind. Die prozessweite Authentifizierung kann von Bibliotheksanwendungen zudem explizit ausgeschaltet werden. Weitere Informationen finden Sie in Modul 9, "Enterprise Services-Sicherheit".
ASP.NET-Webservices-Sicherheitskonfiguration
Authentifizierung |
Konfiguration |
Tools |
---|---|---|
Windows-Authentifizierung Benutzerdefiniert |
authentication;-Element von Machine.config oder Web.config. Benutzerdefinierter Datenspeicher (z. B. SQL Server oder Active Directory) |
Notepad Abhängig vom benutzerdefinierten Datenspeicher |
Autorisierung |
Konfiguration |
Tools |
URL-Autorisierung Dateiautorisierung .NET-Rollen |
Web.config Windows- (NTFS-)Dateisystem Active Directory |
Notepad Windows Explorer Verwenden Sie für Windows-Gruppen das MMC-Snap-In Active Directory-Benutzer und -Computer oder (für lokale Einstellungen) das Verwaltungstool ADSI-Skript |
Sichere Kommunikation |
Konfiguration |
Tools |
SSL IPSec |
IIS-Metabasis Lokale Richtlinie des Computers (Registrierung) oder Active Directory |
IIS-MMC-Snap-In MMC-Snap-In Lokale Sicherheitsrichtlinie |
.NET Remoting-Sicherheitskonfiguration**
Hinweis: In der folgenden Tabelle wird von einem ASP.NET-Host und dem HTTP-Kanal ausgegangen.
Authentifizierung |
Konfiguration |
Tools |
---|---|---|
Windows-Authentifizierung Benutzerdefiniert |
IIS-Metabasis Benutzerdefinierter Datenspeicher (z. B. SQL Server) |
IIS-MMC-Snap-In-Skript Abhängig vom benutzerdefinierten Datenspeicher |
Autorisierung |
Konfiguration |
Tools |
URL-Autorisierung Dateiautorisierung .NET-Rollen |
Web.config Windows- (NTFS-)Dateisystem Active Directory |
Notepad Windows Explorer Verwenden Sie für Windows-Gruppen das MMC-Snap-In Active Directory-Benutzer und -Computer oder (für lokale Einstellungen) das Verwaltungstool ADSI-Skript, |
Sichere Kommunikation |
Konfiguration |
Tools |
SSL IPSec |
IIS-Metabasis Lokale Richtlinie des Computers (Registrierung) oder Active Directory |
IIS-MMC-Snap-In-Skript MMC-Snap-In Lokale |
** Die für .NET Remoting aufgeführten Sicherheitsdienste setzen voraus, dass ASP.NET als Host für die .NET-Remotekomponente fungiert und der HTTP-Kanal verwendet wird. Für .NET-Remotekomponenten, für die IIS nicht als Host fungiert (sondern beispielsweise ein benutzerdefinierter Win32-Prozess oder ein Win32-Dienst) und die den TCP-Kanal verwenden, stehen keine standardmäßigen Sicherheitsdienste zur Verfügung. Weitere Informationen finden Sie in Modul 11, ".NET Remoting-Sicherheit".
SQL Server-Sicherheitskonfiguration
Authentifizierung |
Konfiguration |
Tools |
---|---|---|
Integrierte Windows-Authentifizierung |
SQL Server |
SQL Server Enterprise Manager |
Autorisierung |
Konfiguration |
Tools |
Objektberechtigungen |
SQL Server |
SQL Server Enterprise Manager |
Sichere Kommunikation |
Konfiguration |
Tools |
SSL IPSec |
Zertifikatspeicher des Servercomputers Lokale Richtlinie des Computers (Registrierung) oder Active Directory |
MMC-Snap-In Zertifikate Snap-In Lokale Sicherheitsrichtlinie |