Cette page vous a-t-elle été utile ?
Votre avis sur ce contenu est important. N'hésitez pas à nous faire part de vos commentaires.
Vous avez d'autres commentaires ?
1500 caractères restants
Exporter (0) Imprimer
Développer tout

Introduction

Dernière mise à jour le 31 août 2004
Sur cette page

Dans ce module Dans ce module
Objectifs Objectifs
S'applique à S'applique à
Introduction Introduction
Objectif de ce guide Objectif de ce guide
Qu'est-ce qu'une application résistante au piratage ? Qu'est-ce qu'une application résistante au piratage ?
Finalité de ce guide Finalité de ce guide
À qui s'adresse ce guide À qui s'adresse ce guide
Comment utiliser ce guide Comment utiliser ce guide
Organisation de ce guide Organisation de ce guide
Approche utilisée dans ce guide Approche utilisée dans ce guide
Positionnement de ce guide Positionnement de ce guide
Commentaire et support Commentaire et support
L'équipe de rédaction de ce guide L'équipe de rédaction de ce guide
Faites-nous part de vos résultats ! Faites-nous part de vos résultats !
Résumé Résumé

Dans ce module

Amélioration de la sécurité des applications Web : menaces et contre-mesures est un guide complet et détaillé écrit pour vous aider à concevoir, développer, configurer et déployer des applications Web ASP.NET fiables et résistantes au piratage.

Ce module présente le guide, en décrit la structure et explique comment vous en servir dans votre contexte. Il présente également l'approche globale et par niveau adoptée pour gérer la sécurité, laquelle porte sur les couches réseau, hôte et application dans les différents niveaux des applications Web .NET distribuées.

Objectifs

Ce module vous permettra :

  • de comprendre l'objectif de ce guide ;

  • d'apprendre ce qu'est une application Web résistante au piratage ;

  • de découvrir l'approche globale et par niveau adoptée pour gérer la sécurité traitée dans ce guide ;

  • d'appliquer correctement les instructions dans le cadre de votre projet et de découvrir quel est votre rôle dans le cycle de vie du développement ;

  • de déterminer la place de ce guide par rapport aux autres ouvrages Microsoft associés sur les modèles et pratiques conseillés.

S'applique à

Ce module ne contient aucune information technique mais le guide s'applique aux produits et aux technologies suivantes :

  • Microsoft Windows Server 2000 et 2003

  • .NET Framework 1.1

  • ASP.NET 1.1

  • Microsoft SQL Server 2000

Introduction

Les informations contenues dans ce guide s'appuient sur des pratiques éprouvées visant à améliorer la sécurité des applications Web. Les instructions sont basées sur les tâches et sont présentées dans des parties qui correspondent aux cycles de vie du produit, aux tâches et aux rôles.

  • La Partie I, « Introduction aux menaces et contre-mesures », identifie et illustre les différentes menaces qui pèsent sur les couches réseau, hôte et application. Le processus de modélisation de la menace aide à identifier les dangers susceptibles de nuire à votre application. En comprenant la nature de ces menaces, il est possible d'identifier et de classer par priorité des contre-mesures efficaces.

  • La Partie II, « Conception d'applications Web sécurisées », contient des conseils nécessaires pour l'élaboration d'applications Web fiables. Même si vous avez déjà déployé votre application, nous vous conseillons d'étudier et d'évaluer les concepts, les principes et les techniques décrits ici.

  • La Partie III, Création d'applications Web sécurisées », permet d'appliquer les pratiques de conception fiables présentées dans la partie précédente de manière à sécuriser les mises en œuvre. Vous apprendrez les techniques de codage défensives qui permettront à votre code et à votre application de résister aux attaques.

  • La Partie IV, « Sécurisation de votre réseau, de votre hôte et de votre application », explique comment appliquer les paramètres de configuration de la sécurité pour fiabiliser ces trois niveaux étroitement liés entre eux. Au lieu d'appliquer une stratégie au hasard, vous allez apprendre les principes sous-jacents aux recommandations de sécurité.

  • La Partie V, « Évaluation de votre sécurité », fournit les outils requis pour déterminer dans quelle mesure vous avez réussi la mise en œuvre de la sécurité. En commençant par l'application, vous irez de l'intérieur vers l'extérieur pour évaluer votre code et votre conception. Vous adopterez ensuite une démarche inverse qui vous mènera de l'extérieur vers l'intérieur pour identifier les risques qui menacent votre réseau, l'hôte et l'application.

Objectif de ce guide

Habituellement, la sécurité est considérée comme un problème de réseau, le pare-feu étant l'élément principal de défense (modèle de la forteresse) ou comme un domaine que les administrateurs système gèrent en verrouillant les ordinateurs hôtes. Les architectes d'application et les développeurs traitent la sécurité après coup ou lorsque le temps le permet, en général après avoir examiné les questions de performance.

Le problème avec le pare-feu ou le modèle forteresse est que les attaques peuvent traverser les défenses du réseau pour atteindre directement l'application. Un pare-feu classique permet de limiter le trafic au type HTTP, mais le trafic HTTP peut contenir des commandes qui exploitent les faiblesses de l'application. Le fait de vous fier uniquement au verrouillage de vos hôtes peut également conduire à l'échec. En effet, s'il est possible de contrer différentes menaces au niveau de l'hôte, les attaques contre les applications représentent un grave problème de sécurité, qui prend une importance croissante.

Le déploiement est un autre domaine dans lequel la sécurité est un problème. Ainsi, il est fréquent qu'une application échoue lorsqu'elle est déployée dans un environnement de production verrouillé, ce qui oblige l'administrateur à assouplir les paramètres de sécurité et, par conséquent, entraîne de nouvelles faiblesses au niveau sécuritaire. En outre, l'absence de stratégie de sécurité ou des exigences applicatives incohérentes avec la stratégie existante peuvent compromettre la sécurité. Un des objectifs de ce guide est précisément de permettre de combler le fossé entre de développement et les opérations.

Une sécurité appliquée de façon aléatoire ne suffit pas. Pour que votre application résiste au piratage, vous devez adopter une approche globale et systématique pour sécuriser votre réseau, l'hôte et l'application. Il est nécessaire de prévoir des phases et des rôles sur toute la durée de vie du produit. La sécurité n'est pas une destination ; il s'agit d'un voyage que ce guide doit vous aider à réussir.

Qu'est-ce qu'une application résistante au piratage ?

Ce guide va vous aider à créer des applications résistantes au piratage, ainsi nommées car elles réduisent la probabilité d'une attaque réussie et atténuent l'étendue des dommages si une attaque se produit. Une application résistante au piratage réside sur un hôte (serveur) sécurisé dans un réseau fiable et elle est développée selon des principes de conception sécurisés.

En 2002, eWeek a parrainé son quatrième challenge Open Hack, qui a prouvé la possibilité de créer des applications résistantes aux attaques en utilisant les technologies .NET sur des serveurs équipés du système d'exploitation Microsoft® Windows® 2000. L'équipe Open Hack a bâti une application Web ASP.NET en utilisant Microsoft Windows 2000 Advanced Server, Internet Information Services (IIS) 5.0, Microsoft SQL Server? 2000, et .NET Framework. Cette application a résisté avec succès à plus de 82 500 tentatives d'attaques et est sortie indemne de la compétition !

Ce guide fait part des méthodes et de l'expérience qui permettent de sécuriser des applications Web, y compris dans le cadre du challenge Open Hack. De plus, il expose des pratiques éprouvées utilisées pour sécuriser des réseaux et des serveurs Web dans le monde entier. Ces méthodes et ces bonnes pratiques sont résumées et présentées ici sous la forme d'instructions.

Finalité de ce guide

La sécurité des applications Web doit être prise en compte dans l'ensemble des niveaux, et sur différentes couches. Une faiblesse dans un niveau ou une couche rend votre application vulnérable en cas d'attaque.

Sécurisation du réseau, de l'hôte et de l'application

La figure 1 illustre la finalité de ce guide et l'approche en trois paliers qui y est adoptée : sécurisation du réseau, sécurisation de l'hôte et sécurisation de l'application. Il décrit aussi le processus appelé modélisation de la menace qui fournit une structure et un exposé sur le processus de sécurité et permet d'évaluer les menaces ainsi que d'identifier les contre-mesures appropriées. Si vous ne connaissez pas les menaces qui pèsent sur vous, comment pouvez-vous sécuriser votre système ?

Finalité du guide Amélioration de la sécurité des applications Web : menaces et contre-mesures

Figure 1
Finalité du guide Amélioration de la sécurité des applications Web : menaces et contre-mesures

Ce guide traite de la sécurité dans les trois niveaux physiques montrés dans la figure 1. Il concerne le serveur Web, le serveur d'applications à distance et le serveur de base de données. À chaque niveau, la sécurité est traitée pour les couches réseau, hôte et application. La figure 1 montre également les catégories de configuration utilisées dans le guide pour organiser les différents paramètres de configuration de sécurité qui s'appliquent à l'hôte et au réseau, ainsi que les catégories de vulnérabilités utilisées pour structurer les questions relatives à la sécurité de l'application.

Technologies mises en œuvre

La plupart des informations contenues dans ce guide n'exigent aucune connaissance technologique particulière ; toutefois, le guide parle d'applications Web créées avec .NET Framework et déployées sur des systèmes d'exploitation Windows 2000. Il accorde aussi une attention particulière à la sécurité d'accès au code de .NET Framework, notamment à propos de l'utilisation de la sécurité d'accès au code avec ASP.NET. S'il y a lieu, les nouvelles fonctionnalités de Windows Server 2003 sont présentées. Le tableau 1 répertorie les produits et les technologies sur lesquels s'appuient les instructions présentées ici.

Tableau 1 : Principales technologies abordées dans ce guide

Domaine

Produit/Technologie

Plates-formes

.NET Framework 1.1
Famille Windows 2000 Server
Les fonctionnalités de sécurité de Windows Server 2003 sont également présentées.

Serveur Web

IIS 5.0 (inclus avec Windows 2000 Server)

Serveur d'applications

Windows 2000 Server avec .NET Framework 1.1

Serveur de base de données

SQL Server 2000

Technologies Middleware

ASP.NET, Enterprise Services, XML Web Services, .NET Remoting

Accès aux données

ADO.NET

À qui s'adresse ce guide

Ce guide s'adresse à toutes les personnes chargées de la planification, de la création, du déploiement et du fonctionnement d'applications Web. Il contient des informations importantes destinées aux concepteurs, aux développeurs, aux administrateurs système et aux analystes de la sécurité.

Les concepteurs apprendront à éviter les erreurs coûteuses de sécurité et à faire les choix appropriés suffisamment tôt dans le cycle de développement du produit. Il leur sera également expliqué comment mettre en œuvre des techniques de codage défensives et créer du code sécurisé. Les administrateurs système apprendront comment sécuriser les serveurs et les réseaux de façon méthodique ; quant aux analystes de la sécurité, ils découvriront comment procéder à des évaluations.

Comment utiliser ce guide

Nous avons adopté une organisation modulaire. Le guide est organisé sur la base de tâches et structuré en parties qui correspondent aux différentes phases du développement du produit ainsi qu'aux rôles et aux interventions nécessaires durant le cycle de vie, y compris celles des architectes, des développeurs, des administrateurs et des analystes de la sécurité.

Application des instructions relatives à votre rôle

Toute personne qui travaille à la conception, au développement, au déploiement ou à la maintenance d'applications Web et à leur infrastructure sous-jacente doit, indépendamment de son rôle, lire la Partie I de ce guide, « Introduction aux menaces et contre-mesures ». Celle-ci identifie et explique les principales menaces qui pèsent sur les applications Web au niveau des couches réseau, hôte et application. Elle explique aussi comment créer des modèles qui vous aideront à identifier et à classer les menaces concernant plus particulièrement votre application. Une bonne compréhension des menaces et des contre-mesures associées est essentielle pour quiconque cherche à sécuriser des applications Web.

Si vous êtes appelé à intervenir dans la conception d'une application Web, nouvelle ou existante, vous devez lire la Partie II, « Conception d'application Web sécurisées », qui permet de détecter les faiblesses potentielles de votre conception.

Si vous êtes développeur, lisez la Partie III, « Création d'applications Web sécurisées ». Les informations qu'elle contient vous seront utiles pour développer un code et des composants sécurisés, y compris des pages Web et des contrôles, des services Web, des composants distants et du code d'accès aux données. Vous devez également lire la Partie IV, « Sécurisation de votre réseau, de votre hôte et de votre application », afin de mieux comprendre le type d'environnement sécurisé dans lequel votre code sera probablement déployé. Une meilleure connaissance de l'environnement cible peut en effet réduire considérablement les risques de problèmes et de faiblesses liées à la sécurité qui apparaissent au moment du déploiement.

Si vous êtes administrateur système, vous devez lire la Partie IV, « Sécurisation de votre réseau, de votre hôte et de votre application ». Les informations de cette partie vous aident à créer une infrastructure de serveur et de réseau sécurisée, optimisée pour prendre en charge des applications Web .NET et des services Web.

Toute personne chargée d'examiner la sécurité d'un produit doit lire la Partie V, « Évaluation de votre sécurité », dont les informations vous aideront à identifier les faiblesses provoquées par des techniques de codage ou des configurations de déploiement peu sûres.

Application des instructions relatives au cycle de vie de votre produit

Les différentes parties de ce guide s'appliquent aux multiples phases du cycle de développement du produit. La séquence des modules de ce guide reflète les phases classiques de ce cycle. La figure 2 montre comment les parties et les modules correspondent aux phases d'un cycle de développement standard d'un produit.

Amélioration de la sécurité des applications Web : menaces et contre-mesures, en relation avec le cycle de vie du produit

Figure 2
Amélioration de la sécurité des applications Web : menaces et contre-mesures, en relation avec le cycle de vie du produit

Microsoft Solutions Framework

Si vous utilisez et si vous connaissez bien MSF (Microsoft Solutions Framework), la figure 3 représente une mise en correspondance similaire des modules avec les phases du cycle de vie du produit, mais cette fois en rapport avec le modèle de processus MSF.

Amélioration de la sécurité des applications Web : menaces et contre-mesures, en relation avec MSF

Figure 3
Amélioration de la sécurité des applications Web : menaces et contre-mesures, en relation avec MSF

Organisation de ce guide

Vous pouvez lire ce guide du début à la fin ou uniquement les modules qui ont trait à votre travail. Pour avoir un rapide aperçu de son contenu, reportez-vous à la section « Formation accélérée.

Récapitulatif des solutions

La section « Récapitulatif des solutions » fournit un index des problèmes qui met en évidence les principaux domaines de préoccupation et vous permet d'accéder aux informations adéquates.

Formation accélérée

La section « Formation accélérée » au début du guide vous aide à mettre en œuvre, rapidement et facilement, les recommandations et les instructions proposées.

Parties

Ce guide est divisé en cinq parties :

  • Partie I, Introduction aux menaces et contre-mesures

  • Partie II, Conception d'applications Web sécurisées

  • Partie III, Création d'applications Web sécurisées

  • Partie IV, Sécurisation de votre réseau, de votre hôte et de votre application

  • Partie V, Évaluation de votre sécurité

Partie I, Introduction aux menaces et contre-mesures

Cette partie identifie et illustre les diverses menaces auxquelles sont confrontées les couches réseau, hôte et application. Grâce à la modélisation de la menace, vous pouvez identifier les menaces qui concernent plus particulièrement votre application. Ceci vous permet dès lors d'envisager des contre-mesures efficaces. Cette partie inclut :

  • Le module 1, « Principes de base de la sécurité des applications Web »

  • Le module 2, « Menaces et contre-mesures »

  • Le module 3, « Modélisation de la menace »

Partie II, Conception d'applications Web sécurisées

Cette partie contient les instructions nécessaires pour concevoir vos applications Web de manière sécurisée. Même si vous disposez déjà d'une application, vous devez revoir cette section puis réexaminer les concepts, les principes et les techniques que vous avez employés au moment de sa conception. Cette partie inclut :

  • Le module 4, « Instructions de conception pour la sécurisation des applications Web »

  • Le module 5, « Examen de l'architecture et de la conception pour la sécurité »

Partie III, Création d'applications Web sécurisées

Cette partie vous aide à suivre les pratiques et les principes de conception sécurisée abordés dans la partie précédente afin de créer une implémentation robuste et fiable. Vous apprendrez des techniques de codage défensives qui rendront votre code et votre application résistants aux attaques. Le module 6 donne une vue d'ensemble de la sécurité .NET Framework afin que vous ayez connaissance des multiples options et outils de défense qui sont à votre disposition. La partie III inclut :

  • Le module 6, « Principes de base de la sécurité .NET »

  • Le module 7, « Création d'assemblys sécurisés »

  • Le module 8, « La sécurité d'accès au code en pratique »

  • Le module 9, « Utilisation de la sécurité d'accès au code avec ASP.NET »

  • Le module 10, « Création de pages et de contrôles ASP.NET sécurisés »

  • Le module 11, « Création de composants de service sécurisés »

  • Le module 12, « Création de services Web sécurisés »

  • Le module 13, « Création de composants distants sécurisés »

  • Le module 14, « Création d'un accès sécurisé aux données »

Partie IV, Sécurisation de votre réseau, de votre hôte et de votre application

Cette partie explique comment appliquer les paramètres de configuration de la sécurité pour sécuriser les niveaux réseau, hôte et application qui sont étroitement reliés entre eux. Au lieu d'appliquer une sécurité au hasard, vous découvrirez les raisons qui dictent les recommandations de sécurité. La partie IV inclut :

  • Le module 15, « Sécurisation de votre réseau »

  • Le module 16, « Sécurisation de votre serveur Web »

  • Le module 17, « Sécurisation de votre serveur d'applications »

  • Le module 18, « Sécurisation de votre serveur de base de données »

  • Le module 19, « Sécurisation de votre application ASP.NET et de vos services Web »

  • Le module 20, « Hébergement de plusieurs applications Web »

Partie V, Évaluation de votre sécurité

Cette partie vous fournit les outils nécessaires pour évaluer la réussite de votre travail de sécurité. Elle explique comment évaluer votre code et votre conception et comment examiner le déploiement de votre application afin d'identifier les faiblesses potentielles. Elle inclut :

  • Le module 21, « Examen du code »

  • Le module 22, « Examen du déploiement »

Listes de contrôle

Cette section contient des listes de contrôle basées sur les tâches, que vous pouvez imprimer, et qui constituent des fiches de référence rapide pour vous aider à prendre des mesures en fonction des informations. Cette section inclut les listes suivantes :

  • Liste de contrôle : examen de l'architecture et de la conception

  • Liste de contrôle : sécurisation d'ASP.NET

  • Liste de contrôle : sécurisation des services Web

  • Liste de contrôle : sécurisation des services d'entreprise

  • Liste de contrôle : sécurisation de l'accès distant

  • Liste de contrôle : sécurisation de l'accès aux données

  • Liste de contrôle : sécurisation de votre réseau

  • Liste de contrôle : sécurisation de votre serveur Web

  • Liste de contrôle : sécurisation de votre serveur de base de données

  • Liste de contrôle : examen de la sécurité du code géré

Articles « Procédures »

Cette section contient des articles de type « Procédure », qui décrivent des procédures pas à pas pour les principales tâches. Elle inclut les articles suivants :

  • Procédure : implémentation de la gestion des correctifs logiciels

  • Procédure : renforcement de la pile TCP

  • Procédure : sécurisation de la station de travail du développeur

  • Procédure : utilisation d'IPSec pour le filtrage des ports et l'authentification

  • Procédure : utilisation de Microsoft Baseline Security Analyzer

  • Procédure : utilisation d'IISLockdown.exe

  • Procédure : utilisation d'URLScan

  • Procédure : création d'une autorisation de cryptage personnalisée

  • Procédure : utilisation de la stratégie de sécurité d'accès au code pour limiter un assembly

Approche utilisée dans ce guide

Pour concevoir une application résistante au piratage, par où commencer ? L'approche utilisée dans ce guide est la suivante :

  • Sécuriser votre réseau, votre hôte et votre application

  • Vous concentrer sur les menaces

  • Suivre une approche qui s'appuie sur des principes

Sécuriser votre réseau, votre hôte et votre application

La sécurité doit être abordée à trois niveaux : le réseau, l'hôte, l'application. Une faiblesse à l'un de ces niveaux peut être exploitée par un pirate. Ce guide adopte une approche globale de la sécurité de l'application et la met en œuvre aux trois niveaux concernés. La figure 4 représente cette approche globale.

Approche globale de la sécurité

Figure 4
Approche globale de la sécurité

La figure 4 montre les multiples couches concernées par ce guide, notamment les couches réseau, hôte et application. La couche hôte couvre le système d'exploitation, des services et composants de la plate-forme, ainsi que des services et des composants du runtime. Les services et les composants de la plate-forme incluent SQL Server et services d'entreprise. Les services et les composants du runtime incluent entre autres la sécurité de l'accès au code .NET et ASP.NET.

Vous concentrer sur les menaces

Les mesures de sécurité de votre application peuvent devenir inutiles, voire contre-productives, si elles sont appliquées sans connaissance des menaces qu'elles sont censées réduire.

Les menaces peuvent être externes, telles qu'une attaque sur Internet, ou internes, provenant par exemple d'un employé ou d'un administrateur mécontent. Ce guide vous aide à identifier les menaces de deux façons :

  • Il énumère les principales menaces qui pèsent sur les applications Web aux niveaux réseau, hôte et application.

  • Il vous aide à identifier les menaces qui concernent plus particulièrement votre application grâce à un processus appelé modélisation de la menace.

Suivre une approche qui s'appuie sur des principes

Les recommandations utilisées dans ce guide s'appuient sur des principes de sécurité qui ont fait leurs preuves. L'analyse et la prise en compte des menaces avant la mise en œuvre du produit ou son déploiement se prêtent à une approche permettant d'appliquer les principes de base, indépendamment de la technologie de mise en œuvre ou du scénario de l'application.

Positionnement de ce guide

Il s'agit du deuxième volume d'une série de deux ouvrages destinés à aider les clients à planifier, créer, déployer et exploiter des applications Web sécurisées : le Volume I, Création d'applications ASP.NET sécurisées: Authentification, autorisation et communication sécurisée, et le Volume II, Amélioration de la sécurité des applications Web : menaces et contre-mesures.

Volume I, Création d'applications ASP.NET sécurisées

L'ouvrage Création d'applications ASP.NET sécurisées vous aide à créer un dispositif d'authentification et d'autorisation robuste pour votre application. Il insiste sur la gestion des identités à tous les niveaux d'une application Web distribuée. En développant une stratégie fiable d'authentification et d'autorisation dès le début de la conception, vous pouvez éliminer un grand nombre de problèmes liés à la sécurité. Ce premier volume s'adresse aux architectes et aux responsables d'équipes de développement.

La figure 5 illustre l'objet du Volume I. Le guide traite de l'authentification, de l'autorisation et de la communication sécurisée dans les différents niveaux d'une application Web distribuée. Les technologies couvertes sont les mêmes que dans le guide actuel et incluent Windows 2000 Server, IIS, les applications Web ASP.NET et les services Web services, les services d'entreprise, .NET Remoting, SQL Server et ADO.NET.

Finalité du Volume I, Création d'applications ASP.NET sécurisées

Figure 5
Finalité du Volume I, Création d'applications ASP.NET sécurisées

Volume II, Amélioration de la sécurité des applications Web

Ce guide vous aide à créer et à gérer des applications résistantes au piratage. Il offre une vue d'ensemble de la sécurité dans les niveaux, en insistant sur les menaces et les contre-mesures possibles dans les couches réseau, hôte et application. Il s'adresse à un public plus large et les instructions qu'il contient peuvent s'appliquer durant tout le cycle de vie du produit.

Pour obtenir une liste d'ouvrages associés, reportez-vous au module « Ressources » à la fin de ce guide.

Commentaire et support

Nous avons fait le maximum pour garantir l'exactitude du contenu de ce guide.

Commentaires sur le guide

Si vous avez des commentaires concernant ce guide, envoyez-nous un courrier électronique à l'adresse secguide@microsoft.com. Nous sommes particulièrement intéressés par vos commentaires sur les points suivants :

  • Questions techniques spécifiques aux recommandations

  • Questions liées à l'utilité et à l'utilisation

  • Questions concernant l'écriture et l'édition

Support technique

Le support technique pour les produits et les technologies Microsoft référencés dans ce guide est assuré par les services de support produit Microsoft (PSS). Pour plus d'informations, visitez la page des Services de support produit à l'adresse http://support.microsoft.com.

Communautés et groupes de discussion

Groupes de discussion MSDN : http://msdn.microsoft.com/newsgroups/default.asp

Tableau 2 : Groupes de discussion

Groupe de discussion

Adresse

Sécurité .NET Framework

microsoft.public.dotnet.security

Sécurité ASP.NET

microsoft.public.dotnet.framework.aspnet.security

Services d'entreprise

microsoft.public.dotnet.framework_component_services

Services Web

microsoft.public.dotnet.framework.aspnet.webservices

Remoting

microsoft.public.dotnet.framework.remoting

ADO.NET

microsoft.public.dotnet.framework.adonet

Sécurité de SQL Server

microsoft.public.sqlserver.security

MBSA

microsoft.public.security.baseline_analyzer

Virus

microsoft.public.security.virus

Sécurité IIS

microsoft.public.inetserver.iis.security

L'équipe de rédaction de ce guide

Ce guide a été réalisé par les spécialistes du développement .NET suivants :

  • J.D. Meier, Microsoft, Responsable des programmes, Prescriptive Architecture Guidance (PAG)

  • Alex Mackman, Content Master Ltd, membre fondateur et technicien principal

  • Srinath Vasireddy, Microsoft, Ingénieur du support développement, PSS

  • Michael Dunner, Microsoft, Ingénieur du support développement, PSS

  • Ray Escamilla, Microsoft, Ingénieur du support développement, PSS

  • Anandha Murukan, Satyam Computer Services

Collaborateurs et réviseurs

Nous remercions les collaborateurs et réviseurs suivants :

  • Merci aux réviseurs externes : Mark Curphey, Open Web Application Security Project and Watchfire ; Andy Eunson (révision approfondie) ; Anil John (scénarios d'hébergement et sécurité de l'accès au code) ; Paul Hudson et Stuart Bonell, Attenda Ltd. (révision approfondie des articles de sécurisation) ; Scott Stanfield et James Walters, Vertigo Software ; Lloyd Andrew Hubbard ; Matthew Levine ; Lakshmi Narasimhan Vyasarajan, Satyam Computer Services ; Nick Smith, Senior Security Architect, American Airlines (révision approfondie des articles de sécurisation) ; Ron Nelson ; Senthil Rajan Alaguvel, Infosys Technologies Limited ; Roger Abell, Engineering Technical Services, Arizona State University ; et Doug Thews.

  • Microsoft Product Group : Michael Howard (modélisation de la menace, examen du code et examen du déploiement) ; Matt Lyons (mise au point sur la sécurité de l'accès au code) ; Caesar Samsi ; Erik Olson (validation détaillée et recommandations sur ASP.NET) ; Andres De Vivanco (sécurisation de SQL Server) ; Riyaz Pishori (services d'entreprise) ; Alan Shi ; Carlos Garcia Jurado Suarez ; Raja Krishnaswamy, responsable du développement CLR ; Christopher Brown ; Dennis Angeline ; Ivan Medvedev (sécurité de l'accès au code) ; Jeffrey Cooperstein (Modélisation de la menace) ; Frank Swiderski ; Manish Prabhu (.NET Remoting) ; Michael Edwards, MSDE ; Pranish Kumar, (VC++ PM) ; Richard Waymire (Sécurité SQL) ; Sebastian Lange ; Greg Singleton ; Thomas Deml (Responsable programme IIS) ; Wade Hilmo (IIS) ; Steven Pratschner ; Willis Johnson (SQL Server) ; et Girish Chander (SQL Server).

  • Services de conseil Microsoft et Services de support produit (PSS) : Ilia Fortunov (Architecte senior) pour ses commentaires continus et rapides ; Aaron Margosis (révision approfondie, insertion de scripts et ajout de SQL) ; Jacquelyn Schmidt ; Kenny Jones ; Wade Mascia (services Web et services d'entreprise) ; Aaron Barth ; Jackie Richards ; Aaron Turner ; Andy Erlandson (Director of PSS Security) ; Jayaprakasam Siddian Thirunavukkarasu (sécurité SQL Server) ; Jeremy Bostron ; Jerry Bryant ; Mike Leuzinger ; Robert Hensing (révision des articles de sécurisation) ; Gene Ferioli ; David Lawler ; Jon Wall (modélisation de la menace) ; Martin Born ; Michael Thomassy ; Michael Royster ; Phil McMillan ; et Steven Ramirez.

  • Merci à Joel Scambray ; Rich Benack ; Alisson Sol ; Tavi Siochi (audit IT) ; Don Willits (amélioration de la qualité) ; Jay Nanduri (Microsoft.com) pour la révision et le partage de sa pratique du monde réel ; Devendra Tiwari et Peter Dampier, pour la révision approfondie et le partage des bonnes pratiques en informatiques ; Carlos Lyons ; Eric Rachner ; Justin Clarke ; Shawn Welch (audit IT) ; Rick DeJarnette ; Kent Sharkey (scénarios d'hébergement) ; Andy Oakley ; Vijay Rajagopalan (opérations MS de développement) ; Gordon Ritchie, Content Master Ltd ; Chase Carpenter (modélisation de la menace) ; Matt Powell (pour la sécurité des services Web) ; Joel Yoker ; Juhan Lee [opérations MSN] ; Lori Woehler ; Mike Sherrill ; Mike Kass ; Nilesh Bhide ; Rebecca Hulse ; Rob Oikawa (Architecte) ; Scott Greene ; Shawn Nandi ; Steve Riley ; Mark Mortimore ; Matt Priestley ; et David Ross.

  • Merci à tous nos rédacteurs : Sharon Smith ; Kathleen Hartman (S&T OnSite) ; Tina Burden (Entirenet) ; Cindy Riskin (S&T OnSite) ; et Pat Collins (Entirenet) pour leur engagement à offrir une expérience de qualité au lecteur.

  • Enfin, merci à Naveen Yajaman ; Philip Teale ; Scott Densmore ; Ron Jacobs ; Jason Hogg ; Per Vonge Nielsen ; Andrew Mason ; Edward Jezierski ; Michael Kropp ; Sandy Khaund ; Shaun Hayes ; Mohammad Al – Sabt ; Edward Lafferty ; Ken Perilman ; et Sanjeev Garg (Satyam Computer Services).

Faites-nous part de vos résultats !

Si ce guide vous est utile, nous aimerions le savoir. Envoyez-nous un bref résumé des problèmes qui étaient les vôtres et expliquez en quoi ce guide vous a aidé. Envoyez votre courrier à :

MyStory@Microsoft.com.

Résumé

Dans cette introduction, nous avons présenté la structure du guide et l'approche de base qui y est adoptée pour sécuriser des applications Web. Nous avons également expliqué comment appliquer les instructions en fonction de votre rôle ou des phases spécifiques du cycle de développement de votre produit.

Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2015 Microsoft