セキュリティ保護された ASP.NET アプリケーションの構築 : 認証、認定、および通信のセキュリティ保護 構成ストアとツール

J.D. Meier, Alex Mackman, Michael Dunner, and Srinath Vasireddy
Microsoft Corporation

November 2002
日本語版最終更新日 2003 年 3 月 17 日

適用対象:
    Microsoft® ASP.NET

全体の概要については、「セキュリティ保護された ASP.NET アプリケーションの構築」の開始ページを参照してください。

要約 : この付録には、.NET Web アプリケーションで使用できる認証サービス、認定サービス、およびセキュリティ保護された通信サービスの組み合わせを示す表が収録されています。これらの表では、中核的な .NET Web アプリケーションの各テクノロジについて、使用できる各種セキュリティ サービスを示し、関連するセキュリティ構成設定値がどこに維持されるか、それらの設定をどのツールで編集できるかを示します。

メモ   Internet Information Services (IIS) メタベース内の設定値は、IIS MMC スナップインを使用して構成できるほか、スクリプトからプログラム的に構成することもできます。machine.config および web.config に維持される設定値は、任意のテキスト エディタ (メモ帳など) や XML エディタ (Microsoft Visual Studio® .NET XML エディタなど) で編集できます。

表 1 IIS のセキュリティ構成

認証	構成	ツール
匿名 基本 ダイジェスト 統合 Windows クライアント証明書	IIS メタベース	IIS MMC スナップイン スクリプト Makecert.exe (テスト証明書の作成が可能)
認定	構成	ツール
NTFS アクセス許可 (Windows ACL) IP と DNS の制限	Windows (NTFS) ファイル システム IIS メタベース	Windows エクスプローラ Cacls.exe セキュリティ テンプレート Secedit.exe グループ ポリシー
セキュリティで保護された通信	構成	ツール
SSL	Windows (NTFS) ファイル システム	IIS MMC スナップイン スクリプト
IPSec	コンピュータのローカル ポリシー (レジストリ) または Microsoft Active Directory® ディレクトリ サービス	ローカル セキュリティ ポリシー MMC スナップイン ドメイン セキュリティ ポリシー MMC スナップイン Ipsecpol.exe
付加的なゲートキーパー	構成	ツール
IP アドレスとドメイン名の制限	IIS メタベース	IIS MMC スナップイン スクリプト

表 2 ASP.NET のセキュリティ構成

認証	構成	ツール
Windows フォーム Passport なし (カスタム)	machine.config または web.config の 表 3 Enterprise Services のセキュリティ構成 (*) 認証 構成 ツール DCOM/RPC 認証 COM+ カタログ メモ サービス コンポーネント (および通常の DCOM) のプロキシのコンピュータ設定値は、Machine.config. に維持されます。 コンポーネント サービス MMC スナップイン スクリプト (カタログ自動化オブジェクト) 認定 構成 ツール Enterprise Services (COM+) ロール COM+ カタログ コンポーネント サービス MMC スナップイン スクリプト (カタログ自動化オブジェクト) Windows ACL (サービス コンポーネントで偽装を使用する場合) Windows (NTFS) ファイル システム Windows エクスプローラ Cacls.exe セキュリティ テンプレート Secedit.exe グループ ポリシー セキュリティで保護された通信 構成 ツール RPC 暗号化 (パケット プライバシー) COM+ カタログ メモ サービス コンポーネント (および通常の DCOM) のプロキシのコンピュータ設定値は、Machine.config に維持されます。 コンポーネント サービス スクリプト (カタログ自動化オブジェクト) IPSec コンピュータのローカル ポリシー (レジストリ) または Active Directory ローカル セキュリティ ポリシー MMC スナップイン Ipsecpol.exe * Enterprise Services コンポーネント用のセキュリティ サービスは、サーバーによってホストされるコンポーネントとライブラリ アプリケーションのどちらにも適用します。ただし、ライブラリ アプリケーションに関しては、既定のセキュリティ設定値の多くがホスト プロセスから継承され、直接には構成できないため、制限があります。プロセス全体の認証は、ライブラリ アプリケーションから明示的に無効化できます。詳細については、「第 9 章 Enterprise Services セキュリティ」を参照してください。 表 4 Web サービス (ASP.NET で実装) のセキュリティ構成 認証 構成 ツール Windows machine.config または web.config の 表 5 .NET リモート処理のセキュリティ構成** (ASP.NET によって HTTP チャネル経由でホストされる場合) 認証 構成 ツール Windows IIS メタベース IIS MMC スナップイン スクリプト カスタム カスタム データ ストア (例 : SQL Server) カスタム ストアに依存 認定 構成 ツール URL 認定 Web.config メモ帳 Visual Studio .NET 任意の XML エディタ ファイル認定 Windows (NTFS) ファイル システム Windows エクスプローラ Cacls.exe セキュリティ テンプレート Secedit.exe グループ ポリシー .NET ロール Active Directory または SAM データベース または カスタム データ ストア (例 : SQL Server) Windows グループの場合は、Active Directory ユーザーとコンピュータ MMC スナップインを使用するか、(ローカル設定の場合は) コンピュータの管理ツールを使用 ADSI スクリプト Net.exe カスタム グループの場合は、カスタム ストアに依存 セキュリティで保護された通信 構成 ツール SSL IIS メタベース IIS MMC スナップイン スクリプト IPSec コンピュータのローカル ポリシー (レジストリ) または Active Directory ローカル セキュリティ ポリシー MMC スナップイン Ipsecpol.exe ** .NET リモート処理用として示したセキュリティ サービスでは、.NET リモート コンポーネントが ASP.NET 内でホストされており、HTTP チャネルを使用していることが前提となります。カスタム Win32 プロセスや Win32 サービスなど、IIS の外部で TCP チャネルを通じてホストされている .NET リモート コンポーネントに対しては、既定のセキュリティ サービスは用意されていません。詳細については、「第 11 章 .NET リモート処理のセキュリティ」を参照してください。 表 6 SQL Server のセキュリティ構成 認証 構成 ツール 統合 Windows SQL Server 標準認証 SQL Server SQL Server SQL Server Enterprise Manager SQL Server Enterprise Manager 認定 構成 ツール オブジェクト権限 データベース ロール サーバー ロール ユーザー定義のデータベース ロール アプリケーション ロール SQL Server SQL Server Enterprise Manager Osql.exe (データベース スクリプト) セキュリティで保護された通信 構成 ツール SSL サーバーのコンピュータ証明書ストア クライアントとサーバーのレジストリ設定値 接続文字列 証明書 MMC スナップイン サーバー ネットワーク ユーティリティ クライアント ネットワーク ユーティリティ IPSec コンピュータのローカル ポリシー (レジストリ) または Active Directory ローカル セキュリティ ポリシー スナップイン Ipsecpol.exe