微軟認(rèn)證課程系列教材--面向.NET的Web應(yīng)用程序設(shè)計(jì)第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的安全

《微軟認(rèn)證課程系列教材--面向.NET的Web應(yīng)用程序設(shè)計(jì)第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的安全》由會(huì)員分享，可在線閱讀，更多相關(guān)《微軟認(rèn)證課程系列教材--面向.NET的Web應(yīng)用程序設(shè)計(jì)第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的安全（32頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Slide Title,,Body Text,,Second level,,Third level,,Fourth level,,Fifth level,,,面向,.NET,的,Web,應(yīng)用程序設(shè)計(jì),第1章 Microsoft .NET Framework 概述,,第2章 使用 Microsoft Visual Studio .NET,,第3章 使用基于 Microsoft .NET 的開(kāi)發(fā)語(yǔ)言,,第4章 創(chuàng)立 Microsoft ASP.NET Web 窗體,,第5章 在 Microsoft ASP.NET Web 窗體中添加代碼,,第6章 Microsoft ASP

2、.NET Web 應(yīng)用程序的跟蹤機(jī)制,,第7章 驗(yàn)證用戶(hù)輸入,,第8章 創(chuàng)立用戶(hù)控件,,第9章 使用 Microsoft Visual Studio .NET 訪問(wèn)關(guān)系型數(shù)據(jù),,第10章 使用 Microsoft ADO.NET 訪問(wèn)數(shù)據(jù),,第11章 通過(guò) Microsoft ADO.NET 調(diào)用存儲(chǔ)過(guò)程,,第12章 讀寫(xiě) XML 數(shù)據(jù),,第13章 使用和創(chuàng)立 XML Web Service,,第14章 狀態(tài)管理,第15章 配置、優(yōu)化和部署 Microsoft ASP.NET Web 應(yīng)用程序,,第16章 Web 平安性介紹,,第17章 Web 應(yīng)用

3、程序平安性規(guī)劃,,第18章 驗(yàn)證用戶(hù)輸入,,第19章 Internet 信息效勞身份驗(yàn)證,,第20章 保護(hù) Web 頁(yè)面平安,第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的平安,,第22章 保護(hù)Microsoft?SQL Server的平安,,第23章 保證通信中的機(jī)密信息和數(shù)據(jù)完整性,,第24章 加密、散列和數(shù)據(jù)簽名,,第25章 測(cè)試 Web 站點(diǎn)的平安性,面向,.NET,的,Web,應(yīng)用程序設(shè)計(jì),第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的平安,保護(hù)文件平安的概述,,Windows 訪問(wèn)控制,,以編程方式創(chuàng)立 ACL,,保護(hù) ASP.NET Web 應(yīng)用程序文件,保護(hù)文件平安的概述,Web

4、 應(yīng)用程序執(zhí)行文件〔Implementation File〕遭到攻擊的原因,,保護(hù) Web 應(yīng)用程序執(zhí)行文件,21.1 保護(hù)文件平安的概述,Web 應(yīng)用程序執(zhí)行文件〔Implementation File〕遭到攻擊的原因,Web 應(yīng)用程序執(zhí)行文件被攻擊的理由,,效勞器端腳本包含應(yīng)用程序執(zhí)行的源代碼,,源代碼包含數(shù)據(jù)庫(kù)結(jié)構(gòu)、數(shù)據(jù)庫(kù)連接字符串、受信任的用戶(hù)名和密碼等機(jī)密信息,,可能導(dǎo)致被攻擊的漏洞,,IIS 效勞器沒(méi)有安裝最新的補(bǔ)丁,,執(zhí)行文件可能以被變通的方式被訪問(wèn),,未對(duì)配置文件采取保護(hù)措施,21.1.1 Web 應(yīng)用程序執(zhí)行文件〔Implementation File〕遭到攻擊的原因,保護(hù),

5、,Web,應(yīng)用程序執(zhí)行文件,,文件和目錄的 ACL〔Access Control List，訪問(wèn)控制列表〕,,采用 Windows 文件平安性設(shè)置 Web 應(yīng)用程序頁(yè)面文件或目錄的 ACL,,IIS 平安性,,IIS 包含所有 Web 應(yīng)用程序的通用訪問(wèn)權(quán)限,,ASP.NET 中的 Web.config 文件,,可以在 ASP.NET 應(yīng)用程序的 Web.config 文件中設(shè)置身份驗(yàn)證和授權(quán)信息,21.1.2,保護(hù),,Web,應(yīng)用程序執(zhí)行文件,,第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的平安,保護(hù)文件平安的概述,,Windows 訪問(wèn)控制,,以編程方式創(chuàng)立 ACL,,保護(hù) ASP.NET Web 應(yīng)用

6、程序文件,Windows,訪問(wèn)控制,平安描述符概述,,設(shè)置文件的 ACL,,最正確實(shí)踐,,課堂練習(xí) 查看和設(shè)置文件的 ACL,,危險(xiǎn)的 DACL 設(shè)置,21.2,Windows 訪問(wèn)控制,可保護(hù)對(duì)象是具有平安描述符的 Windows 對(duì)象,,文件和目錄,,進(jìn)程和線程,,注冊(cè)表項(xiàng),,Windows 效勞,,本地或遠(yuǎn)程打印機(jī),,網(wǎng)絡(luò)共享對(duì)象,,目錄效勞對(duì)象,,命名管道,,進(jìn)程間同步對(duì)象,平安描述符概述,21.2.1 平安描述符概述,平安描述符概述,,可保護(hù)的,,對(duì)象,,安全描述符,,所有者,SID,域控制器,組,SID,域控制器,DACL,SACL,,ACE – ACCESS_DENIED_A

7、CE,,ACE – ACCESS_ALLOWED_ACE,ACE – SYSTEM_AUDIT_ACE,21.2.1 平安描述符概述,平安標(biāo)示符 〔SID〕,,表示受信者的惟一標(biāo)識(shí),,Windows 域控制器或本地計(jì)算機(jī)為每個(gè)用戶(hù)賬戶(hù)確定一個(gè) SID,,訪問(wèn)控制項(xiàng)〔ACE〕,,控制或監(jiān)視對(duì)可保護(hù)對(duì)象的訪問(wèn),,訪問(wèn)控制列表〔ACL〕,,可保護(hù)對(duì)象的一組訪問(wèn)控制項(xiàng)列表,,平安描述符,,包含可保護(hù)對(duì)象的所有平安信息,平安描述符概述,21.2.1 平安描述符概述,,多媒體演示 平安描述符概述,Windows,域,域控制器,SID,訪問(wèn),,令牌,登錄,文件或目錄的屬性對(duì)話框,,“平安〞選項(xiàng)卡,,通

8、常用于描述對(duì)象的平安描述符,,上局部顯示對(duì)象的 DACL，允許添加或刪除 ACE,,下局部顯示當(dāng)前選定 的 ACE 對(duì)象訪問(wèn)權(quán)限的簡(jiǎn)略列表,,21.2.2,設(shè)置文件的,ACL,DACL,選定,ACE,的對(duì)象簡(jiǎn)略訪問(wèn)權(quán)限,“高級(jí)〞對(duì)話框顯示詳細(xì)的平安描述符信息,,“權(quán)限〞選項(xiàng)卡,,顯示對(duì)象的所有 DACL，添加、編輯或刪除 ACE,,顯示對(duì)象所有的訪問(wèn)權(quán)限,,“審核〞選項(xiàng)卡,,顯示對(duì)象的 SACL，添加、編輯或刪除 ACE,,“所有者〞選項(xiàng)卡,,顯示對(duì)象所有者的 SID 和改變對(duì)象的所有者,設(shè)置文件的,ACL,21.2.2,設(shè)置文件的,ACL,最正確實(shí)踐,文件類(lèi)型,ACL,設(shè)置,腳本文件,(.a

9、sp, .aspx),Everyone,（讀取及執(zhí)行）,,Administrators,（完全控制）,,System,（完全控制）,被包含文件,,(.inc, .shtm, .shtml),Everyone,（讀取及執(zhí)行）,,Administrators,（完全控制）,,System,（完全控制）,靜態(tài)的內(nèi)容文件,,(.htm, .txt, .gif, .jpg),Everyone,（讀?。?,Administrators,（完全控制）,,System,（完全控制）,對(duì)于 ASP Web 應(yīng)用程序，設(shè)置目錄的 ACL 來(lái)保護(hù) Web 頁(yè)面,,對(duì)于 ASP.NET Web 應(yīng)用程序，使用配置文件

10、中的“Location〞節(jié)和“Authorization〞節(jié)來(lái)保護(hù) Web 頁(yè)面,21.2.3 最正確實(shí)踐,,課堂練習(xí) 查看和設(shè)置文件的,ACL,教師,,查看 ManualAcl.htm 文件的 ACL,,創(chuàng)立一個(gè)新的計(jì)算機(jī)用戶(hù)賬戶(hù),,修改 ManualAcl.htm 文件的ACL設(shè)置,,學(xué)生,,使用 Internet Explorer 訪問(wèn)ManualAcl.htm,,時(shí)間：10 分鐘,21.2.4,課堂練習(xí) 查看和設(shè)置文件的,ACL,危險(xiǎn)的,DACL,設(shè)置,NULL DACL,沒(méi)有為對(duì)象提供任何免受攻擊的保護(hù),,一些危險(xiǎn)的,ACE,類(lèi)型,,Everyone (WRITE_DAC),,

11、Everyone (WRITE_OWNER),,Everyone (FILE_ADD_FILE),,Everyone (DELETE),,Everyone (FILE_DELETE_CHILD),,Everyone (GENERIC_ALL),21.2.5,危險(xiǎn)的,DACL,設(shè)置,第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的平安,保護(hù)文件平安的概述,,Windows 訪問(wèn)控制,,以編程方式創(chuàng)立 ACL,,保護(hù) ASP.NET Web 應(yīng)用程序文件,以編程方式創(chuàng)立 ACL,使用,Cacls.exe,設(shè)置,ACL,,WMI,概述,,使用,WMI,設(shè)置,ACL,,演示 使用,WMI,設(shè)置,ACL,21.3

12、以編程方式創(chuàng)立 ACL,使用,Cacls.exe,設(shè)置,ACL,查看或修改 DACL 的控制臺(tái)程序,,語(yǔ)法,,,,,例如,Cacls,filename,[/T] [/E] [/C] [/G user:perm] [/R user] [/P user:perm] [/D],21.3.1,使用,Cacls.exe,設(shè)置,ACL,#,撤銷(xiāo),Everyone,對(duì),ACL2.htm,的訪問(wèn)權(quán)限,,Cacls ACL2.htm /E /R Everyone,,,#,添加,Everyone,對(duì),ACL2.htm,的完全訪問(wèn)控制權(quán)限,,Cacls ACL2.htm /G Everyone:F,,使用,Cacl

13、s.exe,設(shè)置,ACL,局限性,,只能編輯文件和目錄的 ACL,,只能拒絕或賦予用戶(hù)以下權(quán)限：讀取、寫(xiě)入、修改和完全控制,,不支持批處理腳本的 /Y 開(kāi)關(guān),,不支持 SACL〔System Access Control List，系統(tǒng)訪問(wèn)控制列表〕設(shè)置,21.3.1,使用,Cacls.exe,設(shè)置,ACL,WMI,概述,WMI〔 Windows Management Instrumentation ，Windows 管理標(biāo)準(zhǔn)〕,,一組用于管理計(jì)算機(jī)、設(shè)備和子系統(tǒng)的通用接口,,可用于配置 IIS、文件設(shè)置、平安性設(shè)置和Active Directory,,程序訪問(wèn),,WMI COM 接口,,.N

14、ET 的 System.Management 命名空間,,基于查詢(xún)的信息檢索,21.3.2 WMI,概述,使用,WMI,設(shè)置,ACL,WMI COM 對(duì)象是根接口,,使用 moniker 創(chuàng)立一個(gè)實(shí)例,,執(zhí)行查詢(xún),,創(chuàng)立新的實(shí)例,,WMI 使用一種類(lèi)似于 SQL 的查詢(xún)語(yǔ)法，通過(guò)使用WMI COM 根對(duì)象可以執(zhí)行這種語(yǔ)法,,WMI COM moniker 也可以用于訪問(wèn)文件屬性,代碼例如,21.3.3,使用 WMI 設(shè)置 ACL,21.3.4 演示 使用,WMI,設(shè)置,ACL,演示 使用,WMI,設(shè)置,ACL,查看 SetAcl.vbs 腳本文件的平安描述符,,查看 ScriptAc

15、l.htm文件的平安描述符,,運(yùn)行 SetAcl.vbs 腳本并查看 SetAcl.vbs 的平安描述符,第21章 保護(hù)文件系統(tǒng)數(shù)據(jù)的平安,保護(hù)文件平安的概述,,Windows 訪問(wèn)控制,,以編程方式創(chuàng)立 ACL,,保護(hù) ASP.NET Web 應(yīng)用程序文件,保護(hù),ASP.NET Web,應(yīng)用程序文件,.config,文件概述,,ASP.NET,請(qǐng)求處理,,HttpForbiddenHandler,類(lèi),,演示 使用,HttpForbiddenHandler,類(lèi),21.4,保護(hù) ASP.NET Web 應(yīng)用程序文件,.config,文件概述,ASP.NET Web,應(yīng)用程序的配置采用,XM

16、L,文件,,探測(cè)文件的改變和應(yīng)用新的設(shè)置,,,,元素,,,Machine.config,配置應(yīng)用整個(gè)計(jì)算機(jī)設(shè)置,,%WinDir%\Microsoft.NET\Framework\,version,\Config,,Web.config,配置應(yīng)用程序,,覆蓋或重寫(xiě),Machine.config,文件設(shè)置,,使用,System.Configuration,類(lèi)來(lái)讀取配置,21.4.1,.config 文件概述,aspnet_wp.exe,,HttpModule,HttpModule,HttpHandler,,(*.aspx),HttpHandler,,(*.asmx),ASP.NET,請(qǐng)求處理,H

17、ttpModules 響應(yīng)事件,,HttpHandlers 響應(yīng)文件類(lèi)型的請(qǐng)求,,HttpModules 和 HttpHandlers 都在 .config 文件中設(shè)置,, 和 ,Inetinfo.exe,aspnet_isapi.dll,超文本傳輸協(xié)議,(HTTP),請(qǐng)求,21.4.2,ASP.NET 請(qǐng)求,處理,HttpForbiddenHandler,類(lèi),否認(rèn)文件訪問(wèn)的 HttpHandler,,Machine.config 文件默認(rèn)拒絕訪問(wèn)包含以下文件類(lèi)型,,.asax、.ascx、.config、.cs、.csproj、.vb、.vbproj、 .webinfo、.asp、.lic

18、x、.resx、.resources,,Web.config 可以擴(kuò)展這些默認(rèn)拒絕訪問(wèn)的文件類(lèi)型,,查看或設(shè)置應(yīng)用程序映射,,翻開(kāi) Internet 信息效勞管理器,,右擊虛擬目錄，點(diǎn)擊〞屬性〞,,點(diǎn)擊“配置〞，翻開(kāi)“應(yīng)用程序配置〞對(duì)話框,1,2,3,21.4.3,HttpForbiddenHandler 類(lèi),,演示 使用,HttpForbiddenHandler,類(lèi),測(cè)試對(duì),.txt,類(lèi)型文件的訪問(wèn),,使用,HttpForbiddenHandler,,限制對(duì),.txt,類(lèi)型文件的訪問(wèn),,再次測(cè)試對(duì),.txt,類(lèi)型文件的訪問(wèn),21.4.4 演示 使用,HttpForbiddenHandler,類(lèi),回憶,學(xué)習(xí)完本章后，將能夠：,,解釋保護(hù) Web 應(yīng)用程序執(zhí)行文件的理由,,使用 Windows 訪問(wèn)控制列表〔ACL〕保護(hù)文件系統(tǒng)數(shù)據(jù),,使用腳本設(shè)置文件和目錄的 ACL,,設(shè)置 ASP.NET 的 Web.config 文件來(lái)限制對(duì) ASP.NET Web 應(yīng)用程序文件的訪問(wèn),,實(shí)驗(yàn) 使用 ACL 來(lái)保護(hù)文件的平安,練習(xí) 1 創(chuàng)立新的測(cè)試用戶(hù),,練習(xí) 2 確保 ASP.NET Web 應(yīng)用程序的平安,