SQL Server、Internet 信息服務器和 ASP.Net 引擎都提供了堅實可靠的安全模型,它們可以很好地在一起協同工作。為了保證用戶數據和應用程序的安全,Microsoft 還為每項服務的默認設置設置了相當低的值。
大多數開發人員面臨的挑戰是如何使用 SQL Server、IIS 和 ASP.NET 在應用程序和數據之間設置適當的信任級別,而不會留下可被別人輕易攻入的安全漏洞。由於涉及三類服務(SQL Server、IIS 和 ASP.Net),所以需要采取三個關鍵的步驟來確保解決方案的安全。本部分討論一種為 Web 應用程序設置足夠權限和信任級別的更常用(且可靠)的方法。
定義 DotNetKB 自定義 IIS 用戶帳戶
保證 Web 應用程序安全性的最安全的方法是定義一個權限有限的自定義用戶,然後對 IIS 進行配置,使之能夠在執行您的 Web 應用程序時能作為自定義用戶運行。這是相當容易實現的,可以確保訪問您的 Web 應用程序的每個訪問者都只具有您希望他們具有的權限。
第一步是生成一個新的 Windows 用戶(本例中稱為 DotNetKB),為其設置一個增強型密碼,然後將其添加到 Windows 來賓組 (Guest Windows Group) 中。同時,確保選中 Password never expires(密碼永不過期)和 User cannot change passWord(用戶不能更改密碼)復選框。這樣將生成一個權限有限的用戶,在 IIS 中運行您的 Web 應用程序時,您可以將其用作標識(參見圖 1)。
然後,調用 Internet 信息服務器管理員並選擇承載這些網頁的 Web 應用程序。在本例中,您可以選擇承載前文所生成的測試頁的 Web 應用程序 (DotNetKB_WebSite)。在樹視圖中的 Web 應用程序上單擊鼠標右鍵,然後從上下文相關菜單中選擇 PropertIEs...(屬性...)。然後選擇 Directory Security(目錄安全性)並單擊該對話框 Anonymous Access and authentication control(匿名訪問和驗證控制)部分中的 Edit(編輯)按鈕。最後,輸入自定義用戶名 (DotNetKB),取消選擇 Allow IIS to control passWord(允許 IIS 控制密碼)復選框,並輸入該自定義用戶帳戶的密碼。完成所有這些工作之後,單擊 OK(確定)按鈕,將這些更改保存到 IIS 配置數據庫中(參見圖 2)。
