微软认证课程系列教材面向.NET的Web应用程序设计第21章保护文件系统数据的安全

《微软认证课程系列教材面向.NET的Web应用程序设计第21章保护文件系统数据的安全》由会员分享，可在线阅读，更多相关《微软认证课程系列教材面向.NET的Web应用程序设计第21章保护文件系统数据的安全（32页珍藏版）》请在装配图网上搜索。

1、面向面向 .NET.NET 的的 Web Web 应用程序设计应用程序设计n第第1 1章章 Microsoft.NET Microsoft.NET Framework Framework 概述概述n第第2 2章章 使用使用 Microsoft Visual Microsoft Visual Studio.NETStudio.NETn第第3 3章章 使用基于使用基于 Microsoft Microsoft.NET.NET 的开发语言的开发语言n第第4 4章章 创立创立 Microsoft ASP.NET Microsoft ASP.NET Web Web 窗体窗体n第第5 5章章 在在 Micr

2、osoft ASP.NET Microsoft ASP.NET Web Web 窗体中添加代码窗体中添加代码n第第6 6章章 Microsoft ASP.NET Web Microsoft ASP.NET Web 应用程序的跟踪机制应用程序的跟踪机制n第第7 7章章 验证用户输入验证用户输入n第第8 8章章 创立用户控件创立用户控件n第第9 9章章 使用使用 Microsoft Visual Microsoft Visual Studio.NET Studio.NET 访问关系型数据访问关系型数据n第第1010章章 使用使用 Microsoft Microsoft ADO.NET ADO.NE

3、T 访问数据访问数据n第第1111章章 通过通过 Microsoft Microsoft ADO.NET ADO.NET 调用存储过程调用存储过程n第第1212章章 读写读写 XML XML 数据数据n第第1313章章 使用和创立使用和创立 XML XML Web ServiceWeb Servicen第第1414章章 状态管理状态管理n第第1515章章 配置、优化和部配置、优化和部署署 Microsoft ASP.NET Web Microsoft ASP.NET Web 应应用程序用程序n第第1616章章 Web Web 平安性介绍平安性介绍n第第1717章章 Web Web 应用程序平安

4、应用程序平安性规划性规划n第第1818章章 验证用户输入验证用户输入n第第1919章章 Internet Internet 信息效劳信息效劳身份验证身份验证n第第2020章章 保护保护 Web Web 页面平页面平安安第21章保护文件系统数据的平安第22章保护MicrosoftSQLServer的平安第23章保证通信中的机密信息和数据完整性第24章加密、散列和数据签名第25章测试Web站点的平安性面向.NET 的 Web 应用程序设计第第2121章章 保护文件系统数据的平安保护文件系统数据的平安n保护文件平安的概述保护文件平安的概述nWindows Windows 访问控制访问控制n以编程方式

5、创立以编程方式创立 ACL ACLn保护保护 ASP.NET Web ASP.NET Web 应用程序文件应用程序文件保护文件平安的概述保护文件平安的概述nWeb Web 应用程序执行文件应用程序执行文件Implementation FileImplementation File遭到遭到攻击的原因攻击的原因 n保护保护 Web Web 应用程序执行文件应用程序执行文件 21.1 21.1 保护文件平安的概述保护文件平安的概述Web Web 应用程序执行文件应用程序执行文件Implementation FileImplementation File遭到攻击的遭到攻击的原因原因nWeb Web 应

6、用程序执行文件被攻击的理由应用程序执行文件被攻击的理由n效劳器端脚本包含应用程序执行的源代码效劳器端脚本包含应用程序执行的源代码n源代码包含数据库结构、数据库连接字符串、受源代码包含数据库结构、数据库连接字符串、受信任的用户名和密码等机密信息信任的用户名和密码等机密信息n可能导致被攻击的漏洞可能导致被攻击的漏洞nIIS IIS 效劳器没有安装最新的补丁效劳器没有安装最新的补丁n执行文件可能以被变通的方式被访问执行文件可能以被变通的方式被访问n未对配置文件采取保护措施未对配置文件采取保护措施21.1.1 Web 21.1.1 Web 应用程序执行文件应用程序执行文件Implementation

7、FileImplementation File遭到攻击的原因遭到攻击的原因 保护保护 Web Web 应用程序执行文件应用程序执行文件 n文件和目录的文件和目录的 ACL ACLAccess Control ListAccess Control List，访问控制列，访问控制列表表n采用采用 Windows Windows 文件平安性设置文件平安性设置 Web Web 应用程序页面应用程序页面文件或目录的文件或目录的 ACL ACLnIIS IIS 平安性平安性nIIS IIS 包含所有包含所有 Web Web 应用程序的通用访问权限应用程序的通用访问权限nASP.NET ASP.NET 中的

8、中的 Web.config Web.config 文件文件n可以在可以在 ASP.NET ASP.NET 应用程序的应用程序的 Web.config Web.config 文件中设置文件中设置身份验证和授权信息身份验证和授权信息21.1.2 21.1.2 保护保护 Web Web 应用程序执行文件应用程序执行文件 第第2121章章 保护文件系统数据的平安保护文件系统数据的平安n保护文件平安的概述保护文件平安的概述nWindows Windows 访问控制访问控制n以编程方式创立以编程方式创立 ACL ACLn保护保护 ASP.NET Web ASP.NET Web 应用程序文件应用程序文件Wi

9、ndows Windows 访问控制访问控制n平安描述符概述平安描述符概述n设置文件的设置文件的 ACL ACLn最正确实践最正确实践n课堂练习课堂练习 查看和设置文件的查看和设置文件的 ACL ACLn危险的危险的 DACL DACL 设置设置21.2 21.2 Windows Windows 访问控制访问控制n可保护对象是具有平安描述符的可保护对象是具有平安描述符的 Windows Windows 对象对象n文件和目录文件和目录n进程和线程进程和线程n注册表项注册表项nWindows Windows 效劳效劳n本地或远程打印机本地或远程打印机n网络共享对象网络共享对象n目录效劳对象目录效劳

10、对象n命名管道命名管道n进程间同步对象进程间同步对象平安描述符概述平安描述符概述21.2.1 21.2.1 平安描述符概述平安描述符概述平安描述符概述平安描述符概述可保护的可保护的对象对象安全描述符安全描述符所有者所有者 SIDSID域控制器域控制器组组 SIDSID域控制器域控制器DACLSACLACE ACCESS_DENIED_ACEACE ACCESS_DENIED_ACEACE ACCESS_ALLOWED_ACEACE ACCESS_ALLOWED_ACEACE SYSTEM_AUDIT_ACEACE SYSTEM_AUDIT_ACE21.2.1 21.2.1 平安描述符概述平安描

11、述符概述 n平安标示符平安标示符 SIDSIDn表示受信者的惟一标识表示受信者的惟一标识nWindows Windows 域控制器或本地计算机为每个用户账户确定一个域控制器或本地计算机为每个用户账户确定一个 SID SIDn访问控制项访问控制项ACEACEn控制或监视对可保护对象的访问控制或监视对可保护对象的访问n访问控制列表访问控制列表ACLACLn可保护对象的一组访问控制项列表可保护对象的一组访问控制项列表n平安描述符平安描述符n包含可保护对象的所有平安信息包含可保护对象的所有平安信息平安描述符概述平安描述符概述21.2.1 21.2.1 平安描述符概述平安描述符概述 多媒体演示多媒体演示

12、 平安描述符概述平安描述符概述Windows 域域控制器域控制器SIDSIDSIDSID访问访问令牌令牌登录登录n文件或目录的属性对话框文件或目录的属性对话框n“平安选项卡平安选项卡n通常用于描述对象的平安通常用于描述对象的平安描述符描述符n上局部显示对象的上局部显示对象的 DACL DACL，允许添加或删除允许添加或删除 ACE ACEn下局部显示当前选定下局部显示当前选定 的的 ACE ACE 对象访问权限的简略对象访问权限的简略列表列表21.2.2 21.2.2 设置文件的设置文件的 ACLACLDACLDACL选定选定 ACE ACE 的对的对象简略访问权限象简略访问权限n“高级对话框

13、显示详细的平安描述符信息高级对话框显示详细的平安描述符信息n“权限选项卡权限选项卡n显示对象的所有显示对象的所有 DACL DACL，添加、编辑或删除，添加、编辑或删除 ACE ACEn显示对象所有的访问权限显示对象所有的访问权限n“审核选项卡审核选项卡n显示对象的显示对象的 SACL SACL，添加、编辑或删除，添加、编辑或删除 ACE ACEn“所有者选项卡所有者选项卡n显示对象所有者的显示对象所有者的 SID SID 和改变对象的所有者和改变对象的所有者设置文件的设置文件的 ACLACL21.2.2 21.2.2 设置文件的设置文件的 ACLACL最正确实践最正确实践文件类型文件类型文件

14、类型文件类型ACL ACL ACL ACL 设置设置设置设置脚本文件脚本文件(.asp,.aspx)(.asp,.aspx)Everyone（读取及执行）Administrators（完全控制）System（完全控制）被包含文件被包含文件(.inc,.shtm,.shtml)(.inc,.shtm,.shtml)Everyone（读取及执行）Administrators（完全控制）System（完全控制）静态的内容文件静态的内容文件(.htm,.txt,.gif,.jpg)(.htm,.txt,.gif,.jpg)Everyone（读取）Administrators（完全控制）System（完

15、全控制）n对于对于 ASP Web ASP Web 应用程序，设置目录的应用程序，设置目录的 ACL ACL 来保护来保护 Web Web 页页面面n对于对于 ASP.NET Web ASP.NET Web 应用程序，使用配置文件中的应用程序，使用配置文件中的“Location“Location节和节和“Authorization“Authorization节来保护节来保护 Web Web 页页面面21.2.3 21.2.3 最正确实践最正确实践课堂练习课堂练习 查看和设置文件的查看和设置文件的 ACLACLn教师教师n查看查看 ManualAcl.htm ManualAcl.htm 文件的文

16、件的 ACL ACLn创立一个新的计算机用户账户创立一个新的计算机用户账户n修改修改 ManualAcl.htm ManualAcl.htm 文件的文件的ACLACL设置设置n学生学生n使用使用 Internet Explorer Internet Explorer 访问访问ManualAcl.htm ManualAcl.htm n时间：时间：10 10 分钟分钟21.2.4 21.2.4 课堂练习课堂练习 查看和设置文件的查看和设置文件的 ACLACL危险的危险的 DACL DACL 设置设置nNULL DACL NULL DACL 没有为对象提供任何免受攻击的保护没有为对象提供任何免受攻击

17、的保护n一些危险的一些危险的 ACE ACE 类型类型lEveryone(WRITE_DAC)lEveryone(WRITE_OWNER)lEveryone(FILE_ADD_FILE)lEveryone(DELETE)lEveryone(FILE_DELETE_CHILD)lEveryone(GENERIC_ALL)21.2.5 21.2.5 危险的危险的 DACL DACL 设置设置第第2121章章 保护文件系统数据的平安保护文件系统数据的平安n保护文件平安的概述保护文件平安的概述nWindows Windows 访问控制访问控制n以编程方式创立以编程方式创立 ACL ACLn保护保护 A

18、SP.NET Web ASP.NET Web 应用程序文件应用程序文件以编程方式创立以编程方式创立 ACL ACLn使用使用 Cacls.exe Cacls.exe 设置设置 ACLACLnWMI WMI 概述概述n使用使用 WMI WMI 设置设置 ACLACLn演示演示 使用使用 WMI WMI 设置设置 ACLACL21.3 21.3 以编程方式创立以编程方式创立 ACL ACL使用使用 Cacls.exe Cacls.exe 设置设置 ACLACLn查看或修改查看或修改 DACL DACL 的控制台程序的控制台程序n语法语法n例如例如Cacls filename/T/E/C/G use

19、r:perm/R user/P user:perm/D21.3.1 21.3.1 使用使用 Cacls.exe Cacls.exe 设置设置 ACLACL#撤销 Everyone 对 ACL2.htm 的访问权限Cacls ACL2.htm/E/R Everyone#添加 Everyone 对 ACL2.htm 的完全访问控制权限Cacls ACL2.htm/G Everyone:F 使用使用 Cacls.exe Cacls.exe 设置设置 ACLACLn局限性局限性n只能编辑文件和目录的只能编辑文件和目录的 ACL ACLn只能拒绝或赋予用户以下权限：读取、写入、修改只能拒绝或赋予用户以下

20、权限：读取、写入、修改和完全控制和完全控制n不支持批处理脚本的不支持批处理脚本的/Y /Y 开关开关n不支持不支持 SACL SACLSystem Access Control ListSystem Access Control List，系统访问，系统访问控制列表设置控制列表设置21.3.1 21.3.1 使用使用 Cacls.exe Cacls.exe 设置设置 ACLACLWMI WMI 概述概述nWMIWMI Windows Management Instrumentation Windows Management Instrumentation，Windows Windows 管理标

21、准管理标准n一组用于管理计算机、设备和子系统的通用接口一组用于管理计算机、设备和子系统的通用接口 n可用于配置可用于配置 IIS IIS、文件设置、平安性设置和、文件设置、平安性设置和Active Active DirectoryDirectoryn程序访问程序访问nWMI COM WMI COM 接口接口n.NET.NET 的的 System.Management System.Management 命名空间命名空间n基于查询的信息检索基于查询的信息检索21.3.2 WMI 21.3.2 WMI 概述概述使用使用 WMI WMI 设置设置 ACLACLnWMI COM WMI COM 对象是

22、根接口对象是根接口n使用使用 moniker moniker 创立一个实例创立一个实例n执行查询执行查询n创立新的实例创立新的实例nWMI WMI 使用一种类似于使用一种类似于 SQL SQL 的查询语法，通过使用的查询语法，通过使用WMI COM WMI COM 根对象可以执行这种语法根对象可以执行这种语法nWMI COM moniker WMI COM moniker 也可以用于访问文件属性也可以用于访问文件属性代码例如代码例如21.3.3 21.3.3 使用使用 WMI WMI 设置设置 ACL ACL21.3.4 21.3.4 演示演示 使用使用 WMI WMI 设置设置 ACLACL

23、演示演示 使用使用 WMI WMI 设置设置 ACLACL1.1.查看查看 SetAcl.vbs SetAcl.vbs 脚本文件的平安描述符脚本文件的平安描述符2.2.查看查看 ScriptAcl.htm ScriptAcl.htm文件的平安描述符文件的平安描述符3.3.运行运行 SetAcl.vbs SetAcl.vbs 脚本并查看脚本并查看 SetAcl.vbs SetAcl.vbs 的平安描述符的平安描述符第第2121章章 保护文件系统数据的平安保护文件系统数据的平安n保护文件平安的概述保护文件平安的概述nWindows Windows 访问控制访问控制n以编程方式创立以编程方式创立 A

24、CL ACLn保护保护 ASP.NET Web ASP.NET Web 应用程序文件应用程序文件保护保护 ASP.NET Web ASP.NET Web 应用程序文件应用程序文件n.config.config 文件概述文件概述nASP.NET ASP.NET 请求处理请求处理nHttpForbiddenHandler HttpForbiddenHandler 类类n演示演示 使用使用HttpForbiddenHandler HttpForbiddenHandler 类类21.4 21.4 保护保护 ASP.NET Web ASP.NET Web 应用程序文件应用程序文件.config.conf

25、ig 文件概述文件概述nASP.NET Web ASP.NET Web 应用程序的配置采用应用程序的配置采用 XML XML 文件文件l探测文件的改变和应用新的设置l 元素n Machine.config Machine.config 配置应用整个计算机设置配置应用整个计算机设置l%WinDir%Microsoft.NETFrameworkversionConfignWeb.config Web.config 配置应用程序配置应用程序l覆盖或重写 Machine.config 文件设置n使用使用 System.Configuration System.Configuration 类来读取配置类

26、来读取配置21.4.1 21.4.1 .config.config 文件概述文件概述aspnet_wp.exeaspnet_wp.exeHttpModuleHttpModuleHttpModuleHttpModuleHttpHandlerHttpHandler(*.aspx)(*.aspx)HttpHandlerHttpHandler(*.asmx)(*.asmx)ASP.NET ASP.NET 请求处理请求处理nHttpModules HttpModules 响应事件响应事件nHttpHandlers HttpHandlers 响应文件类型的请求响应文件类型的请求nHttpModules H

27、ttpModules 和和 HttpHandlers HttpHandlers 都在都在.config .config 文件中设置文件中设置n 和和 Inetinfo.exeInetinfo.exeaspnet_isapi.dllaspnet_isapi.dll超文本传输协议(HTTP)请求21.4.2 21.4.2 ASP.NET ASP.NET 请求请求处理处理HttpForbiddenHandler HttpForbiddenHandler 类类n否认文件访问的否认文件访问的 HttpHandler HttpHandlernMachine.config Machine.config 文件

28、默认拒绝访问包含以下文件类文件默认拒绝访问包含以下文件类型型n.asax.asax、.ascx.ascx、.config.config、.cs.cs、.csproj.csproj、.vb.vb、.vbproj.vbproj、.webinfo.webinfo、.asp.asp、.licx.licx、.resx.resx、.resources.resourcesnWeb.config Web.config 可以扩展这些默认拒绝访问的文件类型可以扩展这些默认拒绝访问的文件类型n查看或设置应用程序映射查看或设置应用程序映射n翻开翻开 Internet Internet 信息效劳管理器信息效劳管理器n右

29、击虚拟目录，点击属性右击虚拟目录，点击属性 n点击点击“配置，翻开配置，翻开“应用程序配置应用程序配置对话框对话框1 12 23 321.4.3 21.4.3 HttpForbiddenHandler HttpForbiddenHandler 类类演示演示 使用使用 HttpForbiddenHandler HttpForbiddenHandler 类类1.1.测试对测试对 .txt.txt 类型文件的访问类型文件的访问2.2.使用使用 HttpForbiddenHandlerHttpForbiddenHandler 限制对限制对 .txt.txt 类类型文件的访问型文件的访问3.3.再次测试

30、对再次测试对 .txt.txt 类型文件的访问类型文件的访问21.4.4 21.4.4 演示演示 使用使用HttpForbiddenHandler HttpForbiddenHandler 类类回忆回忆学习完本章后，将能够：学习完本章后，将能够：解释保护解释保护 Web Web 应用程序执行文件的理由应用程序执行文件的理由使用使用 Windows Windows 访问控制列表访问控制列表ACLACL保护文件系统数保护文件系统数据据使用脚本设置文件和目录的使用脚本设置文件和目录的 ACL ACL设置设置 ASP.NET ASP.NET 的的 Web.config Web.config 文件来限制对文件来限制对 ASP.NET ASP.NET Web Web 应用程序文件的访问应用程序文件的访问 实验实验 使用使用 ACL ACL 来保护文件的平安来保护文件的平安 n练习练习 1 1 创立新的测试用户创立新的测试用户 n练习练习 2 2 确保确保 ASP.NET Web ASP.NET Web 应用程序的平应用程序的平安安