iis、asp.和sqlserver的安全性問題

1、IIS、ASP.NET和SQLServer的安全性問題SQLServer、In ternet信息服務器和ASP.NET引擎都提供了堅實可靠的安全模型，它們可以很好地在一起協(xié)同工作。為了保證用戶數(shù)據(jù)和應用程序的安全， Microsoft 還為每項服務的默認設置設置了相當?shù)偷闹怠?大多數(shù)開發(fā)人員面臨的 挑戰(zhàn)是如何使用SQLServer、IIS和ASP.NET在應用程序和數(shù)據(jù)之間設置適當?shù)?信任級別，而不會留下可被別人輕易攻入的安全漏洞。由于涉及三類服務(SQLServer、IIS和ASP.NET，所以需要采取三個關(guān)鍵的步驟來確保解決方案 的安全。本部分討論一種為Web應用程序設置足夠權(quán)限和信任級別

2、的更常用(且 可靠)的方法。定義DotNetKB自定義IIS用戶帳戶保證Web應用程序安全性的最安全的方法是定義一個權(quán)限有限的自定義用 戶，然后對IIS進行配置，使之能夠在執(zhí)行您的Wet應用程序時能作為自定義用 戶運行。這是相當容易實現(xiàn)的，可以確保訪問您的Web應用程序的每個訪問者都 只具有您希望他們具有的權(quán)限。第一步是生成一個新的 Windows用戶(本例中稱為DotNetKB),為其設置一 個增強型密碼，然后將其添加到 Windows來賓組(GuestWindowsGroup)中。同時， 確保選中 Passwordneverexpires( 密碼永不過期)和 Usercannotchang

3、epassword(用戶不能更改密碼)復選框。這樣將生成一個權(quán)限有限的用戶，在IIS中運行您的Web應用程序時，您可以將其用作標識授權(quán)DotNetKB用戶帳戶訪問SQLServer然后，您需要為該自定義用戶授予訪問數(shù)據(jù)庫(DotNetKB)的相應權(quán)限。為此, 您可以使用 MicrosoftSQLServer 企業(yè)管理器或編寫一個自定義腳本，以創(chuàng)建一 個這樣的用戶并授予其訪問特定對象的權(quán)限。本文介紹如何使用SQLServer企業(yè) 管理器完成此操作。注意：盡管VisualStudio.NETXXXX具有與SQLServer兼容的許多強大的集 成功能，但也不允許從 VisualStudio.NETX

4、XXX 中輕松管理用戶和用戶權(quán)限。在 大型的組織和團隊中，這些高級任務通常由數(shù)據(jù)庫管理員完成。因此，啟動SQLServer企業(yè)管理器之后，您可以按照以下步驟將自定義用戶 (DotNetKB) 添加數(shù)據(jù)庫中。?在左側(cè)的樹視圖中，展開節(jié)點以顯示DotNetKB數(shù)據(jù)庫。在我的計算機上， 樹視圖的結(jié)構(gòu)如下：ConsoleRootSQLServerGroup(LOCAL)(WindowsNT)DatabasesDotNetKB。?然后，在數(shù)據(jù)庫下的 Users (用戶)節(jié)點上單擊鼠標右鍵，并選擇NewDatabaseUser. （ 新 建 數(shù) 據(jù) 庫 用 戶 . ） 。 顯 示 DatabaseUser

5、Properties-NewUser （數(shù)據(jù)庫用戶屬性 - 新建用戶）對話框時，從 Loginname （登錄名）下拉框中選擇（）。?顯示 SQLServerLoginProperties-NewLogin （SQLServer登錄屬性-新建登 錄）對話框時，選擇General （常規(guī)）選項卡，并在Name（名稱）輸入框中輸入 DotNetKB。確保選中 WindowsAuthentication （Windows驗證）單選按鈕，并從 Domain （域）下拉框中選擇自定義用戶帳戶所在的計算機的名稱。然后從 Database （數(shù)據(jù)庫）下拉框中選擇 DotNetKB。?現(xiàn)在，選擇 Databa

6、ses （數(shù)據(jù)庫）選項卡，在對話框頂部的列表中找到 DotNetKB數(shù)據(jù)庫并選中它。然后，確保選中對話框底部列表中的 public （公共） 角色。最后，單擊對話框底部的0K（確定）按鈕，保存您的更改。然后，您需要為DotNetKB數(shù)據(jù)庫中的所有存儲過程和自定義函數(shù)添加執(zhí)行權(quán)限。為此，您 只需為public （公共）角色授予權(quán)限。您可以將權(quán)限授予DotNetKB用戶，這樣將使以后的登錄（當這些用戶獲得訪問DotNetKB的權(quán)）更容易執(zhí)行存儲過程，而不需要為每個用戶添加新的權(quán)限。下面是為DotNetKB數(shù)據(jù)庫中的存儲過程和函數(shù)授予執(zhí)行權(quán)限的步驟：?突出顯示樹視圖中DotNetKB數(shù)據(jù)庫下的Use

7、rs （用戶）節(jié)點，以顯示此 數(shù)據(jù)庫的用戶列表。 找到 DotNetKB 用戶并在其上雙擊， 打開 DatabaseUsersProperties （數(shù)據(jù)庫用戶屬性）對話框。? 突出顯示（選中） public （公共）角色時，單擊 Properties.（屬性. ）按鈕，打開 DatabaseRoleProperties （數(shù)據(jù)庫角色屬性）對話框。然后單擊 Permissions.（權(quán)限 . ）按鈕，顯示數(shù)據(jù)庫對象和權(quán)限設置列表。? 選中對話框頂部 Databaserole （數(shù)據(jù)庫角色）下拉列表中的 public （公 共）角色之后， 找到為此數(shù)據(jù)庫定義的所有存儲過程和自定義函數(shù) （可能需要

8、展 開對話框才能看到全名），并確保選中各項旁邊的 EXECUTE執(zhí)行）復選框。您 可能會發(fā)現(xiàn)某些系統(tǒng)對象的其他一些復選框也被選中了，請不要更改這些選項。?最后，設置所有的EXECUTE執(zhí)行）權(quán)限后，單擊OK（確定）按鈕，保存 更改并關(guān)閉對話框。依次單擊 OK（確定）按鈕，直到所有對話框均被關(guān)閉。至此，您已為IIS創(chuàng)建了自定義用戶，并設置了該用戶在SQLServer中的相 應權(quán)限。現(xiàn)在，您需要在 ASP.NETWe項目中進行一個配置更改，確保 ASP.NET 使用同一個用戶帳戶執(zhí)行對 SQLServer的所有調(diào)用。設置您的ASP.NET應用程序以模擬DotNetKB用戶為IIS下運行的ASP.NETWe應用程序生成堅實可靠的配置的最后一個步驟 是：配置ASP.NETWe應用程序，使之能夠接受來自IIS的Windows用戶標識并 能用于訪問其他操作系統(tǒng)資源。為此，您只需在 web.config 根文件中輸入一行 代碼。修改后的 web.config 文