De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net

More documents

Recommendations

Info

Utilice el principio de privilegio mínimo en la cuenta del proceso ASP.NET. Evite conceder a la cuenta del proceso ASP.NET el privilegio "Actuar como parte del sistema operativo" para habilitar las llamadas a la API LogonUser. Determine cuál es el código que requiere privilegios adicionales e inclúyalo en componentes revisados, que se ejecutan en aplicaciones de Servicios Empresariales fuera del proceso. Más información Para obtener más información acerca del acceso a los recursos de la red desde ASP.NET y de cómo elegir y configurar una cuenta adecuada para ejecutar ASP.NET, consulte el capítulo 8, "Seguridad de ASP.NET." Utilizar la autenticación de Windows Cuando utiliza la autenticación de Windows para conectarse a SQL Server desde una aplicación ASP.NET (o servicio Web o componente remoto alojado por ASP.NET), dispone de las siguientes opciones: Utilizar la identidad del proceso ASP.NET. Utilizar identidades fijas en ASP.NET. Utilizar componentes revisados. Utilizar la API LogonUser y suplantar una identidad específica. Utilizar la identidad del llamador original. Utilizar la cuenta de usuario de Internet anónimo. Recomendación Se recomienda configurar la identidad del proceso ASP.NET local cambiando la contraseña por un valor conocido en el servidor Web y crear una cuenta reflejada en el servidor de base de datos mediante la creación de un usuario local con el mismo nombre y contraseña. A continuación se ofrecen más detalles acerca de las diversas opciones. Utilizar la identidad del proceso ASP.NET Si se conecta a SQL Server directamente desde una aplicación ASP.NET (o servicio Web o componente remoto alojado por ASP.NET), utilice la identidad del proceso ASP.NET. Se realiza con frecuencia y la aplicación define el límite de confianza, es decir, que la base de datos confía a la cuenta ASP.NET el acceso a objetos de la base de datos. Tiene tres opciones: Utilizar cuentas locales ASPNET reflejadas. Utilizar cuentas locales personalizadas reflejadas. Utilizar una cuenta de dominio personalizada. Utilizar cuentas locales ASPNET reflejadas Es la opción más simple y la que se suele utilizar cuando se es propietario de la base de datos de destino (y se puede controlar la administración de las cuentas locales del servidor de base de datos). Con esta opción se utiliza la cuenta local ASPNET con privilegios mínimos para ejecutar ASP.NET y crear a continuación una cuenta duplicada en el servidor de base de datos. Nota: Esta opción tiene la ventaja añadida de que funciona en dominios no confiables y a través de servidores de seguridad. Es posible que el servidor de seguridad no abra puertos suficientes para admitir la autenticación de Windows.
Utilizar cuentas locales personalizadas reflejadas Esta opción es igual que la anterior excepto en que no se utiliza la cuenta ASPNET personalizada. Lo que significa dos cosas: Será necesario crear una cuenta local personalizada con los permisos y privilegios adecuados. Para obtener más información, consulte "Cómo crear una cuenta personalizada para ejecutar ASP.NET" en la sección Referencia de esta guía. Ya no utiliza la cuenta personalizada creada por el proceso de instalación de .NET Framework. Puede ser que en su empresa se siga la política de no utilizar cuentas de instalación personalizadas. Esto podría aumentar la seguridad de la aplicación. Para obtener más información, consulte la página de Sans Top 20, "G2 — Accounts with No Passwords or Weak Passwords" (http://www.sans.org/top20.htm) (en inglés). Utilizar una cuenta de dominio personalizada Esta opción es similar a la anterior, excepto en que se utiliza una cuenta de dominio con privilegios mínimos en lugar de una cuenta local. Se supone que los equipos cliente y servidor están en los mismos dominios de confianza. La principal ventaja es que los equipos no comparten las credenciales, sino que únicamente proporcionan acceso a la cuenta de dominio. Además, la administración es más sencilla con cuentas de dominio. Implementar la identidad del proceso ASPNET reflejada Para utilizar cuentas reflejadas para conectarse desde ASP.NET a una base de datos, es necesario realizar las acciones siguientes: Utilice el Administrador de usuarios en el servidor Web para restablecer la contraseña de la cuenta ASPNET a un valor de contraseña rigurosa conocido. Importante: Si cambia la contraseña de ASPNET por un valor conocido, la contraseña de la Autoridad de seguridad local (LSA) del equipo local ya no coincidirá con la contraseña de la cuenta almacenada en la base de datos del Administrador de cuentas de seguridad (SAM) de Windows. Si necesita recuperar el valor predeterminado AutoGenerate, debe realizar lo siguiente: Ejecute Aspnet_regiis.exe para restablecer la configuración predeterminada de ASP.NET. Para obtener más información, consulte el artículo Q306005, "HOWTO: Repair IIS Mapping After You Remove and Reinstall IIS" (en inglés), en Microsoft Knowledge Base. Cuando lo haya hecho, obtendrá una nueva cuenta y un nuevo identificador de seguridad (SID) de Windows. Los permisos de esta cuenta tienen establecidos valores predeterminados. Como resultado, es necesario volver a aplicar de forma explícita los permisos y privilegios que había establecido originalmente en la antigua cuenta ASPNET. Establezca de forma explícita la contraseña en el archivo Machine.config.
Page 1 and 2: De la Seguridad del acceso a datos
Page 3 and 4: 3. Asegurar datos que se extienden
Page 5: autenticación de SQL en la aplicac
Page 9 and 10: Empresariales (COM+) que se ejecute
Page 11 and 12: - o bien - SqlConnectionString = "S
Page 13 and 14: pantalla de SQL Server (http://www.
Page 15 and 16: {Insert figure: CH12 - SQL Applicat
Page 17 and 18: Conectar con privilegios mínimos C
Page 19 and 20: e. Configure permisos del modo en q
Page 21 and 22: Si se configura una aplicación Web
Page 23 and 24: Para obtener un tutorial de impleme
Page 25 and 26: Utilizar las ACL para proteger la c
Page 27 and 28: Más información Para obtener todo
Page 29 and 30: Solución Se pueden utilizar las si
Page 31 and 32: Server\MSSQL\LOG. Puede utilizar cu
Page 33: Cuando utilice la autenticación me

De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?