732 Kapitel 13: Konfigurieren einer Webdiensteinfrastruktur
Für die Variablen gilt dasselbe wie bei Zulassen-Regeln. Der folgende Befehl erstellt eine
Verweigern-Regel für die Rollen Admin und Guest sowie für die Benutzer UserA und UserB,
wobei die Regel auf die Verben
GET und POST angewendet wird:
%SystemRoot%\system32\inetsrv\appcmd set config
/section:system.webServer/security/authorization
/+"[accessType='Deny',roles='Admin,Guest',users='UserA,UserB',verbs='GET,POST']"
Wenn Sie eine Regel im Internetinformationsdienste-Manager bearbeiten wollen, gehen Sie
ganz ähnlich vor wie beim Erstellen einer Regel, allerdings ändern Sie die Einstellungen, die
Sie vorher angegeben haben. Auf der Befehlszeile bearbeiten Sie eine Regel, indem Sie den
Parameter
accessType ändern. Zum Beispiel ändert der folgende Befehl eine Verweigern-
Regel für alle Benutzer in eine Zulassen-Regel für alle Benutzer:
%SystemRoot%\system32\inetsrv\appcmd set config /section:authorization
/[accessType='Deny',users='*'].accessType:Allow
Und der nächste Befehl ändert eine Verweigern-Regel für anonyme Benutzer in eine Ver -
weigern-Regel, die nur für UserA und UserB gilt:
%SystemRoot%\system32\inetsrv\appcmd set config /section:authorization
/[accessType='Deny',users='?'].users:User1,User2
Weitere Informationen Konfigurieren der Autorisierung
Weitere Informationen über die Konfiguration der Autorisierung finden Sie unter
http://technet.microsoft.com/de-de/library/cc772206.aspx; folgen Sie dort den Links.
Regelvererbung
Autorisierungsregeln werden automatisch an Objekte auf untergeordneten Ebenen ver-
erbt. Das ist nützlich, wenn Ihre Website und Webinhalte hierarchisch organisiert sind
und sich daran orientieren, wer die vorgesehenen Benutzer oder Gruppen sind. Die Spalte
Eintragstyp verrät, ob eine Regel von einer übergeordneten Ebene geerbt oder lokal defi-
niert wurde. Der Internetinformationsdienste-Manager hindert Sie automatisch daran,
Duplikate von Regeln zu erstellen. Sie können Regeln auf beliebigen Ebenen löschen,
auch die Eintragstypen Geerbt und Lokal.
Schützen von Anwendungen mit ASP.NET
Auf der Anwendungsebene beschäftigt sich die Websicherheit hauptsächlich damit, Seiten
zu schützen, sodass unautorisierte Benutzer nicht darauf zugreifen können. Es empfiehlt sich
außerdem zu verfolgen, wer die Seite angefordert hat, sodass Sie entweder Maßnahmen er-
greifen können, falls unautorisierter Zugriff versucht wird, oder die Seite für einen autori-
sierten Benutzer anpassen können. In beiden Fällen müssen Sie die Herkunft jeder Anforde-
rung identifizieren und Regeln definieren, wer auf welche Seiten zugreifen darf.
Ein Webserver identifiziert Aufrufer mithilfe der Authentifizierung. Wenn ein Aufrufer iden-
tifiziert ist, entscheidet die Autorisierung darüber, welche Seiten sich der Aufrufer ansehen
darf. ASP.NET unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsmodel-
len. Wenn Sie die Windows-Authentifizierung wählen, greift ASP.NET auf IIS 7.0 zurück,
Lektion 5: Konfigurieren von Websiteauthentifizierung und -berechtigungen 733
um den Aufrufer zu authentifizieren. IIS 7.0 stellt ASP.NET die Identität des Aufrufers zur
Verfügung.
Nehmen wir an, die Windows-Authentifizierung ist aktiviert und Don Hall fordert
eine .aspx-Datei an. IIS 7.0 authentifiziert Don und leitet die Anforderung zusammen mit
seinem Zugriffstoken an ASP.NET weiter. ASP.NET stellt anhand des Tokens sicher, dass
Don die Berechtigung hat, auf die angeforderte Seite zuzugreifen. ASP.NET macht das
Token auch für die Anwendung verfügbar, die die Anforderung verarbeitet. Daher kann die
Anwendung die Identität von Don Hall annehmen. Auf diese Weise wird verhindert, dass
Code, der im Rahmen der Anforderung ausgeführt wird, auf Ressourcen zugreift, für die
Don keine Berechtigung hat.
.NET-Vertrauensebenen
In der Standardeinstellung laufen Anwendungen, die auf ASP.NET basieren, in der .NET-
Vertrauensebene Full (Internal). Der Code kann dann alles tun, was dem Konto erlaubt ist,
unter dem er ausgeführt wird. Sie können aber auch einstellen, dass eine Anwendung auf
einer niedrigeren .NET-Vertrauensebene ausgeführt wird, wenn es ihr beispielsweise ver-
boten sein soll, unverwaltete Routinen aufzurufen.
.NET-Anwendungen laufen auf einer der folgenden Vertrauensebenen:
■ Full (Internal) Die Anwendung kann alles tun, was dem Konto erlaubt ist, unter
dem sie ausgeführt wird.
■ High Ähnelt der Vertrauensebene Full, allerdings sind der Anwendung folgende
Operationen verboten: unverwalteten Code aufrufen, Serviced-Components aufrufen,
in das Ereignisprotokoll schreiben, auf Nachrichtenwarteschlangendienste zugreifen
und auf ODBC-, OLEDB- oder Oracle-Datenquellen zugreifen. Die Vertrauensebene
High bietet Zugriff auf die meisten Konfigurationsaktionen auf dem Server. Sie ist für
Webanwendungen gedacht, die vertrauenswürdig sind und sorgfältig getestet wurden.
■ Medium Entspricht der Vertrauensebene High, allerdings sind der Anwendung
folgende Operationen verboten: auf Dateien außerhalb des Verzeichnisses der An-
wendung zugreifen, auf die Registrierung zugreifen und Netzwerk- oder Webdienst-
aufrufen durchführen. Die Vertrauensebene Medium definiert zusätzliche Einschrän-
kungen für Webanwendungen, die nicht auf das Dateisystem oder die Registrierung
zuzugreifen brauchen.
■ Low Entspricht der Vertrauensebene Medium, allerdings sind der Anwendung fol-
gende Operationen verboten: in das Dateisystem schreiben, die Methode
Assert zum
Testen von Anwendungscode aufrufen und irgendwelche Out-of-Process-Aufrufe
durchführen, zum Beispiel Aufrufe in eine Datenbank oder das Netzwerk. Die Ver-
trauensebene Low schränkt die Fähigkeiten der Anwendung noch weiter ein.
■ Minimal Entspricht der Vertrauensebene Low, allerdings darf die Anwendung nur
noch triviale Arbeiten ausführen (beispielsweise Berechnungen durchführen). Sie darf
keine Aktionen ausführen, die höhere Berechtigungen als Ausführen erfordern. Die
Vertrauensebene Minimal erlaubt nur Ausführen-Berechtigungen und verhindert den
Zugriff auf andere Ressourcen auf dem Computer.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
