732 Kapitel 13: Konfigurieren einer Webdiensteinfrastruktur
Für die Variablen gilt dasselbe wie bei Zulassen-Regeln. Der folgende Befehl erstellt eine
Verweigern-Regel für die Rollen Admin und Guest sowie für die Benutzer UserA und UserB,
wobei die Regel auf die Verben
GET und POST angewendet wird:
%SystemRoot%\system32\inetsrv\appcmd set config
/section:system.webServer/security/authorization
/+"[accessType='Deny',roles='Admin,Guest',users='UserA,UserB',verbs='GET,POST']"
Wenn Sie eine Regel im Internetinformationsdienste-Manager bearbeiten wollen, gehen Sie
ganz ähnlich vor wie beim Erstellen einer Regel, allerdings ändern Sie die Einstellungen, die
Sie vorher angegeben haben. Auf der Befehlszeile bearbeiten Sie eine Regel, indem Sie den
Parameter
accessType ändern. Zum Beispiel ändert der folgende Befehl eine Verweigern-
Regel für alle Benutzer in eine Zulassen-Regel für alle Benutzer:
%SystemRoot%\system32\inetsrv\appcmd set config /section:authorization
/[accessType='Deny',users='*'].accessType:Allow
Und der nächste Befehl ändert eine Verweigern-Regel für anonyme Benutzer in eine Ver -
weigern-Regel, die nur für UserA und UserB gilt:
%SystemRoot%\system32\inetsrv\appcmd set config /section:authorization
/[accessType='Deny',users='?'].users:User1,User2
Weitere Informationen Konfigurieren der Autorisierung
Weitere Informationen über die Konfiguration der Autorisierung finden Sie unter
http://technet.microsoft.com/de-de/library/cc772206.aspx; folgen Sie dort den Links.
Regelvererbung
Autorisierungsregeln werden automatisch an Objekte auf untergeordneten Ebenen ver-
erbt. Das ist nützlich, wenn Ihre Website und Webinhalte hierarchisch organisiert sind
und sich daran orientieren, wer die vorgesehenen Benutzer oder Gruppen sind. Die Spalte
Eintragstyp verrät, ob eine Regel von einer übergeordneten Ebene geerbt oder lokal defi-
niert wurde. Der Internetinformationsdienste-Manager hindert Sie automatisch daran,
Duplikate von Regeln zu erstellen. Sie können Regeln auf beliebigen Ebenen löschen,
auch die Eintragstypen Geerbt und Lokal.
Schützen von Anwendungen mit ASP.NET
Auf der Anwendungsebene beschäftigt sich die Websicherheit hauptsächlich damit, Seiten
zu schützen, sodass unautorisierte Benutzer nicht darauf zugreifen können. Es empfiehlt sich
außerdem zu verfolgen, wer die Seite angefordert hat, sodass Sie entweder Maßnahmen er-
greifen können, falls unautorisierter Zugriff versucht wird, oder die Seite für einen autori-
sierten Benutzer anpassen können. In beiden Fällen müssen Sie die Herkunft jeder Anforde-
rung identifizieren und Regeln definieren, wer auf welche Seiten zugreifen darf.
Ein Webserver identifiziert Aufrufer mithilfe der Authentifizierung. Wenn ein Aufrufer iden-
tifiziert ist, entscheidet die Autorisierung darüber, welche Seiten sich der Aufrufer ansehen
darf. ASP.NET unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsmodel-
len. Wenn Sie die Windows-Authentifizierung wählen, greift ASP.NET auf IIS 7.0 zurück,