部署安全的網站系統.pptVIP

Programming ASP.NET Copyright ? 2001-2002 部署安全的網站系統 胡士亮 平台架構技術副理 台灣微軟 開發工具暨平台推廣處 提升安全性的方式 網路層威脅與弱點 網路防禦 主機層威脅 主機防禦 主機防禦 主機防禦 主機防禦 應用程式威脅與弱點 應用程式防禦 驗證使用者輸入 使用安全的方式存取資料庫 Sa 帳號 只供管理使用；絕對不要在程式中使用 sa 存取資料庫 使用多個低權限帳號來存取資料庫 查詢功能使用只有 SELECT 權限的帳號 更好的方式是使用 stored procedure 並且設定只允許 EXECUTE 權限在 stored procedure 上 減低攻擊者執行有害指令的能力 建立一個低權限的帳號 Windows 驗證 Microsoft SQL Server 支援兩種帳號驗證方式 SQL Server logins Windows 帳號 Windows 驗證減低威脅機會 不需要在 connection strings 內存放帳號密碼 使用者帳號/密碼不會在網路上以非加密的方式傳送 使用安全的方式存放敏感資料 存放敏感資料到資料庫或檔案應該要加密或是 hashed 信用卡號碼 帳號 密碼等 要提升安全性，connection strings 應該要加密 加密在 .Net 中是很容易的 System.Security.Cryptography classes Windows Data Protection API (DPAPI) Forms 驗證 保護 Logins 將 login forms 放在使用 SSL/TLS 的目錄中以避免網路擷取攻擊 存放 Login Passwords Password Hashes 建立 Salted Hashes 檢驗 Salted Hashes Authentication Cookies Auth Cookie 壽命 Temporary authentication cookies 壽命預設值 30 分鐘 透過 forms timeout attribute 控制 會受到 ASP.NET 1.0 sliding renewal 影響 Sliding renewal 在 1.1 版本中預設是停用的 透過 forms slidingExpiration attribute 控制 Persistent authentication cookies 預設壽命 = 50 years! 更長的壽命 = 更大的機會受到 replay attacks 限制 Persistent Authentication Cookies 壽命 保護 Session State Session State 例外處理 你想知道哪些有關網站的資訊? 紀錄未處理的 Exceptions 資料庫威脅與弱點 資料庫防禦 使用安全設定精靈簡化設定 Windows 2003 的新功能 簡化主機防禦設定 依角色進行相關安全設定 停用不必要的服務 設定 NTFS 相關權限 關閉不必要的 Port 設定 IPSec 安全性設定精靈(SCW) security configuration wizard 減少受到攻擊的面積 作業系統的預設值可能是不夠安全的。 管理者無法藉由「安全手冊」來取得或維持作業系統的安全性。 藉由「可延伸 XML 知識庫」來定義伺服器的角色。 在知識庫中定義了有超過 50 種的伺服器角色，包括了 ExchangeServer 與 SQL Server 等…。 安全性設定精靈(續) SCW 安全性涵蓋範圍 停用不必要的服務 停用不必要的 IIS 網站延伸功能 封鎖不使用的連接埠，包括對多網卡主機的支援 保護爲使用 IPSec 而開啟的連接埠 降低對 LDAP、LAN Manager和SMB 等通訊協定的揭露 匯入各種 Windows 安全性範本，以涵蓋精靈所無法設定的設定值 SCW 操作功能 建立、編輯、套用、回復、分析 遠端存取 命令列支援 Active Directory 整合 XSL 檢視 DEMO 最佳實務 透過縱深防禦強化網站安全 使用 Checklist 來執行安全設定 使用安全設定精靈簡化設定時間 使用 MBSA 來確認資安設定 測試環境與開發環境使用與正式環境相同的安全設定 if (Authenticate (name, password)) { string url = FormsAuthentication.GetRedirectUrl (name, true); FormsAuthentication.SetAuthCookie (name, true); HttpCookie cookie = Response