第13 章ndash;安全问题疑难解答.docVIP

第 13 章 – 安全问题疑难解答 构建安全的 ASP.NET 应用程序身份验证、授权和安全通信 J.D. Meier、Alex Mackman、Michael Dunner 和 Srinath Vasireddy Microsoft Corporation 2002 年 10 月 有关构建安全的 ASP.NET 应用程序 的起点和完整概述，请参见登录页面。 总结 本节介绍一组疑难解答提示、技术和工具，帮助您诊断与安全有关的问题。 内容 疑难解答过程 身份验证问题疑难解答 授权问题疑难解答 ASP.NET 确定标识 .NET Remoting SSL IPSec 审核和记录 疑难解答工具 本章介绍疑难解答过程，并提供一组可用来帮助诊断与安全有关的问题的技术和工具。 疑难解答过程 以下方法已经证明有助于解决安全和与安全上下文相关的问题。 1. 首先从非常清晰地描述问题开始。确保您清楚地知道应该发生什么情况，实际发生了什么问题，以及最重要的是，重现问题所需要的详细步骤。 2. 尽自己所能准确分离问题。尝试判断问题在处理请求过程中的哪一个阶段发生。它是与客户端有关的问题，还是与服务器有关的问题？它是表现为与配置有关，还是与代码有关？尝试通过剥离应用层的方法来分离问题。例如，考虑构建一个简单的基于控制台的测试客户端应用程序来取代比较复杂的客户端应用程序。 3. 分析错误消息和堆栈跟踪（如果它们可用）。始终从查阅 Windows 事件日志和安全日志开始。 4. 查看“Microsoft 知识库”，了解该问题是否在知识库文章中已有介绍。 5. 许多安全相关的问题都与运行代码所使用的标识有关；这些通常不是您想像的运行代码的标识。可使用本章“ASP.NET”一节中的“确定标识”小节提供的代码示例来检索和诊断标识信息。如果标识显示不正确，则检查 web.config 和 machine.config 中的配置设置，同时检查应用程序虚拟目录的 IIS 身份验证设置。在 ASP.NET Web 应用程序中可能影响标识的因素包括： ● machine.config 中用来确定 ASP.NET 辅助进程 (aspnet_wp.exe) 进程标识的 processModel 元素。 ● IIS 中的身份验证设置。 ● web.config 中的身份验证设置。 ● web.config 中的模拟设置。 6. 即使看起来当前使用和显示的设置是正确的，您也可能需要显式配置应用程序的 web.config 文件（在应用程序的虚拟目录中），确保它没有从更高一级的应用程序（可能从更高一级的虚拟目录中的 web.config）或 machine.config 中继承设置。 7. 使用本章内下文中“疑难解答工具”一节中列出的一些疑难解答工具来获得更多诊断信息。 8. 尝试在另一台计算机重现发生的问题。这可帮助找出与环境有关的问题，并可指示问题是否存在于应用程序的代码或配置中。 9. 如果您的应用程序在访问远程资源时出现问题，那么您可能遇到了与模拟/委派有关的问题。识别用于远程资源访问的安全上下文；同时，如果您正在使用 Windows 身份验证，则验证提供上下文的帐户（例如，进程帐户）是否能够通过远程计算机执行的身份验证。 10. 有哪些信誉好的足球投注网站新闻组以了解是否有人报告过此问题。如果没有，则将该问题张贴到新闻组中，看看开发社区中是否有人可以提供帮助。 ASP.NET 的在线新闻组的网址是： /newsgroups/default.asp?icp=mscomslcid=USnewsgroup=microsoft.public.dotnet.framework.aspnet 11. 致电 Microsoft 支持中心。有关详细信息，请参见“Microsoft 知识库”。 有哪些信誉好的足球投注网站实施解决方案 如果您遇到某个问题并且需要了解处理该问题的最佳做法，请使用以下方法。 ● 在本指南的第 5、6 和 7 章中有哪些信誉好的足球投注网站您的方案或类似方案。 ● 查看 MSDN 库的文档和示例。 ● 从许多提供 ASP.NET 信息的 Web 站点中选择一个来查看，比如： ● ● ● ● 在“Microsoft 知识库”中有哪些信誉好的足球投注网站相关的 How To（如何做）文章。 ● 在新闻组中张贴问题。 ● 致电 Microsoft 支持中心。 身份验证问题疑难解答 身份验证问题疑难解答的第一步是区分 IIS 和 ASP.NET 两种身份验证失败消息。 ● 如果您收到的是 IIS 错误消息，那么就看不到 ASP.NET 错误代码。检查应用程序虚拟目录的 IIS 身份验证设置。 创建简单的 HTML 测试页以将 ASP.NET 从解决方案中删除。 ● 如果您收到的是 ASP.NET 错误消息，