如何使用 ASP.NET 实用工具加密凭据和会话状态连接字符串
生活随笔
收集整理的這篇文章主要介紹了
如何使用 ASP.NET 实用工具加密凭据和会话状态连接字符串
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
| 文章編號(hào) | : | 329290 |
| 最后修改 | : | 2006年4月10日 |
| 修訂 | : | 8.0 |
本頁(yè)
概要? 簡(jiǎn)介? 重新啟動(dòng)?IIS? 更多信息? 下載和運(yùn)行?Aspnet_setreg.exe? 在配置文件中使用加密的屬性? 使用?Regedt32.exe?在這些注冊(cè)表項(xiàng)中為?ASP.NET?帳戶授予權(quán)限? 參考?概要
本文分步介紹如何使用?Aspnet_setreg.exe?實(shí)用工具加密憑據(jù)和會(huì)話狀態(tài)連接字符串。如果您想完成下列任一操作,Microsoft?ASP.NET?版本?1.0?都會(huì)要求您將純文本憑據(jù)存儲(chǔ)在配置文件中:?| ? | 更改?ASP.NET?工作進(jìn)程標(biāo)識(shí)。 |
| ? | 指定一個(gè)模擬標(biāo)識(shí)。 |
| ? | 指定一個(gè)用于會(huì)話狀態(tài)的連接字符串。 |
| ? | <identity?userName=?password=?/> |
| ? | <processModel?userName=?password=?/> |
| ? | <sessionState?stateConnectionString=?sqlConnectionString=?/> |
| 回到頂端 |
簡(jiǎn)介
使用?Aspnet_setreg.exe?實(shí)用工具將這些屬性值加密并存儲(chǔ)到注冊(cè)表中一個(gè)安全的項(xiàng)下。使用帶?CRYPTPROTECT_LOCAL_MACHINE?標(biāo)志的?CryptProtectData?函數(shù)加密憑據(jù)。由于任何人只要具有訪問(wèn)此計(jì)算機(jī)的權(quán)限就可以調(diào)用?CryptUnprotectData,因此,加密的數(shù)據(jù)被存儲(chǔ)在一個(gè)安全的、具有嚴(yán)格自由訪問(wèn)控制列表?(DACL)?的注冊(cè)表項(xiàng)下面。當(dāng)?ASP.NET?分析配置文件時(shí),它將讀取此安全的注冊(cè)表項(xiàng),然后使用?CryptUnprotectData?來(lái)解密數(shù)據(jù)。在?System?標(biāo)識(shí)下運(yùn)行的?Inetinfo.exe?讀取?<processModel?/>?部分。要讀取存儲(chǔ)?ASP.NET?輔助進(jìn)程用戶名和密碼的注冊(cè)表項(xiàng),System?帳戶必須具有對(duì)這些項(xiàng)的“讀取”權(quán)限。
ASP.NET?輔助進(jìn)程?(Aspnet_wp.exe)?讀取?<identity?/>?和?<sessionState?/>?部分。要讀取這些注冊(cè)表項(xiàng),輔助進(jìn)程帳戶必須具有對(duì)這些項(xiàng)的“讀取”權(quán)限。如果內(nèi)容存放在“通用命名約定”(UNC)?共享上,則用于訪問(wèn)?UNC?共享的帳戶必須具有對(duì)這些項(xiàng)的讀取權(quán)限。
默認(rèn)情況下,Aspnet_setreg.exe?創(chuàng)建的注冊(cè)表項(xiàng)向?System、Administrator?和?Creator?Owner?帳戶授予完全控制權(quán)。您可以使用?Regedt32.exe?修改注冊(cè)表項(xiàng)上的?DACL。應(yīng)確保任意用戶不能讀取注冊(cè)表項(xiàng)。?
重新啟動(dòng)?IIS
要使您所做的更改生效,必須重新啟動(dòng)?Microsoft?Internet?信息服務(wù)?(IIS)。重新啟動(dòng)?IIS?時(shí),會(huì)啟動(dòng)一個(gè)新的?ASP.NET?工作進(jìn)程。要重新啟動(dòng)?IIS,請(qǐng)單擊“開(kāi)始”,單擊“運(yùn)行”,在“打開(kāi)”框中鍵入?iisreset,然后單擊“確定”。注意:如果重新配置的服務(wù)器是域控制器,則可能必須重新啟動(dòng)該服務(wù)器。?
| 回到頂端 |
更多信息
下載和運(yùn)行?Aspnet_setreg.exe
可以從?Microsoft?下載中心下載以下文件:立即下載?Aspnet_setreq.exe?程序包。?(http://download.microsoft.com/download/2/9/8/29829651-e0f0-412e-92d0-e79da46fd7a5/aspnet_setreg.exe)
發(fā)布日期:2003?年?4?月?11?日
有關(guān)如何下載?Microsoft?支持文件的更多信息,請(qǐng)單擊下面的文章編號(hào),以查看?Microsoft?知識(shí)庫(kù)中相應(yīng)的文章:? 119591?(http://support.microsoft.com/kb/119591/)?如何從聯(lián)機(jī)服務(wù)獲取?Microsoft?支持文件? Microsoft?已對(duì)此文件進(jìn)行了病毒掃描。Microsoft?使用的是該文件發(fā)布時(shí)可以獲得的最新病毒檢測(cè)軟件。該文件存儲(chǔ)在安全性得到增強(qiáng)的服務(wù)器上,以防止在未經(jīng)授權(quán)的情況下對(duì)其進(jìn)行更改。?
要顯示所有可用的命令行參數(shù)及其用法,請(qǐng)?jiān)诿钐崾痉虏皇褂萌魏蚊钚袇?shù)運(yùn)行此工具。如果已將此工具保存在?C:/Tools/?中,請(qǐng)從命令提示符處運(yùn)行以下命令,以顯示該工具的所有可用開(kāi)關(guān)及有關(guān)這些開(kāi)關(guān)的幫助:? C:/Tools>aspnet_setreg.exe
| 回到頂端 |
在配置文件中使用加密的屬性
警告:如果使用注冊(cè)表編輯器或其他方法錯(cuò)誤地修改了注冊(cè)表,則可能導(dǎo)致嚴(yán)重問(wèn)題。這些問(wèn)題可能需要重新安裝操作系統(tǒng)才能解決。Microsoft?不能保證您可以解決這些問(wèn)題。修改注冊(cè)表需要您自擔(dān)風(fēng)險(xiǎn)。注意:該工具在?HKEY_LOCAL_MACHINE?子樹(shù)下創(chuàng)建注冊(cè)表項(xiàng)。默認(rèn)情況下,只有管理員才能在此子樹(shù)下創(chuàng)建項(xiàng)。確保您以管理員的身份登錄,以便成功創(chuàng)建這些注冊(cè)表項(xiàng)。?
| 1. | 加密將與?<identity>?部分一起使用的?userName?和?password?屬性。(您也可以將此操作過(guò)程用于本文中提及的其他部分。)為此,請(qǐng)?jiān)诿钚猩湘I入以下命令:? c:/Tools>aspnet_setreg.exe?-k:SOFTWARE/MY_SECURE_APP/identity?-u:"yourdomainname/username"?-p:"password" 該命令加密?userName?和?password?屬性,并在指定的任何位置創(chuàng)建注冊(cè)表項(xiàng),然后將這些屬性存儲(chǔ)在那些注冊(cè)表項(xiàng)中。此命令還可以生成輸出內(nèi)容,此內(nèi)容指定如何更改您的?Web.config?或?Machine.config?文件,以便?ASP.NET?使用這些項(xiàng)從注冊(cè)表中讀取信息。 執(zhí)行此命令之后,您將收到類(lèi)似于下面的輸出內(nèi)容:? 請(qǐng)編輯您的配置文件以包含以下內(nèi)容: userName="registry:HKLM/SOFTWARE/MY_SECURE_APP/identity/ASPNET_SETREG,userName" password="registry:HKLM/SOFTWARE/MY_SECURE_APP/identity/ASPNET_SETREG,password" 注冊(cè)表項(xiàng)的?DACL?向?System、Administrators?和?Creator?Owner?授予完全控制權(quán)限。 如果已經(jīng)為?<identity/>?配置節(jié)加密了憑據(jù),或者為? <sessionState/>?配置節(jié)加密了連接字符串,則確保該進(jìn)程標(biāo)識(shí)具有 對(duì)注冊(cè)表項(xiàng)的“讀取”權(quán)限。而且,如果您已經(jīng)相應(yīng)地配置?IIS?來(lái)訪問(wèn)存儲(chǔ)在 UNC?共享上的內(nèi)容,那么訪問(wèn)此共享的用戶帳戶需要具有對(duì)注冊(cè)表項(xiàng)的“讀取”權(quán)限。 Regedt32.exe?可以用來(lái)查看或修改注冊(cè)表項(xiàng)權(quán)限。 您可以重命名注冊(cè)表子項(xiàng)和注冊(cè)表值來(lái)避免被發(fā)現(xiàn)。 |
| 2. | 請(qǐng)修改相應(yīng)的配置文件使之指向這些注冊(cè)表項(xiàng)。如果必須在?<identity>?節(jié)中使用這些值,則得到的?<identity>?節(jié)將類(lèi)似如下內(nèi)容。 |
| 3. | 向?Aspnet_wp.exe?進(jìn)程帳戶授予“讀取”權(quán)限。有關(guān)如何更改注冊(cè)表項(xiàng)權(quán)限的更多信息,請(qǐng)參見(jiàn)“使用?Regedt32.exe?在這些注冊(cè)表項(xiàng)中為?ASP.NET?帳戶授予權(quán)限”一節(jié)。 |
| 回到頂端 |
使用?Regedt32.exe?在這些注冊(cè)表項(xiàng)中為?ASP.NET?帳戶授予權(quán)限
警告:如果使用注冊(cè)表編輯器或其他方法錯(cuò)誤地修改了注冊(cè)表,則可能導(dǎo)致嚴(yán)重問(wèn)題。這些問(wèn)題可能需要重新安裝操作系統(tǒng)才能解決。Microsoft?不能保證您可以解決這些問(wèn)題。修改注冊(cè)表需要您自擔(dān)風(fēng)險(xiǎn)。?| 1. | 單擊“開(kāi)始”,單擊“運(yùn)行”,在“打開(kāi)”框中鍵入?regedt32,然后單擊“確定”。 |
| 2. | 單擊?HKEY_LOCAL_MACHINE/SOFTWARE/MY_SECURE_APP/?子項(xiàng)。 |
| 3. | 在“安全性”菜單上,單擊“權(quán)限”,以打開(kāi)“權(quán)限”對(duì)話框。 在?Microsoft?Windows?XP?或?Windows?Server?2003?上,右鍵單擊該注冊(cè)表項(xiàng),然后單擊“權(quán)限”。 |
| 4. | 單擊“添加”。在打開(kāi)的對(duì)話框中,鍵入?yourservername/ASPNET(如果使用?Windows?Server?2003?(IIS?6.0),則鍵入?yourservername/NetWork?Service),然后單擊“確定”。 |
| 5. | 確保剛才添加的帳戶具有“讀取”權(quán)限,然后單擊“確定”。 |
| 6. | 關(guān)閉注冊(cè)表編輯器。 |
| 回到頂端 |
參考
有關(guān)允許您使用本文所述功能的修補(bǔ)程序的更多信息,請(qǐng)單擊下面的文章編號(hào),以查看?Microsoft?知識(shí)庫(kù)中相應(yīng)的文章:? 329250?(http://support.microsoft.com/kb/329250/)?FIX:用于?processModel、標(biāo)識(shí)和?sessionState?的更強(qiáng)憑據(jù)? 有關(guān)?Microsoft?Windows?注冊(cè)表的更多信息,請(qǐng)單擊下面的文章編號(hào),以查看?Microsoft?知識(shí)庫(kù)中相應(yīng)的文章:? 256986?(http://support.microsoft.com/kb/256986/)?Microsoft?Windows?注冊(cè)表說(shuō)明? 有關(guān)?ASP.NET?的更多信息,請(qǐng)單擊下面的文章編號(hào),以查看?Microsoft?知識(shí)庫(kù)中相應(yīng)的文章:? 315158?(http://support.microsoft.com/kb/315158/)?FIX:ASP.NET?在域控制器上使用默認(rèn)?ASPNET?帳戶不能正常運(yùn)行? 317012?(http://support.microsoft.com/kb/317012/)?ASP.NET?中的進(jìn)程和請(qǐng)求標(biāo)識(shí)? ?總結(jié)
以上是生活随笔為你收集整理的如何使用 ASP.NET 实用工具加密凭据和会话状态连接字符串的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 天猫魔盒说明书?
- 下一篇: 在C#中使用COM+实现事务控制