如何使用 ASP.NET 实用工具加密凭据和会话状态连接字符串
2007-03-22 00:11
816 查看
| 文章编号 | : | 329290 |
| 最后修改 | : | 2006年4月10日 |
| 修订 | : | 8.0 |
256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 注册表说明
本页
概要
简介
重新启动 IIS
更多信息
下载和运行 Aspnet_setreg.exe
在配置文件中使用加密的属性
使用 Regedt32.exe 在这些注册表项中为 ASP.NET 帐户授予权限
参考
概要
本文分步介绍如何使用 Aspnet_setreg.exe 实用工具加密凭据和会话状态连接字符串。如果您想完成下列任一操作,Microsoft ASP.NET 版本 1.0 都会要求您将纯文本凭据存储在配置文件中:| • | 更改 ASP.NET 工作进程标识。 |
| • | 指定一个模拟标识。 |
| • | 指定一个用于会话状态的连接字符串。 |
| • | <identity userName= password= /> |
| • | <processModel userName= password= /> |
| • | <sessionState stateConnectionString= sqlConnectionString= /> |
 | 回到顶端 |
简介
使用 Aspnet_setreg.exe 实用工具将这些属性值加密并存储到注册表中一个安全的项下。使用带 CRYPTPROTECT_LOCAL_MACHINE 标志的 CryptProtectData 函数加密凭据。由于任何人只要具有访问此计算机的权限就可以调用 CryptUnprotectData,因此,加密的数据被存储在一个安全的、具有严格自由访问控制列表 (DACL) 的注册表项下面。当 ASP.NET 分析配置文件时,它将读取此安全的注册表项,然后使用 CryptUnprotectData 来解密数据。在 System 标识下运行的 Inetinfo.exe 读取 <processModel /> 部分。要读取存储 ASP.NET 辅助进程用户名和密码的注册表项,System 帐户必须具有对这些项的“读取”权限。
ASP.NET 辅助进程 (Aspnet_wp.exe) 读取 <identity /> 和 <sessionState /> 部分。要读取这些注册表项,辅助进程帐户必须具有对这些项的“读取”权限。如果内容存放在“通用命名约定”(UNC) 共享上,则用于访问 UNC 共享的帐户必须具有对这些项的读取权限。
默认情况下,Aspnet_setreg.exe 创建的注册表项向 System、Administrator 和 Creator Owner 帐户授予完全控制权。您可以使用 Regedt32.exe 修改注册表项上的 DACL。应确保任意用户不能读取注册表项。
重新启动 IIS
要使您所做的更改生效,必须重新启动 Microsoft Internet 信息服务 (IIS)。重新启动 IIS 时,会启动一个新的 ASP.NET 工作进程。要重新启动 IIS,请单击“开始”,单击“运行”,在“打开”框中键入 iisreset,然后单击“确定”。注意:如果重新配置的服务器是域控制器,则可能必须重新启动该服务器。
| 回到顶端 |
更多信息
下载和运行 Aspnet_setreg.exe
可以从 Microsoft 下载中心下载以下文件:
立即下载 Aspnet_setreq.exe 程序包。 (http://download.microsoft.com/download/2/9/8/29829651-e0f0-412e-92d0-e79da46fd7a5/aspnet_setreg.exe)
发布日期:2003 年 4 月 11 日
有关如何下载 Microsoft 支持文件的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 (http://support.microsoft.com/kb/119591/) 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。
要显示所有可用的命令行参数及其用法,请在命令提示符下不使用任何命令行参数运行此工具。如果已将此工具保存在 C:\Tools\ 中,请从命令提示符处运行以下命令,以显示该工具的所有可用开关及有关这些开关的帮助:
C:\Tools>aspnet_setreg.exe
| 回到顶端 |
在配置文件中使用加密的属性
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。注意:该工具在 HKEY_LOCAL_MACHINE 子树下创建注册表项。默认情况下,只有管理员才能在此子树下创建项。确保您以管理员的身份登录,以便成功创建这些注册表项。
| 1. | 加密将与 <identity> 部分一起使用的 userName 和 password 属性。(您也可以将此操作过程用于本文中提及的其他部分。)为此,请在命令行上键入以下命令: c:\Tools>aspnet_setreg.exe -k:SOFTWARE\MY_SECURE_APP\identity -u:"yourdomainname\username" -p:"password" 该命令加密 userName 和 password 属性,并在指定的任何位置创建注册表项,然后将这些属性存储在那些注册表项中。此命令还可以生成输出内容,此内容指定如何更改您的 Web.config 或 Machine.config 文件,以便 ASP.NET 使用这些项从注册表中读取信息。 执行此命令之后,您将收到类似于下面的输出内容: 请编辑您的配置文件以包含以下内容: userName="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,userName" password="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,password" 注册表项的 DACL 向 System、Administrators 和 Creator Owner 授予完全控制权限。 如果已经为 <identity/> 配置节加密了凭据,或者为 <sessionState/> 配置节加密了连接字符串,则确保该进程标识具有 对注册表项的“读取”权限。而且,如果您已经相应地配置 IIS 来访问存储在 UNC 共享上的内容,那么访问此共享的用户帐户需要具有对注册表项的“读取”权限。 Regedt32.exe 可以用来查看或修改注册表项权限。 您可以重命名注册表子项和注册表值来避免被发现。 |
| 2. | 请修改相应的配置文件使之指向这些注册表项。如果必须在 <identity> 节中使用这些值,则得到的 <identity> 节将类似如下内容。[code]<identity impersonate="true" userName="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,userName" password="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,password" /> [/code] |
| 3. | 向 Aspnet_wp.exe 进程帐户授予“读取”权限。有关如何更改注册表项权限的更多信息,请参见“使用 Regedt32.exe 在这些注册表项中为 ASP.NET 帐户授予权限”一节。 |
| 回到顶端 |
使用 Regedt32.exe 在这些注册表项中为 ASP.NET 帐户授予权限
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。| 1. | 单击“开始”,单击“运行”,在“打开”框中键入 regedt32,然后单击“确定”。 |
| 2. | 单击 HKEY_LOCAL_MACHINE\SOFTWARE\MY_SECURE_APP\ 子项。 |
| 3. | 在“安全性”菜单上,单击“权限”,以打开“权限”对话框。 在 Microsoft Windows XP 或 Windows Server 2003 上,右键单击该注册表项,然后单击“权限”。 |
| 4. | 单击“添加”。在打开的对话框中,键入 yourservername\ASPNET(如果使用 Windows Server 2003 (IIS 6.0),则键入 yourservername\NetWork Service),然后单击“确定”。 |
| 5. | 确保刚才添加的帐户具有“读取”权限,然后单击“确定”。 |
| 6. | 关闭注册表编辑器。 |
| 回到顶端 |
参考
有关允许您使用本文所述功能的修补程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:329250 (http://support.microsoft.com/kb/329250/) FIX:用于 processModel、标识和 sessionState 的更强凭据
有关 Microsoft Windows 注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 注册表说明
有关 ASP.NET 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
315158 (http://support.microsoft.com/kb/315158/) FIX:ASP.NET 在域控制器上使用默认 ASPNET 帐户不能正常运行
317012 (http://support.microsoft.com/kb/317012/) ASP.NET 中的进程和请求标识
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- [导入]如何使用 ASP.NET 实用工具加密凭据和会话状态连接字符串
- ASP.NET如何使用web服务的会话状态
- 使用spring.net+nibernate时如何用aspnet_regiis加密数据库连接字符串
- ASP.NET如何使用web服务的会话状态
- 使用spring.net+nibernate时如何用aspnet_regiis加密数据库连接字符串
- ASP.Net Web 服务 – 如何使用会话状态
- ASP.Net Web 服务 – 如何使用会话状态
- 关于asp.net(c#),webconfig中如何定义一个字符串让所有页面共同使用?
- asp.net 2.0 中使用web.config存储数据库连接字符串
- ASP.NET数据库连接字符串的加密与解密
- [ASP] asp.net 2.0 中使用web.config存储数据库连接字符串
- ASP.NET中web.config中加密连接字符串 [转自9who]
- 在asp.net中使用加密数据库联接字符串保证数据安全
- ASP.NET数据库连接字符串的加密与解密
- ASP.NET MVC 5 - 创建连接字符串(Connection String)并使用SQL Server LocalDB
- 无法序列化会话状态。在“StateServer”或“SQLServer”模式下,ASP.NET 将序列化会话状态对象,因此不允许使用无法序列化的对象或 MarshalByRef 对象。如果自定义会话状态存储在“Custom”模式下执行了类似的序列化,则适用同样的限制。
- ASP.NET MVC 5 - 创建连接字符串(Connection String)并使用SQL Server LocalDB
- 如何使用ASP.Net加密Cookie
- [ASP.NET]配置使用SQL Server保存会话状态
- Asp.Net连接ACCESS数据库相对路径问题,web.config中如何使用相对路径及在类文件中调用这个相对路径