Freigeben über

Verbesserte ASP.NET Ansichtszustand Sicherheit und Schlüsselverwaltung

  • Artikel

GILT FÜR:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Hinweis

SharePoint Server-Abonnementedition verschlüsselt standardmäßig den machineKey Abschnitt seiner web.config Dateien. Dadurch wird verhindert, dass Angreifer Ihre ASP.NET Statusverschlüsselungs- und Validierungsschlüssel lesen, auch wenn sie Zugriff auf diese web.config Dateien erhalten.

Wenn Sie SharePoint Server-Abonnementedition- oder SharePoint Server 2016/2019-Editionen ausführen, schützt die Plattform Ihre vertraulichen Daten, indem die Verschlüsselungsschlüssel des Computers regelmäßig aktualisiert werden. Dieser Vorgang erfolgt manuell mithilfe von PowerShell-Cmdlets, die die Entschlüsselungs- und Validierungsschlüssel in einer Webanwendung aktualisieren. Diese Sicherheitsmethode trägt dazu bei, potenzielle Sicherheitsrisiken zu minimieren, wenn ein Schlüssel kompromittiert wird. Weitere Informationen finden Sie unter PowerShell-Cmdlets.

Ab SharePoint Server-Abonnementedition Version 25H1 können Sie Computerschlüssel ohne manuellen Eingriff automatisch aktualisieren. Weitere Informationen finden Sie unter Automatische Computerschlüsselrotation.

Automatische Maschinenschlüsselrotation

Die automatische Rotation von Maschinenschlüsseln zielt darauf ab, die Sicherheit zu verbessern, indem die regelmäßige Aktualisierung von Computerschlüsseln automatisiert wird, wodurch das Risiko einer Schlüsselkompromittierung minimiert wird. Dieses Feature stellt eine nahtlose und automatische Rotation von Computerschlüsseln sicher und gewährleistet gleichzeitig die Hochverfügbarkeit und Zuverlässigkeit von SharePoint-Diensten während der Schlüsselrotation.

Das Feature umfasst einen Schlüsselverwaltungsdienst, der die Speicherung, den Abruf und die Verteilung von Computerschlüsseln mithilfe eines Zeitgeberauftrags namens Computerschlüsselrotationsauftrag verarbeitet. Der Zeitgeberauftrag ist so konfiguriert, dass er standardmäßig automatisch am letzten Sonntag jedes Monats ausgeführt wird.

Wenn Sie die Computerschlüssel manuell aktualisieren müssen, können Sie den Zeitgeberauftrag Computerschlüsselrotation auslösen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zum Standort der Zentraladministration .
  2. Wechseln Sie zu Überwachung –>Auftragsdefinition überprüfen.
  3. Suchen Sie nach Computerschlüsselrotationsauftrag , und wählen Sie Jetzt ausführen aus.

Wenn der Auftrag abgeschlossen ist, sollte es keine spürbare Änderung für die Administratoren der Farm geben.

Mit den folgenden neuen PowerShell-Cmdlets können Sie die ASP.NET Ansichtsstatus-Entschlüsselungs- und Validierungsschlüssel einer SharePoint-Webanwendung ändern, sodass Sie diese Schlüssel in Ihrer Farm rotieren können.

PowerShell-Cmdlets

  1. Set-SPMachineKey

    Konfiguriert die ASP.NET Ansichtszustandsentschlüsselung und Validierungsschlüssel einer Webanwendung.

    Syntax

    Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind> [-DecryptionKey <String>] [-ValidationKey <String>] [-Local] [<CommonParameters>]

    Parameter

    • -WebApplication <SPWebApplicationPipeBind>

      Gibt den Namen, die URL oder die GUID der Webanwendung an.

    • -DecryptionKey [<String>]

      Gibt den neuen ASP.NET Ansichtsstatus-Entschlüsselungsschlüssel an. Der Schlüssel sollte als 64 Zeichen lange hexadezimale Zeichenfolge (0-9 und A-F) dargestellt werden.

      Wenn dieser Parameter nicht angegeben ist, wird ein zufälliger Entschlüsselungsschlüssel generiert und verwendet.

    • -ValidationKey [<String>]

      Gibt den neuen ASP.NET Überprüfungsschlüssel für den Ansichtszustand an. Der Schlüssel sollte als 64 Zeichen lange hexadezimale Zeichenfolge (0-9 und A-F) dargestellt werden.

      Wenn dieser Parameter nicht angegeben ist, wird ein zufälliger Entschlüsselungsschlüssel generiert und verwendet.

    • -Local

      Stellen Sie die neuen Entschlüsselungs- und Validierungsschlüssel nur auf dem lokalen Server bereit. Andere Server in der Farm verwenden weiterhin die vorherigen Entschlüsselungs- und Validierungsschlüssel. Websitzungen, bei denen ein Lastenausgleich über mehrere Server in der Farm erfolgt, schlagen fehl, wenn diese Schlüssel nicht auf jedem Server in der Farm synchronisiert werden. Verwenden Sie das Update-SPMachineKey Cmdlet, um die Schlüssel auf zusätzlichen Servern in der Farm bereitzustellen.

      Wenn dieser Parameter nicht angegeben wird, werden die neuen Entschlüsselungs- und Validierungsschlüssel auf allen Servern in der Farm bereitgestellt.

  2. Update-SPMachineKey

    Stellt ASP.NET Anzeigen von Zustandsentschlüsselungs- und Validierungsschlüsseln für Server in der Farm bereit.

    Syntax

    Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind> [-Local] [<CommonParameters>]

    Parameter

    • -WebApplication <SPWebApplicationPipeBind>

      Gibt den Namen, die URL oder die GUID der Webanwendung an.

    • -Local

      Stellt die neuen Entschlüsselungs- und Validierungsschlüssel nur auf dem lokalen Server bereit. Andere Server in der Farm verwenden weiterhin die vorherigen Entschlüsselungs- und Validierungsschlüssel. Websitzungen, bei denen ein Lastenausgleich über mehrere Server in der Farm erfolgt, schlagen fehl, wenn diese Schlüssel nicht auf jedem Server in der Farm synchronisiert werden.

      Wenn dieser Parameter nicht angegeben wird, werden die Entschlüsselungs- und Validierungsschlüssel auf allen Servern in der Farm bereitgestellt.