Compartilhar via

Gerenciamento de segurança ASP.NET estado de exibição aprimorado e gerenciamento de chaves

  • Artigo

APLICA-SE A:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Observação

Edição de Assinatura do SharePoint Server encripta a machineKey secção dos respetivos web.config ficheiros por predefinição. Isto impede que os atacantes leiam as suas ASP.NET ver as chaves de validação e encriptação de estado, mesmo que obtenham acesso a esses web.config ficheiros.

Se estiver a executar edições do Edição de Assinatura do SharePoint Server ou do SharePoint Server 2016/2019, a plataforma protege os seus dados confidenciais ao atualizar regularmente as chaves de encriptação do computador. Este processo é feito manualmente com cmdlets do PowerShell, que atualizam as chaves de desencriptação e validação numa aplicação Web. Esta prática de segurança ajuda a mitigar potenciais vulnerabilidades se uma chave for comprometida. Para obter mais informações, veja Cmdlets do PowerShell.

A partir do Edição de Assinatura do SharePoint Server Versão 25H1, poderá atualizar automaticamente as chaves do computador sem intervenção manual. Para obter mais informações, veja Rotação automática de chaves da máquina.

Rotação automática da chave da máquina

A funcionalidade rotação automática de chaves de máquina tem como objetivo melhorar a segurança ao automatizar a atualização periódica de chaves de máquina, minimizando assim o risco de comprometimento da chave. Esta funcionalidade garante uma rotação automática e totalmente integrada das chaves de máquina, mantendo a elevada disponibilidade e fiabilidade dos serviços do SharePoint durante a rotação de chaves.

A funcionalidade incorpora um Serviço de Gestão de Chaves que processa o armazenamento, a obtenção e a distribuição de chaves de máquina através de uma tarefa de temporizador denominada Tarefa de Rotação de Chaves de Máquina. Por predefinição, a tarefa de temporizador está configurada para ser executada automaticamente no último domingo de cada mês.

Se precisar de atualizar as chaves da máquina manualmente, pode acionar a tarefa de temporizador rotação de teclas de máquina ao executar os seguintes passos:

  1. Navegue para o site de Administração Central .
  2. Aceda a Monitorização –>Rever definição da tarefa.
  3. Procure Tarefa de Rotação de Teclas de Máquina e selecione Executar Agora.

Quando a tarefa estiver concluída, não deverá haver nenhuma alteração percetível aos administradores do farm.

Com os seguintes novos cmdlets do PowerShell, pode alterar a ASP.NET ver as chaves de desencriptação e validação de estado de uma aplicação Web do SharePoint, permitindo assim rodar essas chaves no seu farm.

Cmdlets do PowerShell

  1. Set-SPMachineKey

    Configura o ASP.NET ver chaves de desencriptação de estado e validação de uma aplicação Web.

    Sintaxe

    Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind> [-DecryptionKey <String>] [-ValidationKey <String>] [-Local] [<CommonParameters>]

    Parâmetros

    • -WebApplication <SPWebApplicationPipeBind>

      Especifica o nome, a URL ou o GUID do aplicativo Web.

    • -DecryptionKey [<String>]

      Especifica a nova chave de desencriptação de estado de vista de ASP.NET. A chave deve ser representada como uma cadeia hexadecimal de 64 carateres (0-9 e A-F).

      Se este parâmetro não for especificado, é gerada e utilizada uma chave de desencriptação aleatória.

    • -ValidationKey [<String>]

      Especifica a nova chave de validação de estado de vista de ASP.NET. A chave deve ser representada como uma cadeia hexadecimal de 64 carateres (0-9 e A-F).

      Se este parâmetro não for especificado, é gerada e utilizada uma chave de desencriptação aleatória.

    • -Local

      Implemente as novas chaves de desencriptação e validação apenas no servidor local. Outros servidores no farm continuam a utilizar as chaves de desencriptação e validação anteriores. As sessões Web com balanceamento de carga em vários servidores no farm falharão se estas chaves não forem sincronizadas em todos os servidores do farm. Utilize o Update-SPMachineKey cmdlet para implementar as chaves em servidores adicionais no farm.

      Se este parâmetro não for especificado, as novas chaves de desencriptação e validação são implementadas em todos os servidores no farm.

  2. Update-SPMachineKey

    Implementa ASP.NET ver chaves de desencriptação de estado e validação em servidores no farm.

    Sintaxe

    Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind> [-Local] [<CommonParameters>]

    Parâmetros

    • -WebApplication <SPWebApplicationPipeBind>

      Especifica o nome, a URL ou o GUID do aplicativo Web.

    • -Local

      Implementa as novas chaves de desencriptação e validação apenas no servidor local. Outros servidores no farm continuam a utilizar as chaves de desencriptação e validação anteriores. As sessões Web com balanceamento de carga em vários servidores no farm falharão se estas chaves não forem sincronizadas em todos os servidores do farm.

      Se este parâmetro não for especificado, as chaves de desencriptação e validação são implementadas em todos os servidores no farm.