RSA-Schlüsselcontainer auf Computerebene und Benutzerebene
Aktualisiert: November 2007
Die RsaProtectedConfigurationProvider-Klasse kann RSA-Schlüsselcontainer entweder auf Computerebene oder auf Benutzerebene verwenden. Microsoft Windows stellt Schlüsselcontainer auf Computerebene allen Benutzern zur Verfügung, wohingegen ein Schlüsselcontainer auf Benutzerebene nur für den Benutzer verfügbar ist, der den Schlüsselcontainer erstellt (oder importiert) hat.
Vergleich von RSA-Schlüsselcontainern auf Computerebene und Benutzerebene
RSA-Schlüsselcontainer auf Benutzerebene können im Windows-Benutzerprofil für einen bestimmten Benutzer gespeichert und zum Ver- und Entschlüsseln von Informationen für Anwendungen verwendet werden, die unter dieser bestimmten Benutzeridentität ausgeführt werden. Mit RSA-Schlüsselcontainern auf Benutzerebene können Sie sicherstellen, dass die RSA-Schlüsselinformationen beim Entfernen des Windows-Benutzerprofils ebenfalls entfernt werden. Diese Art von Containern ist aber umständlich zu verwenden, weil Sie mit dem Benutzerkonto angemeldet sein müssen, das den Schlüsselcontainer auf Benutzerebene zum Ver- und Entschlüsseln geschützter Konfigurationsbereiche verwendet.
RSA-Schlüsselcontainer auf Computerebene stehen standardmäßig allen Benutzern zur Verfügung, die sich an einem Computer anmelden können. Mit ihnen können Sie auf einfache Weise geschützte Konfigurationsbereiche ver- oder entschlüsseln, während Sie mit einem Administratorkonto angemeldet sind. RSA-Schlüsselcontainer auf Computerebene können Informationen für eine einzelne Anwendung bzw. für alle Anwendungen oder eine Gruppe von Anwendungen auf einem Server schützen, die unter derselben Benutzeridentität ausgeführt werden. RSA-Schlüsselcontainer auf Computerebene sind zwar für alle Benutzer verfügbar, können aber mit NTFS-Zugriffssteuerungslisten gesichert werden, sodass nur die Benutzer darauf zugreifen können, für die dies erforderlich ist.
Hinweis: |
---|
Es wird empfohlen, dass Sie vertrauliche Informationen nur mit der geschützten Konfiguration für mit NTFS formatierte Dateisysteme schützen, damit Sie den Zugriff auf Verschlüsselungsschlüsselinformationen mit Zugriffssteuerungslisten einschränken können. |
Da RSA-Schlüsselcontainer auf Benutzerebene wenig Vorteile bieten, wird empfohlen, dass Sie beim Schützen von Konfigurationsabschnitten mit dem RsaProtectedConfigurationProvider-Anbieter RSA-Schlüsselcontainer auf Computerebene verwenden. Wenn Sie einen RSA-Schlüsselcontainer zum Schützen von Konfigurationsinformationen für eine oder mehrere Anwendungen erstellen, wird empfohlen, dass Sie den Zugriff auf den RSA-Schlüsselcontainer auf Computerebene einschränken. Verwenden Sie dazu das Tool Aspnet_regiis.exe mit der -pa-Option zum Hinzufügen des Zugriffs auf den Schlüssel für eine bestimmte Identität und der -pr-Option zum Entfernen des Zugriffs auf den Schlüssel. Weitere Informationen zum Festlegen oder Bestimmen der Identität einer ASP.NET-Anwendung finden Sie unter Identitätswechsel in ASP.NET. Weitere Informationen zum Gewähren des Lesezugriffs auf einen RSA-Schlüsselcontainer finden Sie unter Importieren und Exportieren von RSA-Schlüsselcontainern mit geschützter Konfiguration.
Identifizieren von RSA-Schlüsselcontainern auf Computer- und Benutzerebene für das Tool Aspnet_regiis.exe
Beim Erstellen, Exportieren, Importieren oder Löschen eines RSA-Schlüsselcontainers mit dem Tool Aspnet_regiis.exe müssen Sie angeben, ob es sich bei dem RSA-Schlüsselcontainer um einen Container auf Computerebene oder auf Benutzerebene handelt. Ein RSA-Schlüsselcontainer wird anhand der -pku-Option als Container der Benutzerebene identifiziert, andernfalls wird angenommen, dass es sich um einen Container der Computerebene handelt.
Siehe auch
Aufgaben
Exemplarische Vorgehensweise: Erstellen und Exportieren eines RSA-Schlüsselcontainers
Weitere Ressourcen
Verschlüsseln von Konfigurationsinformationen mithilfe der geschützten Konfiguration