Sécurité des applications .NET

Notions de développements .NET

Mettre en oeuvre les mécanismes de sécurité offerts par le framework.NET dans des applications d'entreprise.

Introduction

Concepts de sécurité: authentification, protection, cryptage
Rappels de la structure de la plateforme.NET
Niveaux de sécurité: application, environnement d'exécution (CLR), framework

Sécurité d'accès au code (CLR)

Signature et vérification du code
Configuration du CLR et modèles de protection
Stratégie de sécurité CLR
Déploiement et règles d'exécution des applications

Atelier pratique: chargement et sécurisation d'assembly (Code Access Security) - Chargement et déchargement de code d'un appdomain

Mécanismes de protection et de cryptage.NET

Notions de cryptographie: modèles (symétrique/asymétrique) et moteur
API.NET pour le cryptage et la gestion des certificats (signature, utilisation)
Dialogue sécurisé (SSL et HTTPS)

Atelier pratique: cryptage de données avec Cryptography.Pkcs - utilisation de plusieurs outils de sécurité (Certificate Creation/Manage Tool, File Signing Tool,...)

Authentification et gestion des accès

Mécanisme d'authentification offerts par.NET
Role based et Configuration des Policies.Net sur un poste (codegroups)
Mise en place d'un modèle de protection
Restrictions d'exécution et utilisation d'environnements de stockage isolés

Atelier pratique: objets Identity et Principal - Utilisation des ACL et DACL - Gestion des politiques de sécurité à l’aide de Mscorcfg.msc

Sécurité applicative

Modes d'attaque classiques
Gestion des clés et des mots de passe
Sécurité des applications Web (IIS, ASP.NET, SharePoint)
Sécurité des services web: mise en oeuvre.NET du standard WSS-I

Atelier pratique: sécurisation des applications ASP.NET - Sécurité dans IIS - Mise en place WS-Security

Méthodologie basée sur l'Active Learning : 75% de pratique minimum. Chaque point théorique est systématiquement suivi d'exemples et exercices.

Contrôle continu

Attestation de fin de stage mentionnant le résultat des acquis