Sicherheitsmodell (Windows Server AppFabric-Cache)
Die Windows Server AppFabric-Cachefeatures bieten verschiedene Optionen für das Verwalten der Sicherheit. Standardmäßig werden für die Kommunikation zwischen Cacheclients und dem Cachecluster sowohl Verschlüsselung als auch Signierung verwendet. Darüber hinaus muss der Liste der zulässigen Konten explizit ein Windows-Konto hinzugefügt werden, bevor der zugeordnete Benutzer auf den Cachecluster zugreifen kann.
Sicherheitseinstellungen für den Cachecluster
Es bestehen zwei Schutzmodi, die auf dem Cachecluster festgelegt werden können: None und Transport. Bei der Festlegung auf None werden die zwischen dem Cachecluster und Cacheclients übertragenen Daten nicht verschlüsselt oder signiert. Dadurch werden die Daten potenziell für bösartige Netzwerkattacken zugänglich, die Daten protokollieren oder ändern. Darüber hinaus können alle Cacheclients mit dem Cachecluster kommunizieren, auch, wenn ihnen nicht explizit Zugriff erteilt wurde. Wenn der Schutzmodus auf die Standardeinstellung Transport festgelegt ist, können nur zulässige Windows-Konten auf den Cachecluster zugreifen.
Es bestehen drei Schutzstufen für die zwischen einem Cachecluster und Cacheclients übertragenen Daten: None, Sign und EncryptAndSign. Die Einstellung None bietet keine weitere Sicherheit. Die Einstellung Sign schützt die Daten im Netzwerk vor Manipulation. Bei der Einstellung EncryptAndSign werden die Daten vor dem Signieren verschlüsselt. Sign und EncryptAndSign können nur angegeben werden, wenn der Sicherheitsmodus auf Transport festgelegt ist.
Verwenden Sie zum Ändern des Sicherheitsmodus oder der Schutzstufe für den Cachecluster den Windows PowerShell-Befehl Set-CacheClusterSecurity.
Hinweis
Wenn die Sicherheit aktiviert ist, muss der AppFabric-Cachedienst unter einer passenden Identität ausgeführt werden. In Domänenumgebungen sollte dies das integrierte Konto „NT-AUTORITÄT\Netzwerkdienst“ sein. In Arbeitsgruppenumgebungen soll dies ein lokales Computerkonto sein. Jedoch besteht eine Ausnahme für die Dienstkontoeinstellung für eine Domänenumgebung. Wenn die Sicherheit durch Festlegen des Sicherheitsmodus auf None deaktiviert ist, kann der AppFabric-Cachedienst unter einem anderen spezifischen Domänenkonto als dem Netzwerkdienst ausgeführt werden.
Sicherheitseinstellungen für Cacheclients
Wie auch bei den Sicherheitseinstellungen für den Cachecluster, können für den Cacheclient Sicherheitseinstellungen in der Anwendungskonfigurationsdatei mithilfe des Elements securityProperties konfiguriert werden. Alternativ kann die Sicherheit auf dem Client programmgesteuert mithilfe der DataCacheSecurity-Klasse in Verbindung mit der SecurityProperties-Eigenschaft der DataCacheFactoryConfiguration-Klasse konfiguriert werden. Weitere Informationen finden Sie unter Anwendungskonfigurationseinstellungen (Windows Server AppFabric-Cache).
Es ist wichtig, dass Cacheclient und Cachecluster Sicherheitseinstellungen verwenden, die eine Verbindung ermöglichen. In der nachfolgenden Tabelle stellen die Spalten die Sicherheitseinstellung auf dem Server und die Zeilen die Sicherheitseinstellung auf dem Client dar. Jede Kombination ist als „Zulässig“ oder „Abgelehnt“ aufgelistet, abhängig von der Zulässigkeit der Verbindung.
| Clienteinstellungen | Mode=None, ProtectionLevel=Any | Mode=Transport, ProtectionLevel=None | Mode=Transport, ProtectionLevel=Sign | Mode=Transport, ProtectionLevel=EncryptAndSign |
|---|---|---|---|---|
Ohne, Beliebig |
Zulässig |
Abgelehnt |
Abgelehnt |
Abgelehnt |
Transport, Ohne |
Abgelehnt |
Zulässig |
Abgelehnt |
Abgelehnt |
Transport, signiert |
Abgelehnt |
Zulässig |
Zulässig |
Abgelehnt |
Transport, verschlüsselt und signiert |
Abgelehnt |
Zulässig |
Zulässig |
Zulässig |
Zulässige Clientkonten
Wenn der Sicherheitsmodus auf Transport festgelegt ist, müssen alle Cacheclients, die Verbindungen mit dem Cachecluster herzustellen versuchen, explizit zugelassen werden. Dies erfolgt mithilfe des Befehls Grant-CacheAllowedClientAccount in Windows PowerShell. Weitere Informationen finden Sie unter Verwenden von Windows PowerShell zum Verwalten von Windows Server AppFabric-Cachefeatures.
Sicherheitskonfigurations-Assistent
AppFabric unterstützt die Verwendung des Sicherheitskonfigurations-Assistenten (SCW, Security Configuration Wizard) in Windows Server 2008. Sie können eine bereitgestellte Vorlagendatei bei SCW registrieren, in der die Minimaleinstellungen angegeben sind, die für die Ausführung des AppFabric-Cachediensts erforderlich sind. Obwohl die Vorlagendatei WindowsServerAppFabric.xml zusammen mit AppFabric installiert wird, müssen Sie sie manuell bei SCW registrieren, bevor Sie das Tool verwenden. Dieser Vorgang wird in den folgenden Schritten beschrieben.
Suchen Sie die Datei WindowsServerAppFabric.xml im Verzeichnis .\Windows\System32\AppFabric.
Öffnen Sie die Datei WindowsServerAppFabric.xml. Stellen Sie sicher, dass die Versionsinformationen des Betriebssystems im
SCWKBRegistrationInfo-Element mit dem aktuellen Computer übereinstimmen. Ändern Sie andernfalls die Attribute gemäß der folgenden Tabelle, und speichern Sie die Änderungen.Betriebssystem OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
Öffnen Sie eine Administratoreingabeaufforderung .
Führen Sie den folgenden Befehl aus:
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
Bei Verwendung des Sicherheitskonfigurations-Assistenten als Verwaltungstool sollte jetzt eine installierte Rolle mit dem Namen „Windows Server AppFabric-Cachedienst“ angezeigt werden.
Siehe auch
Konzepte
Verwenden von Windows PowerShell zum Verwalten von Windows Server AppFabric-Cachefeatures
Windows Server AppFabric-Cachekonzepte
2011-12-05