Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Gibt die Sicherheitseinstellungen eines lokalen Diensts für diese Bindung an.
<configuration>
<system.serviceModel>
<bindings>
<customBinding>
<binding>
<security>
<localServiceSettings>
Syntax
<security>
<localServiceSettings detectReplays="Boolean"
inactivityTimeout="TimeSpan"
issuedCookieLifeTime="TimeSpan"
maxCachedCookies="Integer"
maxClockSkew="TimeSpan"
maxPendingSessions="Integer"
maxStatefulNegotiations="Integer"
negotiationTimeout="TimeSpan"
reconnectTransportOnFailure="Boolean"
replayCacheSize="Integer"
replayWindow="TimeSpan"
sessionKeyRenewalInterval="TimeSpan"
sessionKeyRolloverInterval="TimeSpan"
timestampValidityDuration="TimeSpan" />
</security>
Attribute und Elemente
In den folgenden Abschnitten werden Attribute sowie untergeordnete und übergeordnete Elemente beschrieben.
Attribute
| Merkmal | Description |
|---|---|
detectReplays |
Ein boolescher Wert, der angibt, ob Replay-Angriffe auf den Kanal erkannt und automatisch behandelt werden. Der Standardwert lautet false. |
inactivityTimeout |
Ein positiver TimeSpan Wert, der die Dauer der Inaktivität angibt, die der Kanal wartet, bevor es zu einem Zeitüberschreitung kommt. Der Standardwert ist "01:00:00". |
issuedCookieLifeTime |
A TimeSpan that specifies the lifetime issued to all new security cookies. Cookies, die ihre Lebensdauer überschreiten, werden recycelt und müssen erneut ausgehandelt werden. Der Standardwert ist "10:00:00". |
maxCachedCookies |
Eine positive ganze Zahl, die die maximale Anzahl von Cookies angibt, die zwischengespeichert werden können. Der Standardwert lautet 1000. |
maxClockSkew |
Ein TimeSpan Wert, der die maximale Zeitdifferenz zwischen den Systemuhren der beiden kommunizierenden Parteien angibt. Der Standardwert ist "00:05:00". Wenn dieser Wert auf die Standardeinstellung festgelegt ist, akzeptiert der Empfänger Nachrichten mit Sendezeitstempeln bis zu 5 Minuten später oder früher als die Zeit, zu der die Nachricht empfangen wurde. Nachrichten, die den Sendezeittest nicht bestehen, werden abgelehnt. Diese Einstellung wird in Verbindung mit dem replayWindow Attribut verwendet. |
maxPendingSessions |
Eine positive ganze Zahl, die die maximale Anzahl ausstehender Sicherheitssitzungen angibt, die der Dienst unterstützt. Wenn dieser Grenzwert erreicht ist, erhalten alle neuen Clients SOAP-Fehler. Der Standardwert lautet „1000“. |
maxStatefulNegotiations |
Eine positive ganze Zahl, die die Anzahl der Sicherheitsverhandlungen angibt, die gleichzeitig aktiv sein können. Verhandlungssitzungen, die den Grenzwert überschreiten, werden in die Warteschlange eingereiht und können nur abgeschlossen werden, wenn ein Leerraum unter dem Grenzwert verfügbar ist. Der Standardwert ist 1024. |
negotiationTimeout |
A TimeSpan that specifies the lifetime of the security policy used by channel. Wenn die Zeit abläuft, wird der Kanal für eine neue Sicherheitsrichtlinie mit dem Client umverhandelt. Der Standardwert ist "00:02:00". |
reconnectTransportOnFailure |
Ein boolescher Wert, der angibt, ob Verbindungen mit WS-Reliable Messaging nach Transportfehlern erneut verbunden werden. Der Standardwert ist true, was bedeutet, dass unendliche Versuche zum erneuten Verbinden versucht werden. Der Zyklus wird durch das Inaktivitätstimeout unterbrochen, was bewirkt, dass der Kanal eine Ausnahme auslöst, wenn sie nicht erneut verbunden werden kann. |
replayCacheSize |
Eine positive ganze Zahl, die die Anzahl der zwischengespeicherten Nonces angibt, die für die Erkennung der Wiedergabe verwendet werden. Wenn dieser Grenzwert überschritten wird, wird die älteste Nonce entfernt und eine neue Nonce für die neue Nachricht erstellt. Der Standardwert ist 500000. |
replayWindow |
Ein TimeSpan Wert, der die Dauer angibt, in der einzelne Nachrichten nonces gültig sind. Nach dieser Dauer wird eine Nachricht, die mit der gleichen Nonce wie die zuvor gesendete gesendet wurde, nicht akzeptiert. Dieses Attribut wird in Verbindung mit dem maxClockSkew Attribut verwendet, um Replay-Angriffe zu verhindern. Ein Angreifer kann eine Nachricht wiedergeben, nachdem das Wiedergabefenster abgelaufen ist. Diese Nachricht würde jedoch den Test nicht bestehen, bei dem maxClockSkew Nachrichten mit Sendezeitstempeln bis zu einem bestimmten Zeitpunkt später oder früher als der Empfang der Nachricht abgelehnt werden. |
sessionKeyRenewalInterval |
Ein TimeSpan Wert, der die Dauer angibt, nach der der Initiator den Schlüssel für die Sicherheitssitzung verlängert. Der Standardwert ist "10:00:00". |
sessionKeyRolloverInterval |
A TimeSpan that specifies the time interval a previous session key is valid on incoming messages during a key renewal. Der Standardwert ist "00:05:00". Während der Schlüsselverlängerung muss der Client und der Server immer Nachrichten mit dem aktuellsten verfügbaren Schlüssel senden. Beide Parteien akzeptieren eingehende Nachrichten, die mit dem vorherigen Sitzungsschlüssel gesichert sind, bis die Rolloverzeit abläuft. |
timestampValidityDuration |
Ein Positiver TimeSpan Wert, der die Dauer angibt, in der ein Zeitstempel gültig ist. Der Standardwert ist "00:15:00". |
Untergeordnete Elemente
Keiner.
Übergeordnete Elemente
| Element | Description |
|---|---|
| <Sicherheit> | Gibt die Sicherheitsoptionen für eine benutzerdefinierte Bindung an. |
| <secureConversationBootstrap> | Gibt die Standardwerte an, die zum Initiieren eines sicheren Unterhaltungsdiensts verwendet werden. |
Bemerkungen
Die Einstellungen sind lokal, da sie nicht als Teil der Sicherheitsrichtlinie des Diensts veröffentlicht werden und sich nicht auf die Bindung des Clients auswirken.
Die folgenden Attribute des localServiceSecuritySettings Elements können dazu beitragen, einen DoS-Sicherheitsangriff (Denial-of-Service) zu mindern:
maxCachedCookies: steuert die maximale Anzahl zeitgebundener SecurityContextTokens, die vom Server zwischengespeichert werden, nachdem SPNEGO oder SSL-Aushandlung ausgeführt wurde.issuedCookieLifetime: steuert die Lebensdauer der SecurityContextTokens, die vom Server nach SPNEGO oder SSL-Aushandlung ausgegeben werden. Der Server speichert die SecurityContextTokens für diesen Zeitraum zwischen.maxPendingSessions: steuert die maximale Anzahl sicherer Unterhaltungen, die auf dem Server eingerichtet wurden, für die jedoch keine Anwendungsnachrichten verarbeitet wurden. Dieses Kontingent verhindert, dass Clients sichere Unterhaltungen am Dienst herstellen, wodurch der Dienst den Status für jeden Client beibehalten, aber nie verwendet.inactivityTimeout: steuert die maximale Zeit, in der der Dienst eine sichere Unterhaltung lebendig hält, ohne jemals eine Anwendungsnachricht darauf zu erhalten. Dieses Kontingent verhindert, dass Clients sichere Unterhaltungen am Dienst herstellen, wodurch der Dienst den Status für jeden Client beibehalten, aber nie verwendet.
Beachten Sie in einer sitzung für sichere Unterhaltungen, dass sich sowohl die inactivityTimeoutreceiveTimeout Attribute für die Bindung auf das Sitzungstimeout auswirken. Die kürzere der beiden bestimmt, wann Timeouts auftreten.
Siehe auch
- LocalServiceSecuritySettingsElement
- LocalServiceSettings
- LocalServiceSettings
- LocalServiceSecuritySettings
- CustomBinding
- Bindungen
- Erweitern von Bindungen
- Benutzerdefinierte Bindungen
- <Custombinding>
- Vorgehensweise: Erstellen einer benutzerdefinierten Bindung mit dem SecurityBindingElement
- Benutzerdefinierte Bindungssicherheit
Arbeiten Sie mit uns auf GitHub zusammen
Die Quelle für diesen Inhalt findet man auf GitHub, wo Sie auch Probleme und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
