wird von
Erweiterter Schutz ist ein Mechanismus zum Binden eines äußeren sicheren Kanals wie SSL an interne Kanalauthentifizierungsprotokolle wie Kerberos-APREQ und HTTP-Headerauthentifizierung.
Das Konzept des erweiterten Schutzes ist in RFC2743 definiert.
Der erweiterte Schutz wird, sofern verfügbar, automatisch auf dem Client konfiguriert, erfordert jedoch möglicherweise eine Konfiguration auf dem Server für nicht standardmäßige Szenarien.
Unterstützte Konfigurationen
Erweiterter Schutz wird unterstützt, wenn WS_HTTP_CHANNEL_BINDING mit Sicherheitsbindungen mithilfe von Windows Integrated Authentication-Protokollen wie WS_HTTP_HEADER_AUTH_SECURITY_BINDING und WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING verwendet werden. Die Konfiguration erfolgt über die folgenden Sicherheitseigenschaften:
- WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_POLICY
- WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_SCENARIO
- WS_SECURITY_PROPERTY_SERVICE_IDENTITIES
Folgende Konfigurationen mit erweitertem Schutz sind möglich:
Client
- WS_SSL_TRANSPORT_SECURITY_BINDING wird mit WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING oder WS_HTTP_HEADER_AUTH_SECURITY_BINDING verwendet. In dieser Konfiguration wird die Authentifizierungsbindung über ein erweitertes Schutztoken, das automatisch aus der SSL-Verbindung extrahiert wird, an die SSL-Verbindung gebunden.
- Es wird kein SSL verwendet und WS_HTTP_HEADER_AUTH_SECURITY_BINDING festgelegt. Die Authentifizierungsbindung wird über den Serverprinzipalnamen (Server Principal Name, SPN) gebunden, der automatisch vom WS_ENDPOINT_ADDRESS bestimmt wird.
Server
- WS_SSL_TRANSPORT_SECURITY_BINDING wird mit WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING oder WS_HTTP_HEADER_AUTH_SECURITY_BINDING verwendet. In dieser Konfiguration wird die Authentifizierungsbindung über ein erweitertes Schutztoken, das aus der SSL-Verbindung extrahiert und automatisch überprüft wird, an die SSL-Verbindung gebunden.
- Es wird kein SSL verwendet und WS_HTTP_HEADER_AUTH_SECURITY_BINDING festgelegt. Die Authentifizierungsbindung wird über den Serverprinzipalnamen (Server Principal Name, SPN) gebunden, der über WS_SECURITY_PROPERTY_SERVICE_IDENTITIES bereitgestellt werden muss. Wenn eine Nachricht empfangen wird, wird der SPN extrahiert und auf eine genaue Übereinstimmung mit den bereitgestellten Dienstnamen überprüft. Keine Bereitstellung von SPNs entspricht dem Festlegen WS_EXTENDED_PROTECTION_POLICY_NEVER.
- Es wird kein SSL verwendet, WS_EXTENDED_PROTECTION_SCENARIO_BOUND_SERVER angegeben und WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING verwendet. In dieser Konfiguration darf WS_SECURITY_PROPERTY_SERVICE_IDENTITIES nicht festgelegt werden. Es wird keine SPN-Überprüfung durchgeführt, die über das im Rahmen des Kerberos-Protokolls hinausgehen.
- WS_EXTENDED_PROTECTION_SCENARIO_TERMINATED_SSL wird angegeben, und es wird entweder WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING oder WS_HTTP_HEADER_AUTH_SECURITY_BINDING verwendet. WS_SECURITY_PROPERTY_SERVICE_IDENTITIES muss festgelegt werden.
Unterstützte Plattformen
Erweiterter Schutz wird auf Plattformen mit Unterstützung im Betriebssystem unterstützt. Windows 7 und Windows Server 2008 R2 bieten integrierte Unterstützung. Andere Plattformen erfordern möglicherweise ein Update.
Wenn das Betriebssystem des Servers diese Unterstützung nicht bereitstellt, werden alle vom Client gesendeten erweiterten Schutzinformationen ignoriert. Dadurch können Clients, die erweiterten Schutz verwenden, mit einem solchen Server kommunizieren, aber der Sicherheitsvorteil geht verloren. Auf dem Client WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING in Kombination mit WS_SSL_TRANSPORT_SECURITY_BINDING nur erweiterten Schutz unter Vista und höher unterstützt.
HINWEIS: Der erweiterte Schutz, der nicht verfügbar ist, verhindert nicht, dass eine bestimmte Konfiguration verwendet wird.
Interoperabilität
Ein standardmäßig konfigurierter Server kann mit SOAP-Clients kommunizieren, unabhängig davon, ob sie erweiterten Schutz verwenden oder nicht. Die eine Ausnahme sind Windows XP- und Windows Server 2003-WWSAPI-Clients, die aktualisiert wurden, um erweiterten Schutz zu unterstützen und sowohl WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING als auch WS_SSL_TRANSPORT_SECURITY_BINDING verwenden. Zur Unterstützung solcher Clients müssen WS_EXTENDED_PROTECTION_POLICY_NEVER vom Server angegeben werden. Server, die mit WS_EXTENDED_PROTECTION_POLICY_ALWAYS konfiguriert sind, lehnen die Kommunikation von Clients ab, die keinen erweiterten Schutz verwenden. Auf dem Client führt WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING kombination mit WS_SSL_TRANSPORT_SECURITY_BINDING dazu, dass die Nachricht mithilfe der http-Codierung für die verschlüsselte Übertragung unter Vista und höher gesendet wird. Dies kann zu Interopproblemen bei Servern führen, die keine blockierte Übertragung unterstützen.
Die folgenden Enumerationen/Konstanten sind Teil des erweiterten Schutzes:
Die folgenden Stuctures sind Teil des erweiterten Schutzes:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für