Überlegungen zur COM+ SOAP-Dienstsicherheit
Der COM+-SOAP-Dienst hängt aus Sicherheitsgründen vom IIS-Webserver ab. Auch im clientaktivierten Objektmodus überträgt ein COM+-RPC die Clientidentität nicht und kann daher nicht die rollenbasierte Sicherheit oder ein anderes von DCOM bereitgestelltes Sicherheitsfeature nutzen. Wenn Sie die Privatsphäre von Daten schützen möchten, die an und von Ihrem XML-Webdienst übertragen werden, oder um Ihren XML-Webdienst vor nicht autorisiertem Zugriff zu schützen, können Sie IIS so konfigurieren, dass der Zugriff auf einen XML-Webdienst basierend auf einer Client-IP-Adresse eingeschränkt wird oder dass ein Client ein digitales Zertifikat vorzeigt, um seine Identität zu überprüfen. Wenn Sie den Zugriff nicht einschränken, kann jeder Client, der mit Ihrem Webserver kommunizieren kann, auf Ihren XML-Webdienst zugreifen.
Sie können IIS so konfigurieren, dass die Kommunikation Ihrer XML-Webdienste mit Clients mithilfe von SSL- oder TLS-Protokollen mit öffentlichen Schlüsseln verschlüsselt wird. Wenn Sie die SOAP-Kommunikation nicht verschlüsseln, können daten, die zwischen einem Client und einem Server ausgetauscht werden, von einem Dritten beobachtet werden, der Zugriff auf jedes Netzwerk hat, über das die SOAP-Kommunikation übertragen wird; Je nach Netzwerktopologie kann dies ein kleines LAN oder das Internet sein.
Standardmäßig werden unverschlüsselte SOAP-Kommunikationen am HTTP-Port (80) und verschlüsselte SOAP-Kommunikation am HTTPS-Port (443) empfangen. Damit ein Client erfolgreich auf einen XML-Webdienst zugreifen kann, müssen alle Firewalls zwischen dem Client und dem Server so konfiguriert werden, dass TCP SYN-Pakete den entsprechenden Serverport erreichen können. Umgekehrt kann ein Firewalladministrator diese Ports schließen, um den Zugriff auf XML-Webdienste einzuschränken.
Die Standardsicherheitseinstellungen für eine COM-Komponente, die als XML-Webdienst verfügbar gemacht wird, unterscheiden sich je nach installierter Version des Microsoft .NET Framework. Wenn Version 1.0 installiert ist, sind XML-Webdienste standardmäßig unsicher. alle Aufrufe werden akzeptiert, und es wird keine Verschlüsselung verwendet. Wenn Version 1.1 oder höher installiert ist, sind XML-Webdienste standardmäßig sicher. Aufrufer müssen authentifiziert werden, und eine Verschlüsselung ist erforderlich.
Ein geschützter XML-Webdienst unterstützt keinen WKO-Zugriff über WSDL. Stattdessen können Clients, die die .NET Framework Version 1.1 installiert haben, sie im CAO-Modus aufrufen. Wenn Drittanbieterclients über WSDL auf Ihren XML-Webdienst zugreifen müssen, müssen Sie anonymen Zugriff zulassen.
Eine COM-Komponente, die als XML-Webdienst verfügbar gemacht wird, wird standardmäßig mit den Berechtigungen des anonymen Benutzers (nicht mit den Berechtigungen des Aufrufers) ausgeführt. Sie können IIS so konfigurieren, dass der XML-Webdienst als anderer Benutzer ausgeführt wird. Dies kann manchmal erforderlich sein, da Ihre Komponente Dateien oder andere Ressourcen verwendet, auf die der anonyme Benutzer keinen Zugriff hat. Dennoch sollten Sie immer versuchen, Ihre Komponente mit den geringsten Rechten auszuführen, um den Schaden zu begrenzen, den ein böswilliger Aufrufer verursachen kann.
Hinweis
Da eine Methode, die Sie über einen XML-Webdienst verfügbar gemacht haben, potenziell böswilligen Aufrufern ausgesetzt sein kann, sollten Sie immer alle Eingabeparameter überprüfen, von denen sie abhängig ist.
Ausführliche Anweisungen zum Konfigurieren bestimmter XML-Webdienstsicherheitseinstellungen finden Sie unter Schützen von XML-Webdiensten.
So konvertieren Sie eine sichere SOAP-Anwendung in eine unsichere SOAP-Anwendung
- Öffnen Sie das Iis-Verwaltungstool (Internet Information Services).
- Suchen Sie das virtuelle Verzeichnis für die Anwendung, und öffnen Sie das Dialogfeld Eigenschaften .
- Aktivieren Sie auf der Registerkarte Dokumente die Option Standardinhalt aktivieren.
- Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Anonymer Zugriff und Authentifizierungssteuerung aufBearbeiten.
- Aktivieren Sie anonymen Zugriff , um den anonymen Zugriff zu aktivieren, und klicken Sie auf OK.
- Klicken Sie unter Sichere Kommunikation auf Bearbeiten.
- Deaktivieren Sie das Kontrollkästchen Secure Channel (SSL) anfordern .
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für