wird von

Erweiterter Schutz ist ein Mechanismus zum Binden eines äußeren sicheren Kanals wie SSL an Interne Kanalauthentifizierungsprotokolle wie Kerberos-APREQ und HTTP-Headerauthentifizierung.

Das Konzept des erweiterten Schutzes wird in RFC2743 definiert.

Erweiterter Schutz wird, sofern verfügbar, automatisch auf dem Client konfiguriert, erfordert jedoch möglicherweise eine Konfiguration auf dem Server für nicht standardmäßige Szenarien.

Unterstützte Konfigurationen

Erweiterter Schutz wird unterstützt, wenn WS_HTTP_CHANNEL_BINDING mit Sicherheitsbindungen mithilfe von Integrierten Windows-Authentifizierungsprotokollen wie WS_HTTP_HEADER_AUTH_SECURITY_BINDING und WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING verwendet wird. Sie wird über die folgenden Sicherheitseigenschaften konfiguriert:

• WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_POLICY
• WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_SCENARIO
• WS_SECURITY_PROPERTY_SERVICE_IDENTITIES

Die folgenden Konfigurationen mit erweitertem Schutz sind möglich:

Client

• WS_SSL_TRANSPORT_SECURITY_BINDING wird mit WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING oder WS_HTTP_HEADER_AUTH_SECURITY_BINDING verwendet. In dieser Konfiguration ist die Authentifizierungsbindung über ein erweitertes Schutztoken an die SSL-Verbindung gebunden, das automatisch aus der SSL-Verbindung extrahiert wird.
• Es wird kein SSL verwendet und WS_HTTP_HEADER_AUTH_SECURITY_BINDING festgelegt. Die Authentifizierungsbindung wird über den Serverprinzipalnamen (SPN) gebunden, der automatisch vom WS_ENDPOINT_ADDRESS bestimmt wird.

Server

• WS_SSL_TRANSPORT_SECURITY_BINDING wird mit WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING oder WS_HTTP_HEADER_AUTH_SECURITY_BINDING verwendet. In dieser Konfiguration ist die Authentifizierungsbindung über ein erweitertes Schutztoken, das aus der SSL-Verbindung extrahiert und automatisch überprüft wird, an die SSL-Verbindung gebunden.
• Es wird kein SSL verwendet und WS_HTTP_HEADER_AUTH_SECURITY_BINDING festgelegt. Die Authentifizierungsbindung ist über den Serverprinzipalnamen (SPN) gebunden, der über WS_SECURITY_PROPERTY_SERVICE_IDENTITIES bereitgestellt werden muss. Wenn eine Nachricht empfangen wird, wird der SPN extrahiert und überprüft, um eine genaue Übereinstimmung mit den bereitgestellten Dienstnamen zu erhalten. Das Bereitstellen von SPNs entspricht der Einstellung WS_EXTENDED_PROTECTION_POLICY_NEVER.
• Es wird kein SSL verwendet, WS_EXTENDED_PROTECTION_SCENARIO_BOUND_SERVER wird angegeben und WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING verwendet. In dieser Konfiguration darf WS_SECURITY_PROPERTY_SERVICE_IDENTITIES nicht festgelegt werden. Im Rahmen des Kerberos-Protokolls wird keine SPN-Überprüfung durchgeführt.
• WS_EXTENDED_PROTECTION_SCENARIO_TERMINATED_SSL wird angegeben und entweder WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING oder WS_HTTP_HEADER_AUTH_SECURITY_BINDING verwendet. WS_SECURITY_PROPERTY_SERVICE_IDENTITIES muss festgelegt werden.

Unterstützte Plattformen

Erweiterter Schutz wird auf Plattformen mit Unterstützung für den Schutz im Betriebssystem unterstützt. Windows 7 und Windows Server 2008 R2 bieten integrierte Unterstützung. Für andere Plattformen ist möglicherweise ein Update erforderlich.

Wenn das Betriebssystem des Servers diese Unterstützung nicht bereitstellt, werden alle vom Client gesendeten erweiterten Schutzinformationen ignoriert. Daher können Clients, die einen erweiterten Schutz verwenden, mit einem solchen Server kommunizieren, aber der Sicherheitsvorteil geht verloren. Auf dem Client unterstützt WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING in Kombination mit WS_SSL_TRANSPORT_SECURITY_BINDING nur erweiterten Schutz unter Vista und höher.

HINWEIS: Der erweiterte Schutz, der nicht verfügbar ist, verhindert nicht, dass eine bestimmte Konfiguration verwendet wird.

Interoperabilität

Ein standardmäßig konfigurierter Server kann unabhängig davon, ob sie erweiterten Schutz verwenden, mit SOAP-Clients kommunizieren. Die einzige Ausnahme sind Windows XP- und Windows Server 2003 WWSAPI-Clients, die aktualisiert wurden, um erweiterten Schutz zu unterstützen und sowohl WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING als auch WS_SSL_TRANSPORT_SECURITY_BINDING zu verwenden. Um solche Clients zu unterstützen, muss WS_EXTENDED_PROTECTION_POLICY_NEVER vom Server angegeben werden. Server, die mit WS_EXTENDED_PROTECTION_POLICY_ALWAYS konfiguriert sind, lehnen die Kommunikation von Clients ab, die keinen erweiterten Schutz verwenden. Auf dem Client führt WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING in Kombination mit WS_SSL_TRANSPORT_SECURITY_BINDING dazu, dass die Nachricht mit der HTTP-Blocked Transfer-Codierung unter Vista und höher gesendet wird. Dies kann zu Interopproblemen mit Servern führen, die die blockierte Übertragung nicht unterstützen.

Die folgenden Enumerationen/Konstanten sind Teil des erweiterten Schutzes:

• WS_EXTENDED_PROTECTION_POLICY
• WS_EXTENDED_PROTECTION_SCENARIO

Die folgenden Stuctures sind Teil des erweiterten Schutzes:

• WS_SERVICE_SECURITY_IDENTITIES