Munkafolyamat biztonsága
A Windows Workflow Foundation (WF) számos különböző technológiával integrálva van, például a Microsoft SQL Server és a Windows Communication Foundation (WCF). Az ilyen technológiák használata biztonsági problémákat okozhat a munkafolyamatban, ha helytelenül tették.
Adatmegőrzési biztonsági problémák
A tevékenységet és az adatmegőrzést Delay használó munkafolyamatokat egy szolgáltatásnak újra kell aktiválnia. A Windows AppFabric a Munkafolyamat-kezelési szolgáltatás (WMS) használatával aktiválja újra a munkafolyamatokat lejárt időzítőkkel. A WMS létrehoz egy újat WorkflowServiceHost az újraaktivált munkafolyamat üzemeltetéséhez. Ha a WMS szolgáltatás leáll, a tárolt munkafolyamatok nem lesznek újraaktiválva az időzítőik lejáratakor.
A tartós instancinghoz való hozzáférést védeni kell az alkalmazástartományon kívüli rosszindulatú entitásokkal szemben. Emellett a fejlesztőknek gondoskodniuk kell arról, hogy a rosszindulatú kód ne hajtható végre ugyanabban az alkalmazástartományban, mint a tartós instancing kód.
A tartós instancing nem futtatható emelt szintű (Rendszergazda istrator) engedélyekkel.
Az alkalmazástartományon kívül feldolgozott adatokat védeni kell.
A biztonsági elkülönítést igénylő alkalmazások nem osztozhatnak a séma absztrakciójának ugyanazon példányán. Az ilyen alkalmazásoknak különböző tárolószolgáltatókat kell használniuk, vagy különböző tár-példányok használatára konfigurált tárolószolgáltatókat kell használniuk.
AZ SQL Server biztonsági problémái
Ha nagy számú gyermektevékenységet, helyet, könyvjelzőt, gazdagépbővítményt vagy hatókört használnak, vagy ha nagyon nagy hasznos adattal rendelkező könyvjelzőket használnak, a memória kimerülhet, vagy felesleges mennyiségű adatbázisterület foglalható le a megőrzés során. Ez az objektumszintű és az adatbázisszintű biztonság használatával csökkenthető.
Használat esetén SqlWorkflowInstanceStorea példánytárolót biztonságossá kell tenni.
A példánytároló bizalmas adatait titkosítani kell. További információ: SQL Server Encryption.
Mivel az adatbázis kapcsolati sztring gyakran szerepel egy konfigurációs fájlban, windowsszintű biztonsági (ACL) biztonsági (ACL) használatával kell gondoskodni arról, hogy a konfigurációs fájl (Általában Web.Config) biztonságos legyen, és hogy a bejelentkezési és jelszóadatok ne szerepeljenek a kapcsolati sztring. Ehelyett windowsos hitelesítést kell használni az adatbázis és a webkiszolgáló között.
A WorkflowServiceHost szempontjai
A munkafolyamatokban használt Windows Communication Foundation (WCF) végpontokat védeni kell. További információt a WCF biztonsági áttekintésében talál.
A gazdagépszintű engedélyezés a következővel ServiceAuthorizationManagervalósítható meg: . A részletekért lásd : Egyéni engedélyezési kezelő létrehozása szolgáltatáshoz .
A bejövő üzenet ServiceSecurityContextje a munkafolyamaton belülről is elérhető az OperationContext eléréséhez.
WF Security Pack CTP
A Microsoft WF Security Pack community technology preview (CTP) 1 egy olyan tevékenységcsoport, amely a Windows Workflow Foundationen alapul a .NET-keretrendszer 4 -ben (WF 4) és a Windows Identity Foundationben (WIF). A Microsoft WF Security Pack CTP 1 mind a tevékenységeket, mind a tervezőket tartalmazza, amelyek bemutatják, hogyan lehet egyszerűen engedélyezni a különböző biztonsággal kapcsolatos forgatókönyveket munkafolyamatok használatával, például:
Ügyfélidentitás megszemélyesítése a munkafolyamatban
Munkafolyamaton belüli engedélyezés, például a PrincipalPermission és a jogcímek érvényesítése
Hitelesített üzenetküldés a munkafolyamatban megadott ügyfél-hitelesítő adatokkal, például felhasználónév/jelszó vagy egy biztonsági jogkivonat-szolgáltatásból (STS) lekért jogkivonat használatával
Ügyfélbiztonsági jogkivonat átadása háttérszolgáltatásba (jogcímalapú delegálás) WS-Trust ActA-k használatával
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: