Sesi Null
Terkadang panggilan yang tiba pada sesi null dapat muncul seperti panggilan terautentikasi. Secara khusus, memanggil fungsi RpcBindingInqAuthClient mengembalikan tingkat autentikasi dan penyedia keamanan yang digunakan untuk panggilan. Operasi ini tidak berarti panggilan tidak pada sesi null. Dua masalah tersebut bersifat ortogonal. Pada Microsoft Windows 2000, panggilan prosedur jarak jauh dapat mencoba meniru pemanggil dan memeriksa izin setelah peniruan. Pada Microsoft Windows XP, lebih cepat untuk memanggil fungsi RpcServerInqCallAttributes dan memeriksa bendera NullSession .
Perbedaan relevan lainnya ada antara Windows 2000 dan Windows XP. Jika hanya bendera RPC_IF_ALLOW_SECURE_ONLY yang ditentukan, panggilan pada sesi null masuk ke Windows 2000. Di Windows XP, dengan pengetatan umum pengaturan keamanan default, ketika bendera ini ditentukan, panggilan pada sesi null ditolak dengan akses ditolak. Namun, bahkan dengan bendera RPC_IF_ALLOW_SECURE_ONLY, RPC tidak menjamin tingkat hak istimewa pengguna panggilan. Semua pemeriksaan RPC adalah bahwa pengguna memiliki kredensial yang valid. Ada kemungkinan bahwa pengguna panggilan menggunakan akun tamu atau akun istimewa rendah lainnya. Pastikan server tidak mengasumsikan hak istimewa tinggi setelah RPC_IF_ALLOW_SECURE_ONLY digunakan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk