Модель безопасности (кэширование в Windows Server AppFabric)
Компоненты кэширования Windows Server AppFabric предоставляют ряд возможностей для управления безопасностью. По умолчанию связь между клиентами кэша и кластером кэша осуществляется с использованием шифрования и подписывания. Кроме того, следует в явной форме добавить учетную запись Windows в список разрешенных учетных записей, чтобы связанный с ней пользователь получил доступ к кластеру кэша.
Параметры безопасности кластера кэша
Для кластера кэша можно задать два режима защиты: None и Transport. При использовании режима None данные, передаваемые между кластером кэша и клиентами кэша, не шифруются и не подписываются. Это делает данные уязвимыми для сетевых атак злоумышленников, стремящихся перехватить или изменить данные. Кроме того, с кластером кэша могут взаимодействовать любые клиенты кэша, даже если им не был явно предоставлен доступ. Если используется режим защиты по умолчанию (Transport), доступ к кластеру кэша имеют только явно указанные учетные записи Windows.
Для данных, передаваемых между кластером кэша и клиентами кэша, используются три уровня защиты: None, Sign и EncryptAndSign. Режим None не обеспечивает дополнительных средств безопасности. Режим Sign защищает данные в сети от изменения злоумышленниками. Режим EncryptAndSign позволяет шифровать данные перед подписыванием. Режимы Sign и EncryptAndSign можно использовать только в режиме безопасности Transport.
Для изменения режима безопасности или уровня защиты кластера кэша используется команда Set-CacheClusterSecurity в Windows PowerShell.
Примечание
При включении режима безопасности служба кэша AppFabric должна работать с использованием подходящего удостоверения. В доменных средах это должна быть встроенная учетная запись «NT Authority\Network Service». В рабочих группах это должна быть учетная запись локального компьютера. Тем не менее для доменных сред относительно учетной записи службы действует одно исключение. Если безопасность отключена путем выбора режима безопасности None, запустить службу кэша AppFabric можно с использованием доменной учетной записи, отличной от «Network Service».
Параметры безопасности клиента кэша
Как и в случае с параметрами безопасности кластера кэша, клиента кэша допускает настройку параметров безопасности в файле конфигурации приложения с помощью элемента securityProperties. Безопасность клиента также можно настроить программными средствами, используя класс DataCacheSecurity вместе со свойством SecurityProperties класса DataCacheFactoryConfiguration. Дополнительные сведения см. в разделе Параметры конфигурации приложения (кэширование в Windows Server AppFabric).
Важно, чтобы параметры клиента кэша и кластера кэша допускали соединение. В приведенной ниже таблице столбцы представляют режим безопасности сервера, а строки — режим безопасности клиента. Все комбинации описываются как «Работает» или «Не работает» в зависимости от допустимости соединения.
| Параметры клиента | Mode=None, ProtectionLevel=Any | Mode=Transport, ProtectionLevel=None | Mode=Transport, ProtectionLevel=Sign | Mode=Transport, ProtectionLevel=EncryptAndSign |
|---|---|---|---|---|
None, Any |
Работает |
Не работает |
Не работает |
Не работает |
Transport, None |
Не работает |
Работает |
Не работает |
Не работает |
Transport, Sign |
Не работает |
Работает |
Работает |
Не работает |
Transport, EncryptAndSign |
Не работает |
Работает |
Работает |
Работает |
Допустимые клиентские учетные записи
При включении режима безопасности Transport все подключения клиентов кэша к кластеру кэша должны быть явно разрешены. Это можно сделать с помощью команды Grant-CacheAllowedClientAccount в Windows PowerShell. Дополнительные сведения см. в разделе Использование Windows PowerShell для управления компонентами кэширования в Windows Server AppFabric.
Мастер настройки безопасности
AppFabric позволяет использовать мастер настройки безопасности (SCW) в системе Windows Server 2008. Можно зарегистрировать в SCW предоставляемый файл шаблона, задающий минимальные параметры, необходимые для запуска кэша AppFabric. Хотя файл шаблона WindowsServerAppFabric.xml устанавливается вместе с AppFabric, следует вручную зарегистрировать его в SCW перед использованием этого средства. Данный процесс описан ниже.
Найдите файл WindowsServerAppFabric.xml в каталоге .\Windows\System32\AppFabric.
Откройте файл WindowsServerAppFabric.xml. Убедитесь, что сведения о версии операционной системы в элементе
SCWKBRegistrationInfoсоответствуют текущему компьютеру. Если это не так, поменяйте атрибуты в соответствии со следующей таблицей и сохраните изменения.Операционная система OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
Откройте окно командной строки с административными привилегиями.
Выполните следующую команду:
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
Теперь при использовании мастера настройки безопасности должна отображаться роль «Служба кэша Windows Server AppFabric».
См. также
Основные понятия
Использование Windows PowerShell для управления компонентами кэширования в Windows Server AppFabric
Основные принципы кэширования Windows Server AppFabric
2011-12-05