Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano przykład ExtendedProtection.
Rozszerzona ochrona to inicjatywa zabezpieczeń chroniąca przed atakami typu man-in-the-middle (MITM). Atak MITM jest zagrożeniem bezpieczeństwa, w którym MITM pobiera poświadczenia klienta i przekazuje je do serwera.
Dyskusja
Gdy aplikacje uwierzytelniają się przy użyciu protokołów Kerberos, Digest lub NTLM oraz HTTPS, najpierw ustanawiany jest kanał TLS, a następnie uwierzytelnianie odbywa się przez ten bezpieczny kanał. Nie ma jednak powiązania między kluczem sesji generowanym przez protokół SSL a kluczem sesji wygenerowany podczas uwierzytelniania. Każdy mitM może ustanowić się między klientem a serwerem i rozpocząć przekazywanie żądań od klienta, nawet jeśli sam kanał transportu jest bezpieczny, ponieważ serwer nie ma możliwości ustalenia, czy bezpieczny kanał został ustanowiony z klienta lub MITM. Rozwiązaniem w tym scenariuszu jest powiązanie zewnętrznego kanału TLS z wewnętrznym kanałem uwierzytelniania, tak aby serwer mógł wykryć, czy istnieje mitM.
Uwaga / Notatka
Ten przykład działa tylko w przypadku hostowania w usługach IIS.
Uwaga / Notatka
Poniższe kroki są specyficzne dla systemu Windows 7.
Aby skonfigurować, skompilować i uruchomić przykładowy program
Zainstaluj internetowe usługi informacyjne z panelu sterowania, dodaj/usuń programy, funkcje systemu Windows.
Zainstaluj uwierzytelnianie systemu Windows w funkcjach systemu Windows, usługach Internet Information Services, światowych usługach sieci Web, zabezpieczeniach i uwierzytelnianiu systemu Windows.
Zainstaluj aktywację HTTP programu Windows Communication Foundation w funkcjach systemu Windows, programie Microsoft .NET Framework 3.5.1 i aktywacji HTTP programu Windows Communication Foundation.
Ten przykład wymaga od klienta ustanowienia bezpiecznego kanału z serwerem, dlatego wymaga obecności certyfikatu serwera, który można zainstalować z Menedżera usług Internet Information Services (IIS).
Otwórz Menedżera usług IIS. Otwórz certyfikaty serwera, które są wyświetlane na karcie Widok funkcji po wybraniu węzła głównego (nazwy maszyny).
Na potrzeby testowania tego przykładu utwórz certyfikat z podpisem własnym. Jeśli nie chcesz, aby przeglądarka wyświetlała monit, że certyfikat nie jest bezpieczny, zainstaluj certyfikat w magazynie głównym zaufanych urzędów certyfikacji.
Otwórz okienko Akcje domyślnej witryny sieci Web. Kliknij Edytuj witrynę i Powiązania. Dodaj protokół HTTPS jako typ, jeśli jeszcze nie istnieje, z numerem portu 443. Przypisz certyfikat SSL utworzony w poprzednim kroku.
Zbuduj usługę. Spowoduje to utworzenie katalogu wirtualnego w usługach IIS i skopiowanie plików .dll, .svc i .config zgodnie z wymaganiami, aby usługa była hostowana w sieci Web.
Otwórz Menedżera usług IIS. Kliknij prawym przyciskiem myszy katalog wirtualny (ExtendedProtection), który został utworzony w poprzednim kroku. Wybierz pozycję Konwertuj na aplikację.
Otwórz moduł Uwierzytelniania w Menedżerze usług IIS dla tego katalogu wirtualnego i włącz uwierzytelnianie systemu Windows.
Otwórz pozycję Ustawienia zaawansowane w obszarze Uwierzytelnianie systemu Windows dla tego katalogu wirtualnego i ustaw dla niego wartość Wymagane.
Usługę można przetestować, korzystając z adresu URL HTTPS w oknie przeglądarki (podaj w pełni kwalifikowaną nazwę domeny). Jeśli chcesz uzyskać dostęp do tego adresu URL z komputera zdalnego, upewnij się, że zapora jest otwarta dla wszystkich przychodzących połączeń HTTP i HTTPS.
Otwórz plik konfiguracji klienta i podaj w pełni kwalifikowaną nazwę domeny dla atrybutu adresu klienta lub punktu końcowego, która zastępuje
<<full_machine_name>>.Uruchom klienta. Klient komunikuje się z usługą, która ustanawia bezpieczny kanał i korzysta z rozszerzonej ochrony.