Freigeben über

Sicherheitsmodell (AppFabric 1.1-Cache)

  • Artikel

Die Microsoft AppFabric 1.1 für Windows Server-Cache-Funktionen bieten verschiedene Optionen für das Verwalten der Sicherheit. Standardmäßig werden für die Kommunikation zwischen Cacheclients und dem Cachecluster sowohl Verschlüsselung als auch Signierung verwendet. Darüber hinaus muss der Liste der zulässigen Konten explizit ein Windows-Konto hinzugefügt werden, bevor der zugeordnete Benutzer auf den Cachecluster zugreifen kann.

Sicherheitseinstellungen für den Cachecluster

Es bestehen zwei Schutzmodi, die auf dem Cachecluster festgelegt werden können: None und Transport. Bei der Festlegung auf None werden die zwischen dem Cachecluster und Cacheclients übertragenen Daten nicht verschlüsselt oder signiert. Dadurch werden die Daten potenziell für bösartige Netzwerkattacken zugänglich, die Daten protokollieren oder ändern. Darüber hinaus können alle Cacheclients mit dem Cachecluster kommunizieren, auch, wenn ihnen nicht explizit Zugriff erteilt wurde. Wenn der Schutzmodus auf die Standardeinstellung Transport festgelegt ist, können nur zulässige Windows-Konten auf den Cachecluster zugreifen.

Es bestehen drei Schutzstufen für die zwischen einem Cachecluster und Cacheclients übertragenen Daten: None, Sign und EncryptAndSign. Die Einstellung None bietet keine weitere Sicherheit. Die Einstellung Sign schützt die Daten im Netzwerk vor Manipulation. Bei der Einstellung EncryptAndSign werden die Daten vor dem Signieren verschlüsselt. Sign und EncryptAndSign können nur angegeben werden, wenn der Sicherheitsmodus auf Transport festgelegt ist.

Verwenden Sie zum Ändern des Sicherheitsmodus oder der Schutzstufe für den Cachecluster den Windows PowerShell-Befehl Set-CacheClusterSecurity.

Hinweis

Wenn die Sicherheit aktiviert ist, muss der AppFabric-Cache-Dienst unter einer geeigneten Identität ausgeführt werden. In Domänenumgebungen kann dies das integrierte Konto NT-AUTORITÄT\Netzwerkdienst oder ein benutzerdefiniertes Domänenkonto sein. In Arbeitsgruppenumgebungen soll dies ein lokales Computerkonto sein.

Sicherheitseinstellungen für Cacheclients

Wie auch bei den Sicherheitseinstellungen für den Cachecluster, können für den Cacheclient Sicherheitseinstellungen in der Anwendungskonfigurationsdatei mithilfe des Elements securityProperties konfiguriert werden. Alternativ kann die Sicherheit auf dem Client programmgesteuert mithilfe der DataCacheSecurity-Klasse in Verbindung mit der SecurityProperties-Eigenschaft der DataCacheFactoryConfiguration-Klasse konfiguriert werden. Weitere Informationen finden Sie unter Anwendungskonfigurationseinstellungen (AppFabric 1.1-Cache).

Es ist wichtig, dass Cacheclient und Cachecluster Sicherheitseinstellungen verwenden, die eine Verbindung ermöglichen. In der nachfolgenden Tabelle stellen die Spalten die Sicherheitseinstellung auf dem Server und die Zeilen die Sicherheitseinstellung auf dem Client dar. Jede Kombination ist als „Zulässig“ oder „Abgelehnt“ aufgelistet, abhängig von der Zulässigkeit der Verbindung.

Clienteinstellungen Mode=None, ProtectionLevel=Any Mode=Transport, ProtectionLevel=None Mode=Transport, ProtectionLevel=Sign Mode=Transport, ProtectionLevel=EncryptAndSign

Ohne, Beliebig

Zulässig

Abgelehnt

Abgelehnt

Abgelehnt

Transport, Ohne

Abgelehnt

Zulässig

Abgelehnt

Abgelehnt

Transport, signiert

Abgelehnt

Zulässig

Zulässig

Abgelehnt

Transport, verschlüsselt und signiert

Abgelehnt

Zulässig

Zulässig

Zulässig

Zulässige Clientkonten

Wenn der Sicherheitsmodus auf Transport festgelegt ist, müssen alle Cacheclients, die Verbindungen mit dem Cachecluster herzustellen versuchen, explizit zugelassen werden. Dies erfolgt mithilfe des Befehls Grant-CacheAllowedClientAccount in Windows PowerShell. Weitere Informationen finden Sie unter Verwenden von Windows PowerShell zum Verwalten von AppFabric 1.1-Cachefunktionen.

Sicherheitskonfigurations-Assistent

AppFabric unterstützt die Verwendung des Sicherheitskonfigurations-Assistenten (SCW, Security Configuration Wizard) in Windows Server 2008. Sie können eine bereitgestellte Vorlagendatei bei SCW registrieren, in der die Minimaleinstellungen angegeben sind, die für die Ausführung des AppFabric-Cache-Diensts erforderlich sind. Obwohl die Vorlagendatei WindowsServerAppFabric.xml zusammen mit AppFabric installiert wird, müssen Sie sie manuell bei SCW registrieren, bevor Sie das Tool verwenden. Dieser Vorgang wird in den folgenden Schritten beschrieben.

  1. Suchen Sie die Datei WindowsServerAppFabric.xml im Verzeichnis .\Program Files\Windodws Server AppFabric.

  2. Öffnen Sie die Datei WindowsServerAppFabric.xml. Stellen Sie sicher, dass die Versionsinformationen des Betriebssystems im SCWKBRegistrationInfo-Element mit dem aktuellen Computer übereinstimmen. Ändern Sie andernfalls die Attribute gemäß der folgenden Tabelle, und speichern Sie die Änderungen.

    Betriebssystem OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion

    Windows Server 2008

    6

    0

    0

    0

    Windows Server 2008 SP1

    6

    0

    1

    0

    Windows Server 2008 SP2

    6

    0

    2

    0

    Windows Server 2008 R2

    6

    1

    0

    0

  3. Öffnen Sie eine Administratoreingabeaufforderung .

  4. Führen Sie den folgenden Befehl aus:

    scwcmd register /kbname:appfabric /kbfile:"C:\Program Files\Windows Server AppFabric\WindowsServerAppFabric.xml"

Bei Verwendung des Sicherheitskonfigurations-Assistenten als Verwaltungstool sollte jetzt eine installierte Rolle mit dem Namen „Microsoft AppFabric 1.1 für Windows Server-Cache-Dienst“ angezeigt werden.

Siehe auch

Konzepte

Verwenden von Windows PowerShell zum Verwalten von AppFabric 1.1-Cachefunktionen
AppFabric-Cachekonzepte (AppFabric 1.1-Cache)

  2012-03-05