Compartir a través de

Problemas de seguridad para la publicación del servicio

  • Artículo

El sistema restringe la capacidad de crear, modificar o eliminar objetos de punto de conexión. Tenga en cuenta y controle estas restricciones al publicar un servicio.

Los clientes deben poder confiar en los datos publicados en un objeto de punto de conexión en el directorio. Por este motivo, el permiso para crear un objeto de punto de conexión normalmente está restringido a usuarios con privilegios, como los administradores de dominio. Esto impide que los usuarios no autorizados desconceda a los clientes mediante la creación de puntos de conexión no válidos para los servicios conocidos.

Los servicios no deben ejecutarse con privilegios de administrador de dominio. Esto significa que un servicio normalmente no puede crear su propio punto de conexión. En su lugar, se proporciona una aplicación de instalación o configuración de servicio que crea el punto de conexión. Un usuario debe ejecutar este instalador con los privilegios necesarios.

Aunque un servicio normalmente no puede crear su punto de conexión, debe poder actualizar las propiedades del punto de conexión en tiempo de ejecución. Las propiedades del punto de conexión contienen los datos de enlace utilizados por los clientes para conectarse al servicio. Si cambian los datos de enlace, el servicio debe actualizar el punto de conexión; de lo contrario, los clientes no pueden usar el servicio. Esto significa que el instalador también debe modificar el descriptor de seguridad en el objeto de punto de conexión para permitir que el servicio lea y escriba las propiedades adecuadas en tiempo de ejecución. Para obtener más información y un ejemplo de código, vea Habilitación de la cuenta de servicio para acceder a las propiedades de SCP.

Un servicio que se ejecuta en la cuenta localSystem puede crear un punto de conexión como un objeto secundario en su propio objeto de equipo en el directorio. Este servicio es una excepción a la regla de servicios que no crean sus propios puntos de conexión. Un servicio LocalSystem también tiene permiso para modificar las propiedades de los objetos de punto de conexión en su propio objeto de equipo. Tenga en cuenta que un servicio debe ejecutarse en la cuenta localSystem solo si es absolutamente necesario. Para obtener más información, consulte Directrices para seleccionar una cuenta de inicio de sesión de servicio.

La aplicación que crea un objeto de punto de conexión o cualquier objeto debe tener permisos secundarios para que la clase de objeto se cree en el contenedor donde se creará el objeto. Para quitar un objeto, el proceso que realiza la operación debe tener permisos secundarios de eliminación para que la clase de objeto se elimine en el contenedor que contiene el objeto o tener permisos de eliminación en el propio objeto. Para actualizar un punto de conexión, el proceso que realiza la operación debe tener acceso de escritura a las propiedades que se van a actualizar en el objeto.