Udostępnij za pośrednictwem

Zagadnienia dotyczące zabezpieczeń usługi COM+ SOAP

  • Artykuł

Usługa COM+ SOAP zależy od serwera internetowego usług IIS na potrzeby zabezpieczeń. Nawet w trybie obiektu aktywowanego przez klienta, com+ RPC nie przesyła tożsamości klienta i dlatego nie może korzystać z zabezpieczeń opartych na rolach ani innych funkcji zabezpieczeń udostępnianych przez dcOM. Jeśli chcesz chronić prywatność przesyłanych danych do i z usługi sieci Web XML lub w celu ochrony usługi sieci Web XML przed nieautoryzowanym dostępem, możesz skonfigurować usługi IIS, aby ograniczyć dostęp do usługi sieci Web XML na podstawie adresu IP klientów lub wymagać od klienta przedstawienia certyfikatu cyfrowego w celu zweryfikowania jego tożsamości. Jeśli nie ograniczysz dostępu, każdy klient, który może komunikować się z serwerem internetowym, może uzyskać dostęp do usługi sieci Web XML.

Usługi IIS można skonfigurować do szyfrowania komunikacji usługi sieci Web XML z klientami przy użyciu protokołów SSL lub TLS szyfrowania kluczy publicznych. Jeśli nie szyfrujesz komunikacji protokołu SOAP, dane wymieniane między klientem a serwerem mogą być obserwowane przez inną firmę z dostępem do dowolnej sieci, za pośrednictwem której odbywa się komunikacja protokołu SOAP; w zależności od topologii sieci może to być mała sieć LAN lub internet.

Domyślnie nieszyfrowana komunikacja PROTOKOŁU SOAP jest odbierana na porcie HTTP (80), a zaszyfrowana komunikacja protokołu SOAP jest odbierana na porcie HTTPS (443). Aby klient mógł pomyślnie uzyskać dostęp do usługi sieci Web XML, należy skonfigurować wszystkie zapory między klientem a serwerem, aby umożliwić pakietom TCP SYN dotarcie do odpowiedniego portu serwera. Z drugiej strony, aby ograniczyć dostęp do usług sieci Web XML, administrator zapory może zdecydować się zamknąć te porty.

Domyślne ustawienia zabezpieczeń składnika COM udostępnianego jako usługa internetowa XML różnią się w zależności od zainstalowanej wersji programu Microsoft .NET Framework. Jeśli jest zainstalowana wersja 1.0, usługi sieci Web XML są domyślnie niezabezpieczone; wszystkie wywołania są akceptowane i nie są używane żadne szyfrowanie. Jeśli jest zainstalowana wersja 1.1 lub nowsza, usługi sieci Web XML są domyślnie bezpieczne; osoby wywołujące muszą być uwierzytelnione, a wymagane jest szyfrowanie.

Zabezpieczona usługa internetowa XML nie obsługuje dostępu WKO za pośrednictwem języka WSDL. Zamiast tego klienci, którzy zainstalowali program .NET Framework w wersji 1.1, mogą wywoływać go w trybie CAO. Jeśli klienci innych firm muszą uzyskać dostęp do usługi internetowej XML za pośrednictwem WSDL, musisz zezwolić na dostęp anonimowy.

Składnik COM uwidoczniony jako usługa internetowa XML jest domyślnie uruchamiany z uprawnieniami użytkownika anonimowego (nie z uprawnieniami jego obiektu wywołującego). Usługi IIS można skonfigurować tak, aby uruchamiały usługę internetową XML jako inny użytkownik; Czasami może to być konieczne, ponieważ składnik używa plików lub innych zasobów, do których użytkownik anonimowy nie ma dostępu. Niemniej jednak należy zawsze próbować uruchomić składnik z najmniejszymi uprawnieniami, aby ograniczyć szkody, które może spowodować złośliwy obiekt wywołujący.

Nuta

Ponieważ metoda uwidoczniona za pośrednictwem usługi sieci Web XML może potencjalnie zostać uwidoczniona złośliwym obiektom wywołującym, zawsze należy sprawdzić poprawność wszystkich parametrów wejściowych, od których zależy.

 

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania określonych ustawień zabezpieczeń usługi sieci Web XML, zobacz Zabezpieczanie usług SIECI Web XML.

Aby przekonwertować bezpieczną aplikację SOAP na niezabezpieczoną aplikację SOAP

  1. Otwórz narzędzie administracyjne usług Internet Information Services (IIS).
  2. Znajdź katalog wirtualny aplikacji i otwórz okno dialogowe właściwości .
  3. Sprawdź Włącz domyślną stronę zawartości na karcie Dokumenty.
  4. Na karcie Zabezpieczenia katalogu kliknij Edytuj w obszarze Dostęp anonimowy i kontrola uwierzytelniania.
  5. Sprawdź dostęp anonimowy, aby włączyć dostęp anonimowy, a następnie kliknij przycisk OK.
  6. Kliknij pozycję Edytuj w obszarze Secure communications.
  7. Usuń zaznaczenie pola wyboru Wymagaj bezpiecznego kanału (SSL).

omówienie usługi COM+ SOAP