Поделиться через

Расширенная политика защиты

  • Статья

Расширенная защита — это инициатива, направленная на отражение атак типа «злоумышленник в середине» (MITM). Атака MITM — это угроза безопасности, при которой злоумышленник перехватывает учетные данные клиента и переправляет их на сервер.

Демонстрации

Расширенная защита

Обсуждение

Если приложение проходит проверку подлинности с использованием протокола Kerberos, дайджест-проверку подлинности или проверку NTLM с использованием HTTPS, то сначала устанавливается канал безопасности транспортного уровня (TLS), а проверка подлинности выполняется по этому защищенному каналу. При этом отсутствует привязка между ключом сеанса, создаваемым протоколом SSL, и ключом сеанса, создаваемым в ходе проверки подлинности. Любой злоумышленник может внедриться между клиентом и сервером и начать пересылать запросы от клиента, даже если сам по себе транспортный канал защищен, поскольку сервер не имеет возможности проверить, был ли установлен защищенный канал клиентом или злоумышленником. Решением в данном сценарии является привязка внешнего канала с защитой TLS ко внутреннему каналу с проверкой подлинности клиента, чтобы сервер мог обнаружить вторжение злоумышленника.

Ee943697.note(ru-ru,VS.100).gifПримечание
Данный образец работает только при размещении на IIS и не поддерживает Cassini — сервер разработчиков Visual Studio, поскольку Cassini не поддерживает протокол HTTPS.

Ee943697.note(ru-ru,VS.100).gifПримечание
Эта функция доступна в настоящее время только для Windows 7. Следующие шаги применимы только для Windows 7.

Настройка, построение и выполнение образца

  1. Установите службы IIS из Панели управления, выбрав пункты Установка и удаление программ и Компоненты Windows.

  2. Установите Проверка подлинности Windows в Компоненты Windows, Internet Information Services (IIS), World Wide Web Services, Безопасность и Проверка подлинности Windows.

  3. Установите Активация Windows Communication Foundation HTTP в Компоненты Windows, Microsoft .NET Framework 3.5.1 и Активация Windows Communication Foundation HTTP.

  4. Для работы этого образца клиенту необходимо установить защищенный канал с сервером, для чего требуется наличие сертификата сервера, который может устанавливаться из диспетчера служб IIS.

    1. Откройте диспетчер служб IIS. Откройте пункт Серверные сертификаты, который отображается на вкладке Просмотр функций, когда выбран корневой узел (имя компьютера).

    2. Для тестирования этого образца создайте самозаверяющий сертификат. Чтобы не выводить в Internet Explorer запрос об отсутствии защиты сертификата, можно установить его в хранилище «Доверенные корневые центры сертификации».

  5. Откройте область Действия для веб-узла по умолчанию. Нажмите кнопку Изменить узел, затем Привязки. Добавьте HTTPS в качестве типа, если пока этот протокол отсутствует, с номером порта 443. Назначьте SSL-сертификат, созданный на предыдущем шаге.

  6. Постройте службу. При этом в службах IIS будет создан виртуальный каталог, куда будут скопированы DLL-файлы, SVC-файлы и файлы конфигурации, необходимые для размещения службы в веб.

  7. Откройте диспетчер служб IIS. Щелкните правой кнопкой мыши виртуальный каталог (ExtendedProtection), созданный на предыдущем шаге. Выберите Преобразовать в приложение.

  8. Откройте в диспетчере служб IIS модуль Проверка подлинности для данного виртуального каталога и включите вариант Проверка подлинности Windows.

  9. Откройте Дополнительные параметры под пунктом Проверка подлинности Windows для данного виртуального каталога и задайте значение Обязательно.

  10. Проверить службу можно, введя соответствующий HTTPS URL в окне веб-обозревателя (полное доменное имя). Чтобы получить доступ к этому URL-адресу с удаленного компьютера, убедитесь, что в брандмауэре открыты все входящие подключения HTTP и HTTPS.

  11. Откройте клиентский файл конфигурации и введите полное имя домена в атрибуте адреса клиента или конечной точки вместо <<full_machine_name>>.

  12. Запустите клиент. Клиент обращается к службе, которая устанавливает безопасный канал и использует расширенную защиту.

Ee943697.Important(ru-ru,VS.100).gif Примечание
Образцы уже могут быть установлены на компьютере. Перед продолжением проверьте следующий каталог (по умолчанию).

<диск_установки>:\WF_WCF_Samples

Если этот каталог не существует, перейдите на страницу Образцы Windows Communication Foundation (WCF) и Windows Workflow Foundation (WF) для .NET Framework 4, чтобы загрузить все образцы Windows Communication Foundation (WCF) и WF. Этот образец расположен в следующем каталоге.

<диск_установки>:\WF_WCF_Samples\WCF\Basic\Services\Security\ExtendedProtection