共用方式為


RPC_SECURITY_QOS_V4_W 結構 (rpcdce.h)

RPC_SECURITY_QOS_V4結構會定義系結句柄上的第 4 版安全性服務質量設定。 如需 Windows 版本的版本可用性,請參閱。

語法

typedef struct _RPC_SECURITY_QOS_V4_W {
  unsigned long Version;
  unsigned long Capabilities;
  unsigned long IdentityTracking;
  unsigned long ImpersonationType;
  unsigned long AdditionalSecurityInfoType;
  union {
    RPC_HTTP_TRANSPORT_CREDENTIALS_W *HttpCredentials;
  } u;
  void          *Sid;
  unsigned int  EffectiveOnly;
} RPC_SECURITY_QOS_V4_W, *PRPC_SECURITY_QOS_V4_W;

成員

Version

所使用的 RPC_SECURITY_QOS 結構版本。 本主題記載 RPC_SECURITY_QOS 結構的第 4 版。 如需其他版本,請參閱 RPC_SECURITY_QOSRPC_SECURITY_QOS_V2RPC_SECURITY_QOS_V3RPC_SECURITY_QOS_V5

Capabilities

提供給應用程式的安全性服務。 功能 是一組旗標,可使用位 OR 運算子結合。

意義
RPC_C_QOS_CAPABILITIES_DEFAULT
不需要提供者特定的功能。
RPC_C_QOS_CAPABILITIES_MUTUAL_AUTH
RPC 運行時間會向安全性提供者要求相互驗證。 某些安全性提供者不支援相互驗證。 如果安全性提供者不支援相互驗證,或無法建立伺服器的身分識別,則這類伺服器的遠端過程調用會失敗,併發生錯誤RPC_S_SEC_PKG_ERROR。
注意 RPC 依賴 SSP 來指出已成功交涉哪些安全性選項;如果 SSP 回報無法交涉選項,RPC 呼叫就會失敗。 不過,某些安全性提供者已知會報告選項的成功交涉,即使未成功交涉選項也一定。 例如,NTLM 會針對回溯相容性原因回報相互驗證的成功交涉,即使它不支援相互驗證也一樣。 檢查用來判斷其安全性選項行為的特定 SSP。
 
RPC_C_QOS_CAPABILITIES_MAKE_FULLSIC
目前未實作。
RPC_C_QOS_CAPABILITIES_ANY_AUTHORITY
即使證書頒發機構單位 (CA) 不在伺服器信任 CA 清單中,仍接受客戶端的認證。 此常數僅供 SCHANNEL SSP 使用。
RPC_C_QOS_CAPABILITIES_IGNORE_DELEGATE_FAILURE
用戶端上的 RPC 執行時間會忽略錯誤,以建立支援委派的安全性內容。 一般而言,如果用戶端要求委派,且安全性系統無法建立支援委派的安全性內容,則會傳回錯誤RPC_S_SEC_PKG_ERROR;指定此旗標時,不會傳回任何錯誤。
注意 Windows XP 和舊版用戶端版本不支援,Windows 2000 和舊版伺服器版本不支援。
 
RPC_C_QOS_CAPABILITIES_LOCAL_MA_HINT
伺服器是進行 RPC 呼叫之電腦的本機伺服器。 在此情況下,RPC 會指示端點對應程式只挑選 ServerPrincNameSid 成員中指定的主體所註冊的端點, (這些成員只能在 RPC_SECURITY_QOS_V3RPC_SECURITY_QOS_V4RPC_SECURITY_QOS_V5) 。 如需詳細資訊,請參閱「備註」。
注意 Windows XP 和舊版用戶端版本不支援,Windows 2000 和舊版伺服器版本不支援。
 

IdentityTracking

內容追蹤模式作為下列其中一個值。

意義
RPC_C_QOS_IDENTITY_STATIC
即使用戶端變更安全性內容,安全性內容只會建立一次,而且永遠不會在整個通訊期間修改。 如果未指定 RPC_SECURITY_QOS_V4 ,這是預設行為。
RPC_C_QOS_IDENTITY_DYNAMIC
每當用戶端令牌中的ModifiedId變更時,就會修改安全性內容。 所有通訊協議都會使用ModifiedId (,請參閱附註) 。

Windows 2000: 所有遠端通訊協定 (ncalrpc 以外的所有通訊協定) 使用 AuthenticationID 也稱為 LogonId 來追蹤用戶端身分識別中的變更。 ncalrpc 通訊協定使用ModifiedId。

ImpersonationType

伺服器進程可以模擬客戶端的層級。

意義
RPC_C_IMP_LEVEL_DEFAULT
使用預設模擬層級。
RPC_C_IMP_LEVEL_ANONYMOUS
用戶端不會將識別資訊提供給伺服器。 伺服器無法模擬客戶端或識別用戶端。 許多伺服器會拒絕使用此模擬類型的呼叫。
RPC_C_IMP_LEVEL_IDENTIFY
伺服器可以取得用戶端的身分識別,並模擬客戶端來執行 存取控制 清單 (ACL) 檢查,但無法模擬用戶端。 如需詳細資訊 ,請參閱模擬層級
注意 某些安全性提供者可能會將此模擬類型視為相當於RPC_C_IMP_LEVEL_IMPERSONATE。
 
RPC_C_IMP_LEVEL_IMPERSONATE
伺服器可以在其本機系統上模擬用戶端的安全性內容,但無法在遠端系統上模擬。
RPC_C_IMP_LEVEL_DELEGATE
伺服器代表用戶端動作時可以模擬用戶端的安全性內容。 伺服器也可以代表用戶端對其他伺服器進行傳出呼叫。 伺服器可能會在其他電腦上使用用戶端的安全性內容,以用戶端身分存取本機和遠端資源。

AdditionalSecurityInfoType

存在於 u 等位中的其他認證類型。 支援下列常數:

支援的常數 意義
0
不會在 u 等位中傳遞任何其他認證。
RPC_C_AUTHN_INFO_TYPE_HTTP
u 等位的 HttpCredentials 成員指向RPC_HTTP_TRANSPORT_CREDENTIALS結構。 只有在通訊協定序列 ncacn_http時,才能使用此值。 任何其他通訊協定序列會傳回RPC_S_INVALID_ARG。

u

u.HttpCredentials

要傳遞至 RPC 的其他認證集,格式為 RPC_HTTP_TRANSPORT_CREDENTIALS 結構。 當 AdditionalSecurityInfoType 成員設定為 RPC_C_AUTHN_INFO_TYPE_HTTP 時使用。

Sid

安全性標識碼的指標 (SID) 。 SID 是 ServerPrincName 成員的替代方案,只能指定一個。 如果安全性提供者是 SCHANNEL SSP,Sid 成員就無法設定為非 NULL 某些通訊協定序列會在內部使用 Sid 以取得安全性,有些則使用 ServerPrincName。 例如, ncalrpc 會在內部使用 Sid ,而且如果呼叫端同時知道 SID 和 ServerPrincName,使用 ncalrpc 的呼叫可能會在某些案例中傳遞 SID 更快完成。 相反地,ncacn_ncadg_通訊協定序列會在內部使用 ServerPrincName,因此可以在提供 ServerPrincName 時執行更快速的呼叫。

EffectiveOnly

如果設定,伺服器只會看到已啟用的許可權。

備註

下列清單定義各種 Windows 作業系統上的 QOS 版本可用性:

  • 版本 1:Windows 2000 和更新版本。
  • 版本 2:Windows XP 搭配 Service Pack 1 (SP1) 和更新版本。
  • 版本 3:Windows Server 2003 和更新版本。
  • 版本 4:Windows Vista 和更新版本。
  • 版本 5:Windows 8 和更新版本。
Windows 版本也支援下層版本。 例如,Windows Server 2003 支援第 3 版,但也支援版本 1 和 2。

用戶端安全性功能 RpcBindingInqAuthInfoExRpcBindingSetAuthInfo 會使用 RPC_SECURITY_QOS 結構來查詢或設定系結句柄的安全性服務品質。

RPC 支援 Windows XP 和舊版用戶端版本不支援的RPC_C_QOS_CAPABILITIES_LOCAL_MA_HINT提示 (,不支援 Windows 2000 和舊版伺服器版本) 。 只有在使用動態端點和相互驗證時,才會使用此提示。 此外, 不支援ncadg_ 通訊協定序列。 如果此旗標用於 ncadg_ 通訊協定序列,或不使用相互驗證,則會從 RpcBindingSetAuthInfoEx 函式呼叫傳回RPC_S_INVALID_ARG。 此旗標的設計目的是防止拒絕服務攻擊。 使用此旗標會強制 RPC 運行時間只針對 ServerPrincNameSid 成員中指定的主體所註冊的端點要求端點對應程式。 這可防止本機電腦上的攻擊者嘗試讓您的 RPC 用戶端連線到已在端點對應器中註冊的詐騙端點。 請注意,由於攻擊只是本機 (,例如來自許多使用者) 的終端機伺服器計算機,旗標也適用於本機進行的 RPC 呼叫。

注意 某些安全性提供者,例如 Kerberos,支援委派模擬類型。 在支援委派模擬類型的 Windows 版本上,如果用戶端要求委派,但安全性提供者無法提供委派,除非指定RPC_C_QOS_CAPABILITIES_IGNORE_DELEGATE_FAILURE旗標,否則呼叫會失敗並出現PRC_S_SEC_PKG_ERROR。
 

規格需求

需求
最低支援的用戶端 Windows Vista [僅限傳統型應用程式]
最低支援的伺服器 Windows Server 2008 [僅限傳統型應用程式]
標頭 rpcdce.h (包含 Rpc.h)

另請參閱

RPC_BINDING_HANDLE_SECURITY_V1

RPC_HTTP_TRANSPORT_CREDENTIALS

RPC_SECURITY_QOS

RPC_SECURITY_QOS_V2

RPC_SECURITY_QOS_V3

RPC_SECURITY_QOS_V5

RpcBindingInqAuthInfoEx

RpcBindingSetAuthInfoEx