RPC_SECURITY_QOS_V4_W 結構 (rpcdce.h)
RPC_SECURITY_QOS_V4結構會定義系結句柄上的第 4 版安全性服務質量設定。 如需 Windows 版本的版本可用性,請參閱。
語法
typedef struct _RPC_SECURITY_QOS_V4_W {
unsigned long Version;
unsigned long Capabilities;
unsigned long IdentityTracking;
unsigned long ImpersonationType;
unsigned long AdditionalSecurityInfoType;
union {
RPC_HTTP_TRANSPORT_CREDENTIALS_W *HttpCredentials;
} u;
void *Sid;
unsigned int EffectiveOnly;
} RPC_SECURITY_QOS_V4_W, *PRPC_SECURITY_QOS_V4_W;
成員
Version
所使用的 RPC_SECURITY_QOS 結構版本。 本主題記載 RPC_SECURITY_QOS 結構的第 4 版。 如需其他版本,請參閱 RPC_SECURITY_QOS、 RPC_SECURITY_QOS_V2、 RPC_SECURITY_QOS_V3和 RPC_SECURITY_QOS_V5 。
Capabilities
提供給應用程式的安全性服務。 功能 是一組旗標,可使用位 OR 運算子結合。
值 | 意義 |
---|---|
|
不需要提供者特定的功能。 |
|
RPC 運行時間會向安全性提供者要求相互驗證。 某些安全性提供者不支援相互驗證。 如果安全性提供者不支援相互驗證,或無法建立伺服器的身分識別,則這類伺服器的遠端過程調用會失敗,併發生錯誤RPC_S_SEC_PKG_ERROR。
注意 RPC 依賴 SSP 來指出已成功交涉哪些安全性選項;如果 SSP 回報無法交涉選項,RPC 呼叫就會失敗。 不過,某些安全性提供者已知會報告選項的成功交涉,即使未成功交涉選項也一定。 例如,NTLM 會針對回溯相容性原因回報相互驗證的成功交涉,即使它不支援相互驗證也一樣。 檢查用來判斷其安全性選項行為的特定 SSP。
|
|
目前未實作。 |
|
即使證書頒發機構單位 (CA) 不在伺服器信任 CA 清單中,仍接受客戶端的認證。 此常數僅供 SCHANNEL SSP 使用。 |
|
用戶端上的 RPC 執行時間會忽略錯誤,以建立支援委派的安全性內容。 一般而言,如果用戶端要求委派,且安全性系統無法建立支援委派的安全性內容,則會傳回錯誤RPC_S_SEC_PKG_ERROR;指定此旗標時,不會傳回任何錯誤。
注意 Windows XP 和舊版用戶端版本不支援,Windows 2000 和舊版伺服器版本不支援。
|
|
伺服器是進行 RPC 呼叫之電腦的本機伺服器。 在此情況下,RPC 會指示端點對應程式只挑選 ServerPrincName 或 Sid 成員中指定的主體所註冊的端點, (這些成員只能在 RPC_SECURITY_QOS_V3、 RPC_SECURITY_QOS_V4和 RPC_SECURITY_QOS_V5) 。 如需詳細資訊,請參閱「備註」。
注意 Windows XP 和舊版用戶端版本不支援,Windows 2000 和舊版伺服器版本不支援。
|
IdentityTracking
內容追蹤模式作為下列其中一個值。
值 | 意義 |
---|---|
|
即使用戶端變更安全性內容,安全性內容只會建立一次,而且永遠不會在整個通訊期間修改。 如果未指定 RPC_SECURITY_QOS_V4 ,這是預設行為。 |
|
每當用戶端令牌中的ModifiedId變更時,就會修改安全性內容。 所有通訊協議都會使用ModifiedId (,請參閱附註) 。
Windows 2000: 所有遠端通訊協定 (ncalrpc 以外的所有通訊協定) 使用 AuthenticationID 也稱為 LogonId 來追蹤用戶端身分識別中的變更。 ncalrpc 通訊協定使用ModifiedId。 |
ImpersonationType
伺服器進程可以模擬客戶端的層級。
值 | 意義 |
---|---|
|
使用預設模擬層級。 |
|
用戶端不會將識別資訊提供給伺服器。 伺服器無法模擬客戶端或識別用戶端。 許多伺服器會拒絕使用此模擬類型的呼叫。 |
|
伺服器可以取得用戶端的身分識別,並模擬客戶端來執行 存取控制 清單 (ACL) 檢查,但無法模擬用戶端。 如需詳細資訊 ,請參閱模擬層級 。
注意 某些安全性提供者可能會將此模擬類型視為相當於RPC_C_IMP_LEVEL_IMPERSONATE。
|
|
伺服器可以在其本機系統上模擬用戶端的安全性內容,但無法在遠端系統上模擬。 |
|
伺服器代表用戶端動作時可以模擬用戶端的安全性內容。 伺服器也可以代表用戶端對其他伺服器進行傳出呼叫。 伺服器可能會在其他電腦上使用用戶端的安全性內容,以用戶端身分存取本機和遠端資源。 |
AdditionalSecurityInfoType
存在於 u 等位中的其他認證類型。 支援下列常數:
支援的常數 | 意義 |
---|---|
|
不會在 u 等位中傳遞任何其他認證。 |
|
u 等位的 HttpCredentials 成員指向RPC_HTTP_TRANSPORT_CREDENTIALS結構。 只有在通訊協定序列 ncacn_http時,才能使用此值。 任何其他通訊協定序列會傳回RPC_S_INVALID_ARG。 |
u
u.HttpCredentials
要傳遞至 RPC 的其他認證集,格式為 RPC_HTTP_TRANSPORT_CREDENTIALS 結構。 當 AdditionalSecurityInfoType 成員設定為 RPC_C_AUTHN_INFO_TYPE_HTTP 時使用。
Sid
安全性標識碼的指標 (SID) 。 SID 是 ServerPrincName 成員的替代方案,只能指定一個。 如果安全性提供者是 SCHANNEL SSP,Sid 成員就無法設定為非 NULL。 某些通訊協定序列會在內部使用 Sid 以取得安全性,有些則使用 ServerPrincName。 例如, ncalrpc 會在內部使用 Sid ,而且如果呼叫端同時知道 SID 和 ServerPrincName,使用 ncalrpc 的呼叫可能會在某些案例中傳遞 SID 更快完成。 相反地,ncacn_和ncadg_通訊協定序列會在內部使用 ServerPrincName,因此可以在提供 ServerPrincName 時執行更快速的呼叫。
EffectiveOnly
如果設定,伺服器只會看到已啟用的許可權。
備註
下列清單定義各種 Windows 作業系統上的 QOS 版本可用性:
- 版本 1:Windows 2000 和更新版本。
- 版本 2:Windows XP 搭配 Service Pack 1 (SP1) 和更新版本。
- 版本 3:Windows Server 2003 和更新版本。
- 版本 4:Windows Vista 和更新版本。
- 版本 5:Windows 8 和更新版本。
用戶端安全性功能 RpcBindingInqAuthInfoEx 和 RpcBindingSetAuthInfo 會使用 RPC_SECURITY_QOS 結構來查詢或設定系結句柄的安全性服務品質。
RPC 支援 Windows XP 和舊版用戶端版本不支援的RPC_C_QOS_CAPABILITIES_LOCAL_MA_HINT提示 (,不支援 Windows 2000 和舊版伺服器版本) 。 只有在使用動態端點和相互驗證時,才會使用此提示。 此外, 不支援ncadg_ 通訊協定序列。 如果此旗標用於 ncadg_ 通訊協定序列,或不使用相互驗證,則會從 RpcBindingSetAuthInfoEx 函式呼叫傳回RPC_S_INVALID_ARG。 此旗標的設計目的是防止拒絕服務攻擊。 使用此旗標會強制 RPC 運行時間只針對 ServerPrincName 或 Sid 成員中指定的主體所註冊的端點要求端點對應程式。 這可防止本機電腦上的攻擊者嘗試讓您的 RPC 用戶端連線到已在端點對應器中註冊的詐騙端點。 請注意,由於攻擊只是本機 (,例如來自許多使用者) 的終端機伺服器計算機,旗標也適用於本機進行的 RPC 呼叫。
規格需求
需求 | 值 |
---|---|
最低支援的用戶端 | Windows Vista [僅限傳統型應用程式] |
最低支援的伺服器 | Windows Server 2008 [僅限傳統型應用程式] |
標頭 | rpcdce.h (包含 Rpc.h) |
另請參閱
RPC_BINDING_HANDLE_SECURITY_V1