Sicherheitsprobleme für die Dienstveröffentlichung

Das System beschränkt die Möglichkeit, Verbindungspunkte zu erstellen, zu ändern oder zu löschen. Beachten Sie, und behandeln Sie diese Einschränkungen, wenn Sie einen Dienst veröffentlichen.

Clients müssen in der Lage sein, die in einem Verbindungspunktobjekt im Verzeichnis veröffentlichten Daten zu vertrauen. Aus diesem Grund ist die Berechtigung zum Erstellen eines Verbindungspunktobjekts in der Regel auf privilegierte Benutzer beschränkt, z. B. Domänenadministratoren. Dadurch wird verhindert, dass nicht autorisierte Benutzer Clients dezimieren, indem ungültige Verbindungspunkte für bekannte Dienste erstellt werden.

Dienste dürfen nicht mit Domänenadministratorberechtigungen ausgeführt werden. Dies bedeutet, dass ein Dienst in der Regel keinen eigenen Verbindungspunkt erstellen kann. Stattdessen stellen Sie eine Dienstinstallations- oder Konfigurationsanwendung bereit, die den Verbindungspunkt erstellt. Dieses Installationsprogramm muss von einem Benutzer mit den erforderlichen Berechtigungen ausgeführt werden.

Obwohl ein Dienst seinen Verbindungspunkt in der Regel nicht erstellen kann, muss er die Verbindungspunkteigenschaften zur Laufzeit aktualisieren können. Die Verbindungspunkteigenschaften enthalten die Bindungsdaten, die von Clients zum Herstellen einer Verbindung mit dem Dienst verwendet werden. Wenn sich die Bindungsdaten ändern, muss der Dienst den Verbindungspunkt aktualisieren; andernfalls können Clients den Dienst nicht verwenden. Dies bedeutet, dass das Installationsprogramm auch das Sicherheitsdeskriptor im Verbindungspunktobjekt ändern muss, um den Dienst zum Lesen und Schreiben der entsprechenden Eigenschaften zur Laufzeit zu ermöglichen. Weitere Informationen und ein Codebeispiel finden Sie unter Aktivieren des Dienstkontos für den Zugriff auf SCP-Eigenschaften.

Ein Dienst, der unter dem LocalSystem-Konto ausgeführt wird, kann einen Verbindungspunkt als untergeordnetes Objekt unter seinem eigenen Computerobjekt im Verzeichnis erstellen. Ein solcher Dienst ist eine Ausnahme der Regel der Dienste, die keine eigenen Verbindungspunkte erstellen. Ein LocalSystem-Dienst hat auch die Berechtigung, die Eigenschaften von Verbindungspunktobjekten unter seinem eigenen Computerobjekt zu ändern. Beachten Sie, dass ein Dienst nur unter dem LocalSystem-Konto ausgeführt werden sollte, wenn es unbedingt erforderlich ist. Weitere Informationen finden Sie unter Richtlinien zum Auswählen eines Dienstanmeldungskontos.

Die Anwendung, die ein Verbindungspunktobjekt oder ein beliebiges Objekt erstellt, muss untergeordnete Berechtigungen für die Objektklasse erstellen, die im Container erstellt werden soll, in dem das Objekt erstellt wird. Um ein Objekt zu entfernen, muss der Vorgang über untergeordnete Berechtigungen für die Objektklasse verfügen, die auf dem Container gelöscht werden soll, der das Objekt hält, oder über Löschberechtigungen für das Objekt selbst verfügen. Um einen Verbindungspunkt zu aktualisieren, muss der Vorgang über schreibzugriff auf die Eigenschaften verfügen, die auf dem Objekt aktualisiert werden sollen.