Sicherheitsprobleme für die Dienstveröffentlichung
Das System schränkt die Möglichkeit ein, Verbindungspunkteobjekte zu erstellen, zu ändern oder zu löschen. Beachten Und behandeln Sie diese Einschränkungen, wenn Sie einen Dienst veröffentlichen.
Clients müssen in der Lage sein, den in einem Verbindungspunktobjekt veröffentlichten Daten im Verzeichnis zu vertrauen. Aus diesem Grund ist die Berechtigung zum Erstellen eines Verbindungspunktobjekts in der Regel auf privilegierte Benutzer beschränkt, z. B. Domänenadministratoren. Dadurch wird verhindert, dass nicht autorisierte Benutzer Clients täuschen, indem sie ungültige Verbindungspunkte für bekannte Dienste erstellen.
Dienste dürfen nicht mit Domänenadministratorberechtigungen ausgeführt werden. Dies bedeutet, dass ein Dienst in der Regel keinen eigenen Verbindungspunkt erstellen kann. Stattdessen stellen Sie eine Dienstinstallations- oder Konfigurationsanwendung bereit, die den Verbindungspunkt erstellt. Dieses Installationsprogramm muss von einem Benutzer mit den erforderlichen Berechtigungen ausgeführt werden.
Obwohl ein Dienst seinen Verbindungspunkt normalerweise nicht erstellen kann, muss er in der Lage sein, die Verbindungspunkteigenschaften zur Laufzeit zu aktualisieren. Die Verbindungspunkteigenschaften enthalten die Bindungsdaten, die von Clients zum Herstellen einer Verbindung mit dem Dienst verwendet werden. Wenn sich die Bindungsdaten ändern, muss der Dienst den Verbindungspunkt aktualisieren. andernfalls können Clients den Dienst nicht verwenden. Dies bedeutet, dass das Installationsprogramm auch die Sicherheitsbeschreibung für das Verbindungspunktobjekt ändern muss, damit der Dienst die entsprechenden Eigenschaften zur Laufzeit lesen und schreiben kann. Weitere Informationen und ein Codebeispiel finden Sie unter Aktivieren des Dienstkontos für den Zugriff auf SCP-Eigenschaften.
Ein Dienst, der unter dem Konto LocalSystem ausgeführt wird, kann einen Verbindungspunkt als untergeordnetes Objekt unter seinem eigenen Computerobjekt im Verzeichnis erstellen. Ein solcher Dienst ist eine Ausnahme von der Regel von Diensten, die keine eigenen Verbindungspunkte erstellen. Ein LocalSystem-Dienst verfügt auch über die Berechtigung, die Eigenschaften von Verbindungspunktobjekten unter seinem eigenen Computerobjekt zu ändern. Beachten Sie, dass ein Dienst nur unter dem LocalSystem-Konto ausgeführt werden sollte, wenn dies unbedingt erforderlich ist. Weitere Informationen finden Sie unter Richtlinien für die Auswahl eines Dienstanmeldungskontos.
Die Anwendung, die ein Verbindungspunktobjekt oder ein beliebiges Objekt erstellt, muss über untergeordnete Berechtigungen verfügen, damit die Objektklasse in dem Container erstellt wird, in dem das Objekt erstellt wird. Um ein Objekt zu entfernen, muss der Prozess, der den Vorgang ausführt, über untergeordnete Löschberechtigungen verfügen, damit die Objektklasse für den Container gelöscht wird, in dem sich das Objekt befindet, oder über Löschberechtigungen für das Objekt selbst verfügen. Um einen Verbindungspunkt zu aktualisieren, muss der Prozess, der den Vorgang ausführt, Schreibzugriff auf die Eigenschaften haben, die für das Objekt aktualisiert werden sollen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für