Erreur courante : en supposant que RpcServerRegisterAuthInfo empêche les utilisateurs non autorisés d’appeler votre serveur
Lorsque des fournisseurs de sécurité sont inscrits sur le serveur avec la fonction RpcServerRegisterAuthInfo , une option est ajoutée, et non une exigence. Cela signifie que les inscriptions précédentes avec RpcServerRegisterAuthInfo ne sont pas remplacées. Cela signifie également que les clients non authentifiés peuvent toujours se connecter. En appelant la fonction RpcServerRegisterAuthInfo , les clients non authentifiés ne sont pas autorisés à se connecter ; ils peuvent toujours se connecter, mais les appels de fonction, tels que RpcImpersonateClient et RpcGetAuthorizationContextForClient , échouent. Ainsi, lorsque la fonction RpcServerRegisterAuthInfo est appelée, les attaquants potentiels n’ont pas été désinstallés. les clients qui devraient avoir accès ont la possibilité de prouver leur identité. Les vérifications doivent toujours être en place pour déterminer si des attaquants potentiels tentent de se connecter.