Authentication TFS 2010安全

我知道有一台TFS 2010服务器，我只需创建一个

TfsConfigurationServer

，就可以连接到它，而无需设置任何凭据

TfsConfigurationServer configurationServer = new TfsConfigurationServer(new Uri("address"))

连接之后，我能够检索所有团队项目集合和相应的团队项目。这不是一个安全漏洞吗？我不确定，因为我是TFSAPI新手

---

每个TFS服务器都允许这样列出团队项目吗？如果这是一个漏洞，如何修复它？

可能不是您没有使用任何凭据，而是您没有明确指定任何凭据。在这种情况下，将使用您登录的用户凭据，您将在不需要键入用户名和密码的情况下登录

有三件事可能正在发生：

您已作为域用户登录到工作站。您连接到的TFS服务器已加入到与您登录到的域具有信任关系的域。您的域用户具有连接和查询团队项目集合列表的适当权限

您的计算机与TFS服务器之间没有信任关系，但您在服务器上的工作站上具有相同的用户名/密码配置。（即，您使用的是“影子帐户”或“镜像本地帐户”。）TFS服务器上的用户具有连接和查询团队项目集合列表的适当权限

您在Windows凭据管理器中有。这些凭据具有连接和查询团队项目集合列表的适当权限

如果这两件事中有一件不是真的，那么您将需要为具有连接和查询团队项目集合列表权限的帐户提供显式的用户名/密码凭据

可以在IIS中启用匿名访问，并允许来宾用户访问TFS中的项目集合列表，但我不知道有谁这样做过。我从未亲自测试过这个场景

---

在任何情况下，如果您正在查看启用了此功能的服务器，这确实不是正常情况。

您的用户帐户是否有权登录到TFS服务器？请点击thx以获取回复。我没有使用任何帐户。1） 我正在通过internet从我的计算机远程尝试此操作2）我的计算机甚至不在iplc或vpn中。3）我甚至没有计算机的登录id/密码。你知道这是怎么回事吗？你怎么没有电脑的登录id。这可能吗？您必须以某人的身份登录。。。我的意思是，Windows附带了一个内置的来宾帐户，但我怀疑这些是您的客户端凭据。您可以在服务器上打开跟踪，查看服务器端发生的情况。@RyanRiehle:我的意思是我没有计算机的登录密码。此外，正如Edward所说，我无法访问windows vault中的服务器凭据。谢谢你的回复！谢谢你的回复。但你所说的两种情况都不是happenning@Sat：你能解释一下吗？对不起，我在完全键入之前按了enter键。1）我正在通过internet从我的计算机远程尝试此操作2）我的计算机甚至不是iplc或vpn。3）我甚至没有计算机的登录id/密码。你知道这是怎么可能的吗？@Sat：我又增加了一个可能性，你的证书可能来自哪里。我想您正在查看的服务器可能启用了匿名访问，但坦率地说，我甚至不确定这是否可行。但如果是的话，这种设置肯定不是正常的。谁设置了这个服务器？是你的吗？你们公司的？学校的？是的，这是我公司的服务器。顺便说一下，tfs服务正在8080以外的端口中运行。我可以在没有凭据的情况下远程登录到端口。这可能是原因吗？不知道，只是猜测而已。你有什么建议来解决它？谢谢