wcf windows集成安全性
我有active directory和几个客户端计算机加入了active directory。wcf windows集成安全性,wcf,security,windows-authentication,Wcf,Security,Windows Authentication,我有active directory和几个客户端计算机加入了active directory。 在客户端计算机中,我安装了wcf客户端。 在服务器上,wcf服务托管在IIS中。 我将消息安全性与windows凭据一起使用 一切正常 但我听说有一些程序可以从windows中提取密码(将live CD放入CD-ROM并重新启动电脑) 他们可以使用用户和通行证从其他地方访问wcf服务并造成损害 这是真的吗?我可以采取什么措施来更安全 这取决于windows的版本和更新方式。以前存在一个问题,您可以使用
在客户端计算机中,我安装了wcf客户端。
在服务器上,wcf服务托管在IIS中。
我将消息安全性与windows凭据一起使用 一切正常 但我听说有一些程序可以从windows中提取密码(将live CD放入CD-ROM并重新启动电脑) 他们可以使用用户和通行证从其他地方访问wcf服务并造成损害 这是真的吗?我可以采取什么措施来更安全
这取决于windows的版本和更新方式。以前存在一个问题,您可以使用linux CD启动PC,然后运行一个程序,对包含登录信息的SAM文件进行暴力攻击 但造成损害的可能性非常小:
- 它需要对机器进行物理访问
- 它不适用于强密码
- 它需要访问您的办公室或您的服务对internet开放
- 需要强密码
- 加密硬盘
- 阻止从internet访问该服务
- 保护你的办公室
- 它需要对机器进行物理访问
- 它不适用于强密码
- 它需要访问您的办公室或您的服务对internet开放
- 需要强密码
- 加密硬盘
- 阻止从internet访问该服务
- 保护你的办公室
密码的其他缓存可能存在,但这完全取决于您的用户是否使用了真正蹩脚的应用程序-现在市场上此类应用程序越来越少,但千万不要说“永不”。Shiraz的建议对本地(非广告)Windows帐户都有效,但我相信你所提出的威胁与SAM存储的本地Windows密码无关,因为你所说的是一个Active Directory设置,Windows系统加入到域中 消息security/windows凭据可能只允许访问您在Active Directory中设置的用户帐户。[此处的所有讨论假设我们讨论的是这些广告帐户,而不是每个Windows客户端上的本地帐户。] 假设您只允许AD帐户访问WCF服务,那么WCF服务实际上只容易受到能够检索(或猜测)明文密码的攻击者的攻击。由于您提出了live CD攻击的幽灵,我进一步假设您只担心对Windows客户端的攻击,而不担心对AD域控制器的攻击(其物理安全性可能比Windows客户端的物理保护更强) 因此,您提出的威胁是,攻击者可能会以某种方式在Windows客户端(或ea)的硬盘驱动器上找到用户的广告密码