我正在努力寻找有关未设置" Authenticated" MSMQ消息队列上的复选框以及必须的条件。我需要防止未经授权的一方能够从/向队列读/写。如果没有设定价值,我会收到不祥的警告:
队列未经身份验证。邮件发件人可以绕过“安全”选项卡中指定的“访问控制”设置。
我已尝试在域用户配置文件下尝试连接到队列(Authenticated unchecked)运行我的服务进程,该域用户配置文件未使用访问控制设置授予对消息队列的访问权限。我被阻止访问队列,并显示错误消息:
拒绝访问消息队列系统。
这就是我所期待的。
我有些问题:
我试图找出我是否能够在不损害安全性的情况下不必去认证队列路线(或者至少知道我将做出什么样的妥协)。
答案 0 :(得分:0)
“如果可以绕过(以某种方式)绕过队列,可以设置访问控制的重点是什么?”
您可以将该推理应用于任何安全技术。 ACL限制临时/意外访问。除了你之外,消息数据对任何人都没用。
“在什么情况下可以绕过访问控制设置?”
您可以在ACL中嗅探网络数据包以获取用户的SID。然后你可以制作一个MSMQ帧(而不是通过MSMQ队列管理器)并获得访问权。
“使用ACL设置启用Authenticated以上只是配置访问权限有什么好处?”
安全性更好。是否要求基础结构支持身份验证,例如Active Directory或使用外部证书。最后是成本/收益分析。
底线 - 队列ACL不安全。