WCF wsHttpBinding 的 Windows 身份验证有多安全？

Question

我创建了 WCF，并使用 wsHttpBinding 和 MTOM 作为消息传输，身份验证为“Windows”。

现在我的服务不是当前的 SECURE，它是纯 HTTP，在自定义端口上运行。

WCF 的 wsHttpBinding 的 Windows 身份验证是否安全？任何人都可以通过网络跟踪看到密码或猜测吗？

环境信息：

1. 在 Internet 上托管
2. 没有 Active Directory，只有一个服务器
3. 使用服务器的管理员用户名和密码从我的办公室连接
4. 在客户端，配置文件中没有提到密码，它是在运行时输入的。它可以正常工作，因为输入错误的凭据也会返回某种安全异常。
5. 在自定义端口 89 上运行 .NET 4.0，目前我在自定义 Windows 服务的 app.config 中设置了以下配置，我将 WCF 托管在作为本地服务安装的自定义 Windows 服务中。我已在每种方法上启用了模拟。

这里是 app.config

  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior name="metaAndErrors">
          <serviceMetadata httpGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="true" />
          <dataContractSerializer maxItemsInObjectGraph="2147483647"/>
          <serviceAuthorization impersonateCallerForAllOperations="true"/>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <services>
      <service name="CustomServiceHost.CustomService"
               behaviorConfiguration="metaAndErrors"
               >
            <endpoint address="" binding="wsHttpBinding"
                  bindingConfiguration="wsHttpLargeBinding"
                  contract="CustomServiceHost.ICustomService"/>
        <endpoint address="mex" binding="mexHttpBinding"
                  contract="IMetadataExchange" />
        <host>
          <baseAddresses>
            <add baseAddress="http://localhost:89/CustomService" />
          </baseAddresses>
        </host>
      </service>
    </services>
    <bindings>
      <wsHttpBinding>
        <binding
          name="wsHttpLargeBinding" messageEncoding="Mtom"
          maxReceivedMessageSize="2147483647">
          <readerQuotas maxArrayLength="512000"/>
        </binding>
      </wsHttpBinding>
    </bindings>
  </system.serviceModel>

以下是在运行时完成的客户端配置，

        WSHttpBinding binding = new WSHttpBinding();

        binding.Security.Message.ClientCredentialType 
            = MessageCredentialType.Windows;
        binding.Security.Mode = SecurityMode.Message;

        binding.MessageEncoding = WSMessageEncoding.Mtom;

        binding.ReaderQuotas.MaxArrayLength = 512000;

        CustomServiceClient cc = new CustomServiceClient(
            binding,
            new EndpointAddress(string.Format(
                "http://{0}:89/CustomService", 
                host.ServerHost))
            );

        cc.ClientCredentials.Windows.AllowedImpersonationLevel 
            = System.Security.Principal.TokenImpersonationLevel.Impersonation; 
        cc.ClientCredentials.Windows.ClientCredential 
            = new NetworkCredential(host.Username, host.Password);

谢谢你， - 阿卡什

Answer 1

关于您关于密码的问题：Windows 身份验证使用 Kerberos 或 NTLM，并且这两种协议都没有以明文形式传输密码。

此信息写在这里： http://msdn.microsoft.com/en-us/library/ff647076.aspx

您应该使用集成 Windows 身份验证而不是基本身份验证，因为它可以避免通过网络传输用户凭据。

这意味着您不需要 SSL 来保护您的密码，但如果您有其他敏感信息（在您的服务调用中），那么您应该考虑使用加密（例如 SSL）。我没有尝试过，但它应该可以帮助您入门：

http://www.codeproject.com/KB/WCF/WCFSSL.aspx

另一种选择是加密消息（消息安全而不是传输安全）。这是另一个可以帮助您入门的链接：

http://msdn.microsoft.com/en-us/library/ms733137.aspx

Answer 2

首先我在<binding> 下找不到子元素

<security mode="Message">
    <message clientCredentialType="Windows" />
</security>

您应该将其插入web.config（或App.config）。它将对应客户端当前使用的消息安全模式。

而且有点奇怪，我发现你没有在 IIS 服务器下托管 WCF 服务。使用作为本地服务安装的自定义 Windows 服务确实不是安全解决方案的最佳选择。它是您的最终配置还是您计划在 IIS 下托管它？如果这是一个未解决的问题，我可以向您发布一些链接，其中描述了不同托管方式的优缺点。在LocalSystem 帐户下运行 WCF 服务是否有一些重要要求？您能否简要介绍一下 WCF 服务的作用？我有问题建议您对服务器端进行过多限制，这可能会使 WCF 的主要工作变得不可能。另一方面遵循最小权限原则以获得更安全的解决方案。

这还不是最终答案，只是第一句话。

已更新：您好！现在我有时间结束我的回答了。首先，我想确认像 Stefan Egli（见另一个答案）我敢肯定，密码不会以明文形式发送。我只是不确定 Windows 身份验证是如何工作的，因为您没有 Active Directory。可能它与本地服务器帐户一起用作 NTLM 身份验证。小问题是仅当您使用此 NTLM 时，您无法在客户端确定您是否真的与您的 WCF 服务器一起工作。在这种情况下，证书的使用非常有帮助。

Stefan Egli 在他的回答中也提出了一种方法，即 SSL。它不仅可以进行数据加密，还可以使用 SSL 证书对服务器进行身份验证。如果您选择将消息模式更改为 TransportWithMessageCredential 的方式。

如果您进行远程管理的客户端计算机不是免费的非托管客户端，并且您能够在计算机上安装一些组件，我强烈建议您使用基于证书的身份验证和数据加密（请参阅@987654321 @) 并在服务器端和客户端安装相应的证书。这种方式是最安全的，实施后您将同时收到客户端和服务器的身份验证和加密。

在http://www.codeproject.com/KB/WCF/9StepsWCF.aspx 下，您将逐步了解如何在 WCF 中创建和使用客户端和服务器证书。我只想提一下，可以使用 Windows SDK 中的 MakeCert.exe 实用程序不仅可以创建自签名证书，还可以创建小型 PKI。这是一个例子：

有

MakeCert.exe -pe -ss MY -a sha1 -cy authority -len 4096 -e 12/31/2020 -r 
             -n "CN=My Company Root Authority,O=My Company,C=DE" MyCompany.cer

您创建一个“根”“自签名”证书并保存在我的（个人）证书存储中（关于 -sv 开关的替代方案，您可以将私钥保存在 PVK 文件中）。您还可以将其导出到 MyCompany.cer（但没有私钥），以便更轻松地将其安装在 Truster Root 中的客户端和服务器计算机上。然后您可以创建另外两个证书：一个用于服务器，另一个用于客户端身份验证，使用根证书对这两个证书进行签名。您可以做与拥有像 http://www.codeproject.com/KB/WCF/wcf_certificates.aspx 这样的证书服务器（证书服务）完全相同的事情

有关其他示例，请参阅例如 http://blogs.microsoft.co.il/blogs/applisec/archive/2008/04/08/creating-x-509-certificates-using-makecert-exe.aspx。

其他链接很重要 http://msdn.microsoft.com/en-us/library/cc949011.aspx，来自http://msdn.microsoft.com/en-us/library/ff648902.aspx 的“指南文章” http://msdn.microsoft.com/en-us/library/ff650794.aspx 可以为您提供帮助。 文章http://msdn.microsoft.com/en-us/library/ms789011.aspx如何在客户端代码中做一些事情（就像你现在做的那样）。