MSMQ身份驗證隊列

Question

我很努力地找到未設置MSMQ消息隊列上的「已通過身份驗證」複選框以及必須在哪些條件下的風險的信息。我需要防止未授權方能夠從隊列中讀取/寫入隊列。當不設置該值時，我迎接不祥的警告：

隊列未經驗證。郵件發件人可以繞過安全選項卡中指定的訪問控制設置。

我測試了嘗試連接到未使用訪問控制設置訪問消息隊列的域用戶配置文件下運行我的服務進程的隊列（已驗證未選中）。我被阻止訪問隊列，並出現一條不錯的錯誤消息：

訪問消息隊列系統被拒絕。

這就是我期待的。

一些問題，我有：

• 什麼是能夠設置訪問控制在隊列中如果能夠（在某種程度上）繞過了點？
• 什麼情況下可以繞過訪問控制設置？
• 啓用Authenticated僅使用ACL設置配置訪問權限的好處是什麼？

我想知道我是否可以逃脫，而不必妥協安全性（或至少知道我會做出什麼妥協）的Authenticated Queue路由。

Answer 1

「如果可以繞過（以某種方式）可以將隊列上的訪問控制設置爲什麼點？」
您可以將該推理應用於任何安全技術。 ACL限制偶然/意外訪問。他們沒有問題，只有你的信息數據對別人沒用。

「什麼情況下可以繞過訪問控制設置？」
您可以在ACL中嗅探用戶的SID的網絡數據包。然後，您可以創建一個MSMQ框架（而不是通過MSMQ隊列管理器）並獲得訪問權限。

「啓用Authenticated僅使用ACL設置配置訪問權限有什麼好處？」
安全性更高。要求基礎結構支持身份驗證，例如Active Directory或使用外部證書。最後是成本/收益分析。

底線 - 隊列ACL不安全。