调用远程的企业服务的安全问题

最新推荐文章于 2024-05-03 18:18:24 发布
最新推荐文章于 2024-05-03 18:18:24 发布
阅读量515 收藏
点赞数
文章标签: 应用服务器 服务器 system access asp.net iis

Windows 的安全机制规定:接收远程的com+调用的时候,会验证这个调用的权限。如果权限不够就出现经典的“拒绝访问”错误。 解决这个问题已知访问方式有:

  • 匿名访问;简单来说就是在应用服务器(简称AP)上启用Guest账户,并且设置Guest具有激活和访问COM+的权限。这条路是可行,不过安全性不能得到保证。
  • 客户端电脑的登录用户和密码和AP上的一个用户一致,并且这个用户在AP上也具有相应的访问COM+的权限。这种方式要比第一种好一些,但是哪个单位的IT系统会是这种样子呢。肯定是每台机器都有自己的帐户密码。这个方式也不好。注:这种方式在不需要发布客户端软件到诺干多的机器上的时候也是可行的,比如访问COM+ 的是webServer.
  • 在域管理的网络环境中,同样可以实现,但是有个问题,如果您的客户不愿意改造成域环境呢。所以这种方法也是有局限性的。

下面就来一一详细演示:

匿名访问的设置:

我们在应用服务器(AP)上做下面三个设置,之后就可以启用企业服务的远程匿名访问功能。

1、启用Guest用户,我们可以通过: 计算机管理 –> 系统工具 –> 本地用户和组 把 Guest 用户起用,如下图所示:把 Account is disabled 前面的勾去掉:

image

2、配置企业服务的安全设置,我们需要修改调用的身份验证级别为无,模拟级别:匿名。

image

3、修改Com+的全局设置,允许 Everyone 有远程启动,远程激活的权限如下图:我们在 组件服务中,选择组件服务-> 计算机 –> 我的电脑 上右键菜单中选择属性,就可以打开下面设置页面:

image

然后我们在客户端,就可以简单的安装企业服务代理,再用asp.net 来通过企业服务代理来请求应用服务器上的企业服务了。

 

 

基于域的远程企业服务调用

如果是域服务器的话,很多设置已经是默认设置了,我们只需要简单的做上面的第三步,即允许 Everyone 有远程启动,远程激活的权限。

image

 

无域的远程企业服务调用

这时候的关键就是要建立一个账户,在服务器和客户端机子上用户名和密码都完全一致。

然后在服务器和客户端给予这个账号必要的操作权限。这里简单的以 administrator 账户为例。

我们在 web.config 中再打开模拟设置,类似如下即可:

<identity impersonate="true" userName="administrator" password="12345" />

 

设置权限时,必须确保“启动和激活权限”对话框的“组或用户名”列表中包括 SYSTEM,且允许 SYSTEM 具有启动权限。SYSTEM 隐含包括在 Everyone 组中。但是,出于安全原因,建议您不要对 Everyone 组启用启动权限。

 

参考资料:

部署分布式 Com+
http://blog.joycode.com/ghj/archive/2006/10/24/28028.aspx

非匿名方式访问远程的com+
http://blog.csdn.net/looyo/archive/2007/07/27/1711546.aspx

Access is denied when calling a remote serviced component (framework 1.1->1.0 issue)
http://www.keyongtech.com/501832-access-is-denied-when-calling

Error instantiating a COM+ proxy
http://www.issociate.de/board/post/293611/Error_instantiating_a_COM+_proxy.html

远程调用com+组件问题
http://topic.csdn.net/u/20071023/19/3d73c0f0-0de4-4463-b3ef-e00b25c3789e.html

设置计算机范围启动和激活权限
http://technet.microsoft.com/zh-cn/library/cc771689.aspx

以远程计算机上的用户身份访问Com+应用
http://school.cnd8.com/delphi/jiaocheng/7002.htm

配置 COM+ 服务器对象的启动权限
http://technet.microsoft.com/zh-cn/library/cc778126(WS.10).aspx

 

 

基于COM+技术的安全性研究
http://www.qqread.com/data-structure/f206773.html

设置管理安全性
http://technet.microsoft.com/zh-cn/library/cc755073.aspx

COM+在win2003+IIS+MSSQL环境下的部署步骤
http://blog.csdn.net/xieyunc/archive/2009/04/30/4140619.aspx

第 10 章 - Web 服务安全性
http://www.microsoft.com/china/technet/security/guidance/secmod10.mspx#EHCAE

COM+ 管理:了解组件服务管理工具
http://docs.huihoo.com/com/com_pl/index.html

COM(Component Object Model)
http://docs.huihoo.com/com/index.html

Error instantiating a COM+ proxy
http://www.issociate.de/board/post/293611/Error_instantiating_a_COM+_proxy.html

asp, Error instantiating a COM+ proxy
http://asp.itgroups.info/28/5/thread-2086552.html

 

"General access denied error" under IIS accessing remote component
http://www.issociate.de/board/goto/703185/%22General_access_denied_error%22_under_IIS_accessing_remote_component.html

ASP.NET 中的进程和请求标识
http://support.microsoft.com/kb/317012/zh-cn

COM+ with ASP.NET
http://www.dotnet247.com/247reference/message.aspx?vote=86f67a1b-c961-4229-84c6-4c1b9ecc818a&id=128688&threadid=373882

COM+ with ASP.NET
http://www.dotnet247.com/247reference/msgs/25/128688.aspx

Windows 2003 ASP and COM+ Proxy
http://www.adminvc.com/bbsid-326865-9.html

 

 

转载:http://www.cnblogs.com/ghj1976/archive/2010/06/02/1750080.html

Tkun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Java的远程方法调用及其应用
04-11
由于J ava 具有跨平台、代码可移植性、安全高效 等广泛而强大的功能, 因而在开发网络系统的时候, 可 用其自身的机制实现分布式系统, 一种基于J ava 的远 程方法调用为我们开发企业分布式系统提供了很好的 解决方案
分布式下,远程接口调用安全问题
时间ヾ永恒的博客
09-07 733
初步介绍 目前很多服务都是分布式开发的,就算自己做项目,练手,也都是采用的分模块,切分端口号的操作,那么这样就必然涉及一个远程调用问题。那么一但涉及远程调用,就需要考虑一个性能以及安全问题,本文就是初步讲解安全问题 本文的一个整体流程 常规业务流程分析 具体每一步的业务 针对每一步遇到问题的解决 常规业务流程分析 我们做电商平台都知道一个流程,订单与发货模块,都是分开处理的,端口号是不...
http(post)远程调用接口
开心就好
10-18 6685
String result = HttpClientUtil.doPost(headerMap,url, map, "utf-8"); private static final String url = "http://test.ghed.com.cn:9501/evcs/v20180413/query_token"; public static ...
C#动态调用web服务 远程调用技术WebService
cao919的专栏Net
07-20 2054
一、课程介绍 一位伟大的讲师曾经说过一句话:事物存在即合理!意思就是说:任何存在的事物都有其存在的原因,存在的一切事物都可以找到其存在的理由,我们应当把焦点放在因果关联的本质上。所以在本次分享课开课之前,我们要“约法三章”不谈论以下几个比较“严肃”和“敏感”的话题:WebService已经过时了啦,学习它干什么用啊!为什么要用WebService,而不用基于当前流行的RestFul ASP.NET WebAPI ? 对于上面的问题阿笨的回答很简单:因为它就是它,不一样烟火的WebService! 本.
云顿服务器安全加固.rar
07-17
如何及时的、准确的发现违反安全策略的事件,并及时处理,是广大企业用户迫切需要解决的问题。 云顿服务器安全加固系统(eisafe safety system server,简称:eisafe safety) 是云顿科技自主知识产权的安全产品,它...
云顿服务器安全加固 v1.0
03-12
如何及时的、准确的发现违反安全策略的事件,并及时处理,是广大企业用户迫切需要解决的问题。 云顿服务器安全加固系统(eisafe safety system server,简称:eisafe safety) 是云顿科技自主知识产权的安全产品,它...
服务器基本安全配置.doc
06-08
Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Shell Hardware ...
Quartz任务调用系统,支持持久化存储和远程管理.zip
03-12
这种系统可以帮助企业避免库存过剩或不足的问题,提高供应链的效率。 客户关系管理系统(CRM): 用于管理与客户之间的关系,包括客户信息、沟通记录、销售机会跟踪等。CRM系统有助于企业更好地理解客户需求,提高...
linux 磁盘管理
weixin_42795092的博客
04-29 1125
在mm下新建文件,在文件中输入内容,此内容就被写入第一个分区内,同时mm下会生出lost+found目录,当档案系统发生错误时, 将一些遗失的片段放置到这个目录下。把sdb3挂载到mm,创建文件同时写入内容,查看发现只显示f3,之前挂载的sdb1中的f1不见,代表多个分区可以挂载一个挂载点,但只显示最新挂载的分区。特点:针对不同的数据建立不同的分区,同时为不同的分区创建不同的权限。输入swapon /dev/sdb2,并查看虚拟内存组成分区,两块虚拟内存组成,虚拟内存挂载成功。
WinForms 应用程序中使用 SignalR 连接到服务器
一个专注于技术研究创新的程序员
04-29 413
假设您已经在服务器端实现了名为 SignalRHub 的 SignalR Hub,并且该 Hub 包含了一个名为 SendMessage 的方法,用于接收来自客户端的消息,并将其广播给所有连接的客户端。客户端在收到消息时调用名为 ReceiveMessage 的方法来处理。
【如何使用SSH密钥验证提升服务器安全性及操作效率】(优雅的连接到自己的linux服务器
qq_41308872的博客
04-29 705
本文介绍了如何通过SSH密钥验证提升服务器安全性,以及操作步骤和技巧。从生成密钥对到配置服务器,再到登录操作,逐步讲解,旨在帮助读者理解密钥验证原理,提升系统安全性,同时提高操作效率
Grafana 添加一台管理服务器
jekc2008的专栏
04-30 228
1、修改prometheus.yml。3、导入node文件。
【Linux】进程间通信IPC机制
Atcxr的博客
04-29 1355
梳理了进程间通信IPC常用的代码框架
香港BGP服务器和香港双线服务器的区别
JttiSEO的博客
04-30 234
香港BGP服务器采用BGP(边界网关协议)技术,通常连接到多个不同的网络服务提供商(ISP),并通过BGP协议动态选择最优的网络路径。虽然也提供了一定程度的冗余和备份,但相比于BGP服务器,双线服务器的网络连接方式更为简单,可能会有一定程度的单点故障风险。相比之下,双线服务器的成本可能会更为适中,但在一些对网络连接稳定性要求较高的应用场景下,可能需要额外考虑BGP服务器的投入。而香港双线服务器虽然具有一定程度的冗余和备份,但在某些情况下可能仍然会受到单个网络提供商的影响,造成网络性能下降或服务中断的风险。
快速了解Linux IPC
wJen的博客
04-30 1310
简单介绍了Linux IPC以便快速了解基本内容。
Linux硬盘挂载操作记录
pyf2533931995的博客
04-29 392
文件系统就是将硬盘抽象为文件和文件夹的形式来管理数据,我们只需要创建文件和文件夹来使用存储空间,而不需要具体是怎么使用硬盘的。:添加硬盘或分区后,需要将其挂载到某个具体的目录下,这样这个目录下的文件数据就会被写入硬盘,硬盘才真正生效。拓展分区和逻辑分区是父子关系,拓展分区下包含多个逻辑分区,拓展分区不能挂载,逻辑分区可用于挂载。sdc中创建了两个分区sdc1和sdc2,每个分区占3G,还剩4G,可用于创建更多的分区。对于新添加的盘,可直接挂载到指定目录下,也可划分为多个分区挂载到不同目录下。
spring Bean的实例化过程
Lxn2zh的博客
04-29 210
然后使用BeanFactoryPostProcessor来完成对bean的增强,BeanFactoryPostProcessor是一个接口,有很多的实现类。如PropertySourcesPlaceholderConfigurer来完成配置中的${…Bean的实例化过程。
企业计算机服务器中了devicdata勒索病毒怎么处理,devicdata解密数据恢复
最新发布
M99W1230的博客
05-03 281
网络技术的不断应用与发展,加快了社会进步的步伐,越来越多的企业利用网络开展各项工作业务,网络为企业提供了极大便利,大大提高了生产效率,网络数据安全问题成为了众多企业关心的主要话题。Devicdata勒索病毒是国外知名的勒索组织,该勒索病毒下有多个团队,时不时就会对企业的计算机服务器发起攻击,给国内众多企业带来了严重威胁,而devicdata勒索病毒经过多年网络技术的不断发展,采用了新升级后的加密算法,具有较强的攻击与加密能力,加密后的文件几乎全部为全字节格式,非专业技术人员很难自行破解恢复。
socks5 dex调用
05-15
这种技术对于需要远程访问网络资源的企业、个人用户和开发者来说,可以提供更高效、快速、安全的网络传输方式,提高数据的传送速度、保护数据安全,减少数据丢失和泄露的风险,提高网络应用的性能和响应速度。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值