wird von

Erweiterter Schutz ist ein Mechanismus zum Binden eines äußeren sicheren Kanals wie SSL an Interne Kanalauthentifizierungsprotokolle wie Kerberos-APREQ und HTTP-Headerauthentifizierung.

Das Konzept des erweiterten Schutzes wird in RFC2743 definiert.

Erweiterter Schutz wird, sofern verfügbar, automatisch auf dem Client konfiguriert, erfordert jedoch möglicherweise eine Konfiguration auf dem Server für nicht standardmäßige Szenarien.

Unterstützte Konfigurationen

Erweiterter Schutz wird unterstützt, wenn WS_HTTP_CHANNEL_BINDING mit Sicherheitsbindungen mithilfe von Integrierten Windows-Authentifizierungsprotokollen wie WS_HTTP_HEADER_AUTH_SECURITY_BINDING und WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING verwendet wird. Sie wird über die folgenden Sicherheitseigenschaften konfiguriert:

Die folgenden Konfigurationen mit erweitertem Schutz sind möglich:

Client

Server

Unterstützte Plattformen

Erweiterter Schutz wird auf Plattformen mit Unterstützung für den Schutz im Betriebssystem unterstützt. Windows 7 und Windows Server 2008 R2 bieten integrierte Unterstützung. Für andere Plattformen ist möglicherweise ein Update erforderlich.

Wenn das Betriebssystem des Servers diese Unterstützung nicht bereitstellt, werden alle vom Client gesendeten erweiterten Schutzinformationen ignoriert. Daher können Clients, die einen erweiterten Schutz verwenden, mit einem solchen Server kommunizieren, aber der Sicherheitsvorteil geht verloren. Auf dem Client unterstützt WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING in Kombination mit WS_SSL_TRANSPORT_SECURITY_BINDING nur erweiterten Schutz unter Vista und höher.

HINWEIS: Der erweiterte Schutz, der nicht verfügbar ist, verhindert nicht, dass eine bestimmte Konfiguration verwendet wird.

Interoperabilität

Ein standardmäßig konfigurierter Server kann unabhängig davon, ob sie erweiterten Schutz verwenden, mit SOAP-Clients kommunizieren. Die einzige Ausnahme sind Windows XP- und Windows Server 2003 WWSAPI-Clients, die aktualisiert wurden, um erweiterten Schutz zu unterstützen und sowohl WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING als auch WS_SSL_TRANSPORT_SECURITY_BINDING zu verwenden. Um solche Clients zu unterstützen, muss WS_EXTENDED_PROTECTION_POLICY_NEVER vom Server angegeben werden. Server, die mit WS_EXTENDED_PROTECTION_POLICY_ALWAYS konfiguriert sind, lehnen die Kommunikation von Clients ab, die keinen erweiterten Schutz verwenden. Auf dem Client führt WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING in Kombination mit WS_SSL_TRANSPORT_SECURITY_BINDING dazu, dass die Nachricht mit der HTTP-Blocked Transfer-Codierung unter Vista und höher gesendet wird. Dies kann zu Interopproblemen mit Servern führen, die die blockierte Übertragung nicht unterstützen.

Die folgenden Enumerationen/Konstanten sind Teil des erweiterten Schutzes:

Die folgenden Stuctures sind Teil des erweiterten Schutzes: