MSMQ身份验证队列

Question

我很努力地找到未设置MSMQ消息队列上的“已通过身份验证”复选框以及必须在哪些条件下的风险的信息。我需要防止未授权方能够从队列中读取/写入队列。当不设置该值时，我迎接不祥的警告：

队列未经验证。邮件发件人可以绕过安全选项卡中指定的访问控制设置。

我测试了尝试连接到未使用访问控制设置访问消息队列的域用户配置文件下运行我的服务进程的队列（已验证未选中）。我被阻止访问队列，并出现一条不错的错误消息：

访问消息队列系统被拒绝。

这就是我期待的。

一些问题，我有：

• 什么是能够设置访问控制在队列中如果能够（在某种程度上）绕过了点？
• 什么情况下可以绕过访问控制设置？
• 启用Authenticated仅使用ACL设置配置访问权限的好处是什么？

我想知道我是否可以逃脱，而不必妥协安全性（或至少知道我会做出什么妥协）的Authenticated Queue路由。

Answer 1

“如果可以绕过（以某种方式）可以将队列上的访问控制设置为什么点？”
您可以将该推理应用于任何安全技术。 ACL限制偶然/意外访问。他们没有问题，只有你的信息数据对别人没用。

“什么情况下可以绕过访问控制设置？”
您可以在ACL中嗅探用户的SID的网络数据包。然后，您可以创建一个MSMQ框架（而不是通过MSMQ队列管理器）并获得访问权限。

“启用Authenticated仅使用ACL设置配置访问权限有什么好处？”
安全性更高。要求基础结构支持身份验证，例如Active Directory或使用外部证书。最后是成本/收益分析。

底线 - 队列ACL不安全。