使用 ACL 保护 WCF 配置文件

Question

在this MSDN 关于 WCF 配置架构的文章中有一条警告说：

您应该使用适当的访问控制列表 (ACL) 保护应用程序配置文件 (app.config) 中的 WCF 配置部分，以防止任何潜在的安全威胁。例如，您应该确保只有适当的人才能访问或修改应用程序绑定的安全设置，或服务配置文件的服务模型部分。

这正是我的 WCF 服务所需要的，但我找不到太多关于如何实现此类保护的信息。

有人可以提供任何示例，说明如何使用访问控制列表 (ACL) 保护 WCF 配置文件的部分，或者向我提供有关此主题的更多信息吗？

提前致谢。

Answer 1

这句话可能是关于加密 WCF 配置部分（但不是整个 system.ServiceModel 部分组）和控制 ACL 到密钥容器。

MSDN + Some blog post + Somewhat related StackOverFlow discussion

从不同的文章看来，这种方法是特定于 IIS 的，但您可以在没有 IIS 的情况下执行相同的操作。基本上，您使用RsaProtectedConfigurationProvider 加密部分并指定Key name，这是在机器级密钥存储中定义的。

---

ACL 是控制安全对象权限的默认 Windows 系统。每个文件都是一个安全对象，app.config 也是。每个文件都有一个 ACL。当您在文件属性中打开安全选项卡时 - 它是 ACL 的 GUI。

您可以使用多种方式进行修改：

• 默认文件属性窗口（安全选项卡）。
• icacls工具
• PowerShell 命令
• Active Directory 策略（如果您拥有并控制域）