EnableAuthEpResolution

  • Artikel

Veröffentlicht: 21. Jul 2004 | Aktualisiert: 14. Nov 2004

EnableAuthEpResolution-Registrierungsschlüssel
(\\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC)

* * *

Eine RPC-Schnittstelle, die remote und anonym zugänglich sowie standardmäßig in Windows XP registriert ist, bietet eine erhebliche Angriffsfläche. RPC selbst muss eine solche Schnittstelle registrieren, um die Endpunkte für Anrufe mit dynamischen Endpunkten auflösen zu können.

Durch den neuen Registrierungsschlüssel RestrictRemoteClients ist die RPC-Endpunktzuordnungsschnittstelle standardmäßig anonym nicht zugänglich. Hierbei handelt es sich um eine wesentliche Verbesserung der Sicherheit, die allerdings Konsequenzen für die Auflösung von Endpunkten hat. Zurzeit fragt ein RPC-Client, der einen Anruf mit einem dynamischen Endpunkt durchführen möchte, zunächst die RPC-Endpunktzuordnung des Servers ab, um den Endpunkt zu ermitteln, mit dem die Verbindung hergestellt werden soll. Diese Abfrage erfolgt anonym, auch wenn der RPC-Clientaufruf mit RPC-Sicherheit durchgeführt wird.

Anonyme Anrufe an die RPC-Endpunktzuordnungsschnittstelle schlagen in Windows XP Service Pack 2 wegen des Standardwerts des neuen Schlüssels RestrictRemoteClients standardmäßig fehl. Dies macht eine Änderung des RPC-Clientlaufzeitsystems erforderlich, um eine authentifizierte Abfrage an die Endpunktzuordnung durchzuführen. Wenn der Schlüssel EnableAuthEpResolution auf den Client gesetzt ist, authentifiziert sich das RPC-Clientlaufzeitsystem mit Hilfe von NTLM bei der Endpunktzuordnung. Diese authentifizierte Abfrage erfolgt nur dann, wenn der eigentliche RPC-Clientaufruf die Authentifizierung verwendet.

Implikationen für den Entwickler

pfeilrechts Einführung
pfeilrechts Erhöhter Netzwerkschutz
pfeilrechts Neuer Speicherschutz
pfeilrechts Verbesserte E-Mail-Sicherheit
pfeilrechts Erweiterte Sicherheit beim Browsen
pfeilrechts Zusammenfassung