IIS中的WCF，http基本身份验证 - Windows用户“安全”的含义

Question

我使用http基本身份验证和SSL创建了一个WCF服务。 （IIS atm的临时证书）

这是相关配置。

<services>
  <service name="MyNamespace.MyService">
    <endpoint address="" binding="basicHttpBinding" bindingConfiguration="basicHttps"
      name="MyEndPoint" contract="MyNamespace.IMyService" />
  </service>
</services>
<behaviors>
  <serviceBehaviors>
    <behavior name="">
      <!-- These will be false when deployed -->
      <serviceMetadata httpsGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
    </behavior>
    <!-- This doesn't do anything in IIS -->
    <behavior name="CustomUsernameValidatorBehavior">
      <serviceCredentials>
        <userNameAuthentication userNamePasswordValidationMode="Custom"
          customUserNamePasswordValidatorType="MyNamespace.CustomUserNameValidator" />
      </serviceCredentials>
    </behavior>
  </serviceBehaviors>
</behaviors>
<bindings>
  <basicHttpBinding>
    <binding name="basicHttps">
      <security mode="Transport">
        <transport clientCredentialType="Basic" />
      </security>
    </binding>
  </basicHttpBinding>
</bindings>

由于我在IIS中托管的事实，我无法使用我的customUsernameValidator，并且IIS Basic身份验证尝试针对Windows的用户名和密码。

我创建了一个新用户，在本地禁用了登录，并将其放入一个新组（没有权限）。 用户的唯一目的是确保允许他们访问服务，而不是其他任何目的。 该服务将在线，而非内部，例如内联网等。

我的问题归结为此，由于我使用的是真正的Windows用户，是否存在安全风险/影响？ 如果是这样，可以做些什么来保护这个服务/ IIS？

如果要采取措施防止信息“网络钓鱼”，他们是否可以尝试使用不同的用户名和密码来查找凭据？

顺便说一下，这是在IIS和SSL中使用Http基本身份验证的WCF的工作绑定（减去其他一些端点等）。 它要求IIS安装了基本身份验证，以及要对其进行身份验证的Windows用户。 我不想对Windows用户进行身份验证。

Answer 1

如果使用基本身份验证（未定义域），则IIS 5.0及更低版本具有IP地址泄露漏洞。 请看一下这个网站： http ： //www.juniper.net/security/auto/vulnerabilities/vuln1499.html