IIS中的WCF，http基本身份驗證 - Windows用戶“安全”的含義

Question

我使用http基本身份驗證和SSL創建了一個WCF服務。 （IIS atm的臨時證書）

這是相關配置。

<services>
  <service name="MyNamespace.MyService">
    <endpoint address="" binding="basicHttpBinding" bindingConfiguration="basicHttps"
      name="MyEndPoint" contract="MyNamespace.IMyService" />
  </service>
</services>
<behaviors>
  <serviceBehaviors>
    <behavior name="">
      <!-- These will be false when deployed -->
      <serviceMetadata httpsGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
    </behavior>
    <!-- This doesn't do anything in IIS -->
    <behavior name="CustomUsernameValidatorBehavior">
      <serviceCredentials>
        <userNameAuthentication userNamePasswordValidationMode="Custom"
          customUserNamePasswordValidatorType="MyNamespace.CustomUserNameValidator" />
      </serviceCredentials>
    </behavior>
  </serviceBehaviors>
</behaviors>
<bindings>
  <basicHttpBinding>
    <binding name="basicHttps">
      <security mode="Transport">
        <transport clientCredentialType="Basic" />
      </security>
    </binding>
  </basicHttpBinding>
</bindings>

由於我在IIS中托管的事實，我無法使用我的customUsernameValidator，並且IIS Basic身份驗證嘗試針對Windows的用戶名和密碼。

我創建了一個新用戶，在本地禁用了登錄，並將其放入一個新組（沒有權限）。 用戶的唯一目的是確保允許他們訪問服務，而不是其他任何目的。 該服務將在線，而非內部，例如內聯網等。

我的問題歸結為此，由於我使用的是真正的Windows用戶，是否存在安全風險/影響？ 如果是這樣，可以做些什么來保護這個服務/ IIS？

如果要采取措施防止信息“網絡釣魚”，他們是否可以嘗試使用不同的用戶名和密碼來查找憑據？

順便說一下，這是在IIS和SSL中使用Http基本身份驗證的WCF的工作綁定（減去其他一些端點等）。 它要求IIS安裝了基本身份驗證，以及要對其進行身份驗證的Windows用戶。 我不想對Windows用戶進行身份驗證。

Answer 1

如果使用基本身份驗證（未定義域），則IIS 5.0及更低版本具有IP地址泄露漏洞。 請看一下這個網站： http ： //www.juniper.net/security/auto/vulnerabilities/vuln1499.html