Перейти к содержимому

Служба microsoft passport что это за служба

  • автор:

Служба microsoft passport что это за служба

Что такое цифровой паспорт Microsoft .NET?

Служба Microsoft .NET Passport обеспечивает удобный способ входа на различные веб-узлы и службы Интернета с использованием одного имени и пароля. Чтобы войти в службу .NET Messenger Service с помощью программы Windows Messenger, необходимо иметь цифровой паспорт .NET.

Подробнее узнать о цифровом паспорте .NET можно на веб-узле службы .NET Passport (http://www.passport.com/) .

Детям до 12 лет включительно, проживающим в США, для входа в службу .NET Messenger Service необходимо иметь детский цифровой паспорт .NET.

доступ использовать учетное имя войти начать начало запустить

Обновление безопасности для службы Passport-Azure-AD для библиотеки Node.js

Уязвимость существует при библиотеке Azure Active Directory Passport (паспорта-Azure-AD для Node.js) неправильно проверяет маркеров безопасности.

Успешно воспользовавшись этой уязвимостью, злоумышленник может обойти проверку подлинности Azure Active Directory целевой узел веб-приложения. Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданный маркер для конечного веб-приложения, который содержит идентификационные утверждения является допустимым пользователем. Это обновление устраняет уязвимость, исправляя способ проверки маркеров безопасности при стратегии паспорта воспользоваться преимуществами Azure Active Directory.

Часто задаваемые вопросы об уязвимости

Q1: При использовании Azure Active Directory. Меня влияет?

A1: Этой уязвимости подвержены только веб-приложений, позволяют воспользоваться преимуществами Azure AD для проверки подлинности паспорта-Azure-AD для библиотеки Node.js. Стандартной проверки подлинности Azure AD, который не использует библиотеки Node.js Passport-Azure-AD не влияет. Уязвимость в веб-приложениях, использующих устаревших версий Passport-Azure-AD для библиотеки Node.js.

Q2: Что такое паспорта-Azure-AD для Node.js?

A2: Passport-Azure-AD для Node.js-это коллекция паспорта стратегии, которые помогут вам интегрировать приложения узла с Azure Active Directory. Он включает подключение OpenID, WS-Federation и SAML-P проверки подлинности и авторизации. Эти поставщики позволяют использовать многие возможности паспорта Azure AD для Node.js, включая веб-единого входа (WebSSO), Endpoint Protection с OAuth, а JWT маркера и проверки.

Сведения об обновлении

Разработчики, использующие библиотеку паспорта Azure AD Node.js необходимо загрузить последнюю версию Passport-Azure-AD для библиотеки Node.js и затем обновить свои приложения. Технические сведения публикуются в нашем хранилище GitHub.

Разработчики, использующие версии 1. x , необходимо обновить до версии 1.4.6.

Разработчики, использующие версии 2.0 необходимо обновить до версии 2.0.1.

Статус

Корпорация Майкрософт подтверждает, что это является проблемой в службе Passport-Azure-AD для библиотеки Node.js.

Ссылки

Номер CVE: 2016 7191

Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.

Проверка подлинности passport в WinHTTP

Службы HTTP Microsoft Windows (WinHTTP) полностью поддерживают использование протокола проверки подлинности Microsoft Passport на стороне клиента. В этом разделе приводятся общие сведения о транзакциях, участвующих в проверке подлинности Passport, и о том, как их обрабатывать.

В WinHTTP 5.1 проверка подлинности Passport отключена по умолчанию.

Passport 1.4

Passport — это основной компонент служб стандартных блоков Microsoft .NET. Это позволяет компаниям разрабатывать и предлагать распределенные веб-службы в широком спектре приложений, а также позволяет ее участникам использовать одно имя и пароль для входа на всех веб-сайтах-участниках.

WinHTTP обеспечивает поддержку платформы для Microsoft Passport 1.4 путем реализации клиентского протокола для проверки подлинности Passport 1.4. Он освобождает приложения от сведений о взаимодействии с инфраструктурой Passport и сохраненными именами пользователей и паролями в Windows XP. Эта абстракция делает использование Passport ничем не отличается от точки зрения разработчика, чем использование традиционных схем проверки подлинности, таких как Basic или Digest.

Windows XP: Раздел реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Passport\NumRegistrationRuns определяет количество отображений мастера проверки подлинности passport при необходимости проверки подлинности PassPort. Если для этого ключа задано число больше 5, мастер не отображается.

В следующих разделах описаны транзакции, связанные с проверкой подлинности Passport с точки зрения клиентского приложения. Сведения о разработке Passport на стороне сервера см. в документации по пакету SDK для Passport.

  • Первоначальный запрос
  • Passport Login Server
  • Запрос, прошедший проверку подлинности

Первоначальный запрос

Когда клиент запрашивает ресурс на сервере, который требует проверки подлинности Passport, сервер проверяет запрос на наличие билетов. Если с запросом отправляется действительный билет , сервер отвечает запрошенным ресурсом. Если запрос не существует на клиенте, сервер отвечает кодом состояния 302. Ответ содержит заголовок запроса «WWW-Authenticate: Passport1.4». Клиенты, которые не используют Passport, могут перейти на сервер входа Passport. Более сложные клиенты обычно обращаются к Passport nexus, чтобы определить расположение сервера входа Passport.

Центральное место в сети Microsoft Passport занимает Passport Nexus, который упрощает синхронизацию сайтов участников Passport, чтобы гарантировать, что каждый сайт имеет последние сведения о конфигурации сети и других проблемах. Каждый компонент Passport (Passport Manager, серверы входа, серверы обновления и т. д.) периодически взаимодействует с Nexus для получения сведений, необходимых для поиска и правильного взаимодействия с другими компонентами в сети Passport. Эти сведения извлекаются в виде XML-документа, называемого документом конфигурации компонента или CCD.

На следующем рисунке показан первоначальный запрос к филиалу Passport.

На изображении показан первоначальный запрос к филиалу по паспорту.

Passport Login Server

Сервер входа Passport обрабатывает все запросы на билеты для любого ресурса в доменном органе Passport. Перед проверкой подлинности запроса с помощью Passport клиентское приложение должно связаться с сервером входа, чтобы получить соответствующие билеты.

Когда клиент запрашивает билеты с сервера входа Passport, сервер входа обычно отвечает кодом состояния 401, указывающим, что необходимо предоставить учетные данные пользователя. При указании этих учетных данных сервер входа отвечает запросами , необходимыми для доступа к указанному ресурсу на сервере, который содержит первоначально запрошенный ресурс. Сервер входа также может перенаправлять клиент на другой сервер, который может предоставить запрошенный ресурс.

На изображении показан запрос клиентского билета на сервер входа в паспорт.

Запрос, прошедший проверку подлинности

Если у клиента есть билеты , соответствующие данному серверу, эти билеты включаются во все запросы к серверу. Если билеты не были изменены с момента их получения с сервера входа Passport и билеты действительны для сервера ресурсов, сервер ресурсов отправляет ответ, содержащий запрошенный ресурс и файлы cookie, указывающие, что пользователь прошел проверку подлинности для будущих запросов.

Дополнительные файлы cookie в ответе предназначены для ускорения процесса проверки подлинности. Дополнительные запросы в том же сеансе для ресурсов на серверах в том же центре домена Passport включают эти дополнительные файлы cookie. Учетные данные не нужно отправлять на сервер входа до истечения срока действия файлов cookie.

Изображение: запрос, прошедший проверку подлинности, к серверу входа в passport.

Использование Passport в WinHTTP

Проверка подлинности passport в WinHTTP очень похожа на другие схемы проверки подлинности. Общие сведения о проверке подлинности в WinHTTP см. в статье Проверка подлинности в WinHTTP .

В WinHTTP 5.1 проверка подлинности Passport отключена по умолчанию и должна быть явно включена с помощью WinHttpSetOption перед использованием.

WinHTTP обрабатывает многие сведения о транзакциях внутри системы проверки подлинности Passport. Во время первоначального запроса сервер отвечает кодом состояния 302, когда требуется проверка подлинности. Код состояния 302 фактически указывает на перенаправление и является частью протокола Passport для обеспечения обратной совместимости. WinHTTP скрывает код состояния 302 и обращается к Passport nexus, а затем к серверу входа. Приложение WinHTTP получает уведомление о коде состояния 401, отправляемом сервером входа для запроса учетных данных пользователя. Для приложения, однако, кажется, что состояние 401 исходит от сервера, с которого был запрошен ресурс. Таким образом, приложение WinHTTP не знает о взаимодействии с другими серверами и может обрабатывать проверку подлинности Passport с помощью того же кода, который обрабатывает другие схемы проверки подлинности.

Как правило, приложение WinHTTP отвечает на код состояния 401, предоставляя учетные данные проверки подлинности. Если учетные данные предоставляются с помощью WinHttpSetCredentials или SetCredentials для проверки подлинности по паспорту, учетные данные фактически отправляются на сервер входа, а не на сервер, указанный в запросе.

Однако при ответе на код состояния 407 приложение WinHTTP должно использовать WinHttpSetOption для предоставления учетных данных прокси-сервера, а не WinHttpSetCredentials. Так как WinHttpSetOption является менее безопасным способом предоставления учетных данных, его обычно следует избегать.

После получения билеты управляются внутри организации и автоматически отправляются на соответствующие серверы в будущих запросах.

WinHTTP позволяет отключить автоматическое перенаправление, вызвав функцию WinHttpSetOption для флага WINHTTP_OPTION_DISABLE_FEATURE и указав значение WINHTTP_DISABLE_REDIRECTS. Отключение перенаправления не влияет на перенаправление, которое WinHTTP обрабатывает внутренне для транзакций Passport.

WinHTTP может успешно завершить проверку подлинности Passport, даже если приложение отключает автоматическое перенаправление. Однако после завершения проверки подлинности Passport необходимо выполнить неявное перенаправление с URL-адреса сервера входа Passport обратно в исходный URL-адрес. Это перенаправление не активируется HTTP-ответом 302, но неявно в протоколе Passport.

WinHTTP специально обрабатывает это неявное перенаправление. Если приложение отключило автоматическое перенаправление, WinHTTP требует, чтобы приложение предоставило WinHTTP «разрешение» на автоматическое перенаправление в этом особом случае.

Чтобы после проверки подлинности WinHTTP перенаправлялся на исходный URL-адрес, приложение должно зарегистрировать функцию обратного вызова с помощью WinHttpSetStatusCallback. После этого WinHTTP может уведомить приложение с помощью обратного вызова WINHTTP_CALLBACK_STATUS_REDIRECT, что позволяет приложению отменить перенаправление. Приложению не требуется предоставлять какие-либо функции в функции обратного вызова; регистрации обратного вызова достаточно, чтобы разрешить WinHTTP следовать этому специальному перенаправлению.

Сообщение ERROR_WINHTTP_LOGIN_FAILURE создается, если функция обратного вызова не задана приложением.

Passport Cobranding

В отличие от традиционных схем проверки подлинности, поддерживаемых WinHTTP, Passport может быть широко скомбрандирован. Получив код состояния 401, указывающий на задачу, приложение может получить изображение и текст для кобрендинга . Получите URL-адрес для графического кобрендинга , вызвав WinHttpQueryOption с флагом WINHTTP_OPTION_PASSPORT_COBRANDING_URL. Получите текст кобрендинга , вызвав WinHttpQueryOption с флагом WINHTTP_OPTION_PASSPORT_COBRANDING_TEXT. Эти элементы можно использовать для настройки диалогового окна сбора учетных данных.

Сохранение имен пользователей и паролей

В Windows XP представлена концепция сохраненных имен пользователей и паролей. Если учетные данные passport пользователя сохраняются с помощью мастера регистрации паспортов или стандартного диалогового окна учетных данных, они сохраняются в сохраненных именах пользователей и паролях. При использовании WinHTTP в Windows XP или более поздних версиях WinHTTP автоматически использует учетные данные из хранимых имен пользователей и паролей, если учетные данные не заданы явным образом. Это похоже на поддержку учетных данных входа по умолчанию для NTLM/Kerberos. Однако использование учетных данных Passport по умолчанию не зависит от параметров политики автоматического входа.

Отключение проверки подлинности по паспорту

Некоторым приложениям может потребоваться возможность отключения проверки подлинности Passport. Например, когда партнер Passport отвечает с исходным кодом состояния 302, может быть предпочтительнее следовать указанному перенаправлению и отображать страницу проверки подлинности HTML Passport, а не разрешать WinHTTP обрабатывать проверку подлинности внутри организации. Проверка подлинности по паспорту отключена в WinHTTP путем вызова функции WinHttpSetOption с параметром WINHTTP_OPTION_CONFIGURE_PASSPORT_AUTH и передачи значения WINHTTP_DISABLE_PASSPORT_AUTH. Позже его можно будет повторно включить с помощью WINHTTP_ENABLE_PASSPORT_AUTH.

Проверку подлинности по паспорту нельзя отключить при использовании объекта WinHttpRequest .

Как отмечалось ранее в этом разделе, проверка подлинности Passport отключена по умолчанию в WinHTTP 5.1 и должна быть явно включена с помощью WinHttpSetOption перед использованием.

Переопределения конфигурации Passport, используемые для тестирования

WinHTTP использует сведения о конфигурации, загружаемые с сервера Passport Nexus, для поддержки проверки подлинности Passport 1.4. По умолчанию этот безопасный (SSL- сервер) nexus.passport.com, а ресурс конфигурации — rdr/pprdr.asp, который называется «динамической» конфигурацией passport. Формат сведений — это пользовательский заголовок HTTP PassportURLs, за которым следуют пары атрибут-значение с разделителями-запятыми.

Например, «https://nexus.passport.com/rdr/pprdr.asp» возвращает следующие сведения о конфигурации:

PassportURLs: DARealm=Passport.net, DALogin=login.passport.com/login2.asp, DAReg=https://register.passport.com/defaultwiz.asp, Properties=https://memberservices.passport.com/ppsecure/MSRV_EditProfile.asp, Privacy=https://www.passport.com/consumer/privacypolicy.asp, GeneralRedir=https://nexusrdr.passport.com/redir.asp, Help=https://memberservices.passport.com/UI/MSRV_UI_Help.asp, ConfigVersion=2 \r\n

Для WinHTTP относятся следующие части: DARealm, DALogin и ConfigVersion. По соображениям производительности они кэшируются в течение всего времени существования сеанса WinHTTP. Эти три значения могут быть переопределены приложениями, которые необходимы для работы с другой инфраструктурой паспортов, отличной от «активной» рабочей среды, изменив соответствующие параметры реестра в разделе

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Internet Settings WinHttp Passport Test 
LoginServerRealm (REG_SZ) For example: abc.net LoginServerUrl (REG_SZ) For example: https://private-login.passport.com/login2.asp ConfigVersion (REG_DWORD) For example: 10

Если LoginServerUrl присутствует в реестре, WinHTTP не обращается к серверу nexus для получения других значений конфигурации. В этом случае значения LoginServerRealm и ConfigVersion также должны быть заданы в реестре для исправления значений.

Для тестирования может потребоваться приложение для скачивания конфигурации passport с сервера private nexus. Это можно сделать, переопределив два значения реестра в разделе

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Internet Settings WinHttp Passport Test 
NexusHost (REG_SZ) e.g. private-nexus.passport.com NexusObj(REG_SZ) e.g. config/passport.asp

Что это за служба и почему ее необходимо использовать?

В ходе постоянного усовершенствования приложений Office при использовании различных версий продукта может потребоваться изменение формата файлов для обеспечения непрерывной работы с ними.

При выборе варианта «Разрешить» файлы отправляются через Интернет в службу безопасности для обработки и повторной отправки на ваше устройство. За счет этого обеспечивается выполнение следующих действий.

  • Открытие файлов старого формата (например, PPT-файлы или XLS-файлы) в новых версиях Office
  • Print Excel, Word и PowerPoint
  • Открытие поврежденных файлов

Содержимое файла никогда не подвергнется риску нарушения конфиденциальности или потери данных. И мы не храним содержимое на серверах. Для получения дополнительных сведений см. заявление о конфиденциальности.

Что произойдет, если я выберу вариант «Не разрешать»?

Альтернативный способ выполнения действий этой службы отсутствует, поэтому при необходимости работы с файлом следует выбрать вариант «Разрешить».

Сколько времени потребуется на обработку при выборе варианта «Разрешить»?

Обработка выполняется мгновенно. Вы даже не заметите, как служба выполняет свою работу.

Следует ли выбирать вариант «Разрешить» каждый раз при открытии файла?

При выборе варианта «Разрешить» сообщение повторно не отображается по упомянутым выше причинам. Тем не менее вы всегда можете отключить службу.

Как отключить службу?

Чтобы отключить службу, проведите пальцем слева направо для отображения меню и отключите этот параметр.

Похожие публикации:
  1. Flashget что это за программа
  2. Где в самсунге калькулятор найти
  3. Как записать информацию в файл linux
  4. Как проверить arduino nano на работоспособность

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *