在 Windows 11 22H2 版本中,微软进行了一些更改以增强安全性,其中之一就是对打印相关操作通信的更改。使 RPC over TCP 成为客户端 - 服务器通信的默认设置。他们在官方文章中提到,RPC over Named Pipes 仍然可用,但不推荐使用。
为什么 RPC over TCP 是新标准?是什么让它比 RPC over Named Pipes 更安全?
答案1
命名管道通过文件共享协议 SMB 承载,因此与 SMB 访问(以及通过 SMB 命名管道承载的所有其他 RPC 服务)共享身份验证设置,而直接 TCP 连接使用其自己的 RPC 级身份验证。
如果我理解正确的话,这允许 RPC 客户端软件更直接地控制身份验证过程,而使用命名管道时,它别无选择,只能让 SMB 客户端软件来处理它。虽然在正确设置的 Active Directory 域网络上(整个安全问题不适用于工作组网络),两种方法都使用 Kerberos,但有一个区别是,在直接连接的情况下,RPC 客户端可以明确选择退出“不受约束的委派”——最近,主要的问题。