Oprava: Základní pověření mohou být odeslány přes externí připojení HTTP SSL je požadováno

Překlady článku Překlady článku
ID článku: 821724 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem obnovení registru v případě, že nastane problém. Další informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Ve scénáři webového publikování kde je na naslouchání příchozí webové požadavky povoleno základní ověřování může být i když pravidlo publikování webu, který zpracovává požadavek je nakonfigurován pro SSL požadováno přes externí připojení HTTP odeslána základní pověření. Tento problém může vytvořit problém zabezpečení, protože základní pověření jsou Base64. Pokud jsou základní pověření odeslána pomocí připojení HTTP, tyto mohou být číst jako prostý text a dekódovat.

K tomuto problému může dojít, jsou-li splněny všechny následující podmínky:
  • Základní ověřování je konfigurována na naslouchání příchozí webové požadavky.
  • Pravidlo publikování na webu je nakonfigurován pro Požadováno SSL, protože chcete povolují pouze přenos HTTPS na tomto pravidle.
  • Pravidlo pro publikování na webu je nakonfigurován pro ověření uživatele.
  • Počáteční klient požadavek je odeslán pomocí HTTP a formátu http://server.domain.tld.
Další informace o konfiguraci těchto nastavení naleznete "Další informace" v tomto článku.

Poznámka: RFC 2617 vyžaduje klienti Nejsilnější schéma ověřování vyberte z možností poskytované server nebo server proxy HTTP. Například aplikace Internet Explorer vyhovuje tento požadavek. Protože tento požadavek nelze zaručit pomocí jiných prohlížečů, pravděpodobně zjistíte, že základní ověřování je vybrána, i když silnější schémata ověřování jsou nabízeny.

Poznámka: Jeden běžné je například k tomuto problému může dojít, pokud externí uživatelé požadovat http://www.owaserver.com/exchange namísto https://www.owaserver.com/exchange.

Tento problém nenastává v následujících situacích:
  • Nakonfigurovali jste není základního ověřování pro příchozí webové požadavky naslouchání.
  • Máte více metod ověřování povoleno naslouchání příchozí webové požadavky a klient ověřuje pomocí ověřování NTLM nebo Digest v počítači se službou Internet Security and Acceleration (ISA) Server. Ačkoli ověřování také odeslána přes protokol HTTP, nedojde tento problém, protože nelze snadno dešifrované ověřování NTLM a Digest.

Příčina

Pokud příchozí požadavek je odeslán do počítače se serverem ISA Server a ověřování se musí objevit na pravidlo zpracuje žádost o publikování na webu, ISA Server nejprve vrátí odpověď "401 Neautorizováno" použití ověřování typu handshake s klientem. Nezávislé protokol (HTTP nebo HTTPS), který klient používá dojde k této odpovědi. Po úspěšné ověřování serveru ISA zkontroluje vlastnosti příslušné pravidlo publikování webu. Pokud pravidlo je nakonfigurován pro požadované SSL, je odepřen požadavek s „ 403"(12211) odpověď. V tomto okamžiku může dojít problém zabezpečení, protože základní pověření může již byly odeslány pomocí HTTP před "403" odpověď je odeslána.

Řešení

Chcete-li tento problém vyřešit, aktualizaci zabezpečení MS05-034. Chcete-li stáhnout tuto aktualizaci zabezpečení naleznete na následujícím webu:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Tato aktualizace zabezpečení umožňuje řídit, zda ISA Server požadavky základního ověřování pro příchozí nezabezpečené HTTP webové požadavky. Pokud proveďte chcete ISA Server požadavek na nezabezpečené připojení základního ověřování, přidejte následující klíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Ve výchozím ISA Server není požadovat základního ověřování ve zabezpečené připojení při použití této aktualizace. Pokud to chcete tomuto chování dochází, odstraňte tento klíč registru nebo nastavte hodnotu klíče registru na 0.

Instalaci této aktualizace zabezpečení serveru ISA okamžitě odešle "403" odpověď klientovi namísto odpověď "401" Pokud jsou splněny následující podmínky:
  • Je klíč registru chybí nebo je nastavena na 0.
  • Požadavek je odeslán přes protokol HTTP.
  • Základní ověřování je konfigurována na naslouchání příchozí webové požadavky.
Poznámka: Pokud instalaci této aktualizace zabezpečení základního ověřování nelze použít pro nezabezpečené příchozí webové požadavky, i když dalších pravidel pro publikování webu jsou konfigurovány na použití základního ověřování. Protože základního ověřování prostřednictvím protokolu HTTP není metoda zabezpečené ověřování, nedoporučujeme v webových HTTP použít základní ověřování publikování scénáře.

Další informace

Konfigurovat základní ověřování na naslouchání příchozí webové požadavky, postupujte takto:
  1. V ISA Server Microsoft Management Console (MMC) klepněte pravým tlačítkem myši na server nebo pole a klepněte na příkaz Vlastnosti.
  2. Klepněte na položku Příchozí webové požadavky kartu a klepněte na Základní ověřování.
Konfigurace SSL požadované pravidlo publikování na webu, postupujte takto:
  1. V ISA Server MMC rozbalte publikování a rozbalte Webového publikování pravidla.
  2. Klepněte pravým tlačítkem na pravidlo, které chcete konfigurovat a potom klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu přemosťování a potom klepnutím zaškrtněte políčko Vyžadovat protokol SSL.
Chcete-li nakonfigurovat pravidla pro publikování webu pro ověření uživatele, postupujte takto:
  1. V ISA Server MMC rozbalte publikování a rozbalte Webového publikování pravidla.
  2. Klepněte pravým tlačítkem na pravidlo, které chcete konfigurovat a potom klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu platí pro a vyberte uživatele, kteří jsou oprávněni přístup pravidel pro publikování webových.

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.

Vlastnosti

ID článku: 821724 - Poslední aktualizace: 28. února 2014 - Revize: 5.10
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Klíčová slova: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:821724

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com