Update: Einfache Anmeldeinformationen können über eine externe HTTP-Verbindung gesendet werden, wenn SSL erforderlich ist

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 821724 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Sollten Sie die Registrierung sichern, bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986Beschreibung der Microsoft Windows-Registrierung
Alles erweitern | Alles schließen

Problembeschreibung

In einem Web publishing Szenario, in denen Standardauthentifizierung auf eingehende Webanfragen Listener aktiviert ist, möglicherweise grundlegende Anmeldeinformationen über eine externe HTTP-Verbindung gesendet werden, obwohl die Webveröffentlichungsregel, die Verarbeitung der Anforderung für SSL erforderlich konfiguriert ist. Dieses Problem kann ein Sicherheitsproblem erstellen, da grundlegende Anmeldeinformationen Base64-codiert sind. Wenn grundlegende Anmeldeinformationen über eine HTTP-Verbindung gesendet werden, können Sie als Klartext gelesen und decodiert werden.

Dieses Problem kann auftreten, wenn folgende Bedingungen zutreffen:
  • Standardauthentifizierung ist für eingehende Webanfragen Listener konfiguriert.
  • Die Webveröffentlichungsregel ist für den SSL erforderlich konfiguriert werden, da Sie nur HTTPS-Datenverkehr auf dieser Regel gestatten möchten.
  • Die Webveröffentlichungsregel ist für die Benutzerauthentifizierung konfiguriert.
  • Die anfängliche Clientanforderung wird mithilfe von HTTP und das http://server.domain.tld-Format gesendet.
Finden Sie weitere Informationen zum Konfigurieren dieser Einstellungen im Abschnitt "Weitere Informationen" dieses Artikels.

Hinweis: RFC 2617 erfordert HTTP-Clients das strengste Authentifizierungsschema aus den Optionen auswählen, die von einem Server oder Proxy bereitgestellt werden. Microsoft Internet Explorer entspricht z. B. diese Anforderung. Da diese Anforderung nicht von anderen Browsern garantiert werden kann, finden Sie möglicherweise die Standardauthentifizierung ausgewählt wird, selbst wenn stärkere Authentifizierungsschemas angeboten werden.

Hinweis: Eine allgemeine Beispiel wenn dieses Problem auftreten kann ist, wenn externe Benutzer anstelle von https://www.owaserver.com/exchange http://www.owaserver.com/exchange anfordern.

Dieses Problem tritt nicht in den folgenden Situationen:
  • Sie haben nicht zur Authentifizierung auf eingehende Webanfragen Listener konfiguriert.
  • Sie haben mehrere Authentifizierungsmethoden, die auf eingehende Webanfragen Listener aktiviert und der Client authentifiziert, indem mit NTLM oder Digest-Authentifizierung auf dem Computer, auf dem Internet Security and Acceleration (ISA) Server ausgeführt wird. Obwohl die Authentifizierung auch über HTTP gesendet wird, tritt dieses Problem nicht auf, da NTLM und Digestauthentifizierung leicht entschlüsselt werden kann.

Ursache

Wenn eine eingehende Anforderung an einem Computer mit ISA Server gesendet und auf die Webveröffentlichungsregel, die Verarbeitung der Anforderung eine Authentifizierung erfolgen muss wird, gibt ISA Server zuerst eine Antwort "401 Unauthorized" von den Handshake-Authentifizierung mit dem Client zurück. Diese Antwort tritt unabhängig vom Protokoll (HTTP oder HTTPS), das der Client verwendet. Nach erfolgreicher Authentifizierung überprüft ISA Server die Eigenschaften des entsprechenden Webveröffentlichungsregel. Wenn die Regel für die SSL erforderlich konfiguriert ist, wird die Anforderung mit einem "403" (12211) verweigert Antwort. Die Sicherheitsanfälligkeit kann zu diesem Zeitpunkt auftreten, weil die grundlegenden Anmeldeinformationen bereits gesendet wurden möglicherweise mit HTTP, bevor der "403" Antwort gesendet wird.

Lösung

Um dieses Problem zu beheben, installieren Sie Sicherheitsupdate MS05-034. Dieses Sicherheitsupdate herunterzuladen, die folgende Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern. Diese Probleme erfordern möglicherweise eine Ihr Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Dieses Sicherheitsupdate können Sie steuern, ob ISA Server Anforderungen Authentifizierung für eingehende nicht sichere HTTP-Webanforderungen. Wenn Sie Führen Sie ISA Server Anforderung Standardauthentifizierung auf nicht sichere Verbindungen möchten, fügen Sie den folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Standardmäßig fordert ISA Server nicht Standardauthentifizierung auf gesicherte Verbindungen an, wenn Sie dieses Update anwenden. Wenn dieses Verhalten auftreten, Sie führen möchten, löschen Sie diese Registrierungsschlüssel oder setzen Sie den Wert des Registrierungsschlüssels auf 0.

Wenn Sie dieses Sicherheitsupdate installieren, sendet ISA Server sofort "403" Antwort an den Client statt eine Antwort "401", wenn folgenden Bedingungen erfüllt sind:
  • Der Registrierungsschlüssel ist fehlt oder ist festgelegt auf 0.
  • Die Anforderung wird über HTTP gesendet.
  • Standardauthentifizierung ist für eingehende Webanfragen Listener konfiguriert.
Hinweis: Wenn Sie dieses Sicherheitsupdate installieren, kann nicht für eingehende Webanforderungen nicht sichere Authentifizierung verwendet werden, selbst wenn die Standardauthentifizierung verwenden andere Webveröffentlichungsregeln konfiguriert werden. Da Authentifizierung über HTTP nicht mit einer sicheren Authentifizierungsmethode ist, empfohlen nicht, dass Sie die Standardauthentifizierung im HTTP-basierten Web verwenden Szenarien veröffentlichen.

Weitere Informationen

Gehen Sie folgendermaßen vor um Standardauthentifizierung auf eingehende Webanfragen Listener zu konfigurieren:
  1. Klicken Sie in der ISA Server (MMC) mit der rechten Maustaste auf den Server oder Array; es klicken Sie dann auf Eigenschaften .
  2. Klicken Sie auf Eingehende Webanfragen Registerkarte und dann zur Authentifizierung .
Gehen Sie folgendermaßen vor um auf die Webveröffentlichungsregel konfigurieren SSL erforderlich :
  1. In der ISA Server-MMC erweitern Sie Veröffentlichung , und erweitern Sie dann Webveröffentlichungsregeln .
  2. Klicken Sie mit der rechten Maustaste auf die Regel, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften .
  3. Klicken Sie auf die Registerkarte Bridging , und aktivieren Sie dann das Kontrollkästchen SSL erforderlich .
Gehen Sie folgendermaßen vor um die Webveröffentlichungsregel für die Benutzerauthentifizierung zu konfigurieren:
  1. In der ISA Server-MMC erweitern Sie Veröffentlichung , und erweitern Sie dann Webveröffentlichungsregeln .
  2. Klicken Sie mit der rechten Maustaste auf die Regel, die Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften .
  3. Klicken Sie auf die Registerkarte für , und wählen Sie die Benutzer, die die Webveröffentlichungsregeln zugreifen dürfen.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Eigenschaften

Artikel-ID: 821724 - Geändert am: Donnerstag, 27. Februar 2014 - Version: 5.10
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 821724
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com