REVISIÓN: Básicas posible enviar credenciales a través de una conexión HTTP externa cuando se requiere SSL

Seleccione idioma Seleccione idioma
Id. de artículo: 821724 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
importante Este artículo contiene información acerca de cómo modificar el registro. Compruebe que ha hecho una copia de seguridad del Registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

Síntomas

En un escenario de publicación de Web donde autenticación básica está habilitada en la escucha de peticiones Web entrantes, pueden enviarse credenciales básicas a través de una conexión HTTP externa aunque la regla de publicación de Web que procesa la solicitud está configurada para SSL requerido . Este problema puede crear un problema de seguridad porque las credenciales básicas son codificados en Base64. Si se envían credenciales básicas a través de una conexión HTTP, pueden leer como texto sin cifrar y descodificar.

Este problema puede producirse si se cumplen todas las condiciones siguientes:
  • Autenticación básica está configurada en la escucha de peticiones Web entrantes.
  • La regla de publicación en Web está configurada para SSL necesario porque desea permitir sólo tráfico en esta regla.
  • La regla de publicación en Web está configurada para autenticación de usuario.
  • La solicitud de cliente inicial se envía mediante HTTP y el formato http://server.domain.tld.
Para obtener más información acerca de cómo configurar estas opciones, consulte la sección "Más información" de este artículo.

Nota RFC 2617 requiere que los clientes HTTP seleccionar el esquema de autenticación más seguro en todas las opciones proporcionadas por un servidor o proxy. Por ejemplo, Microsoft Internet Explorer cumple este requisito. Porque este requisito no se puede garantizar otros exploradores, es posible que la autenticación básica está activada, incluso cuando se ofrecen los esquemas de autenticación más seguros.

Nota Común de un ejemplo de cuando este problema puede ocurrir es si los usuarios externos solicitan http://www.owaserver.com/exchange en lugar de https://www.owaserver.com/exchange.

Este problema no se produce en las situaciones siguientes:
  • No ha configurado la autenticación básica en la escucha de peticiones Web entrantes.
  • Tiene varios métodos de autenticación habilitados en la escucha de peticiones Web entrantes y el cliente se autentica mediante autenticación NTLM o implícita en el equipo que ejecuta Internet Security and Acceleration (ISA) Server. Aunque la autenticación también se envía a través de HTTP, este problema no se produce porque la autenticación NTLM y implícita no se puede descifrar fácilmente.

Causa

Cuando se envía una solicitud entrante a un equipo que ejecuta ISA Server y debe producirse la autenticación en la regla que procesa la solicitud de publicación de Web, ISA Server devuelve primero una respuesta de "401 no autorizado" para utilizar el protocolo de autenticación con el cliente. Se produce independientemente del protocolo (HTTP o HTTPS) que utiliza el cliente de esta respuesta. Después de producirse la autenticación correcta, ISA Server comprueba las propiedades de la regla de publicación Web correspondiente. Si la regla está configurada para SSL requerido , se deniega la solicitud con "403" (12211) respuesta. El problema de seguridad puede producirse en este momento porque es posible que ya se haya enviado las credenciales básicas mediante HTTP antes de enviar la respuesta "403".

Solución

Para resolver este problema, aplique la actualización de seguridad MS05-034. Para descargar esta actualización de seguridad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Esta actualización de seguridad le permite controlar si solicita el servidor ISA las solicitudes de autenticación básica entrantes no seguras HTTP Web. Si lo desea ISA Server a la autenticación de solicitud básica en conexiones no seguras, agregue la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
De forma predeterminada, ISA Server no solicitará autenticación básica en conexiones seguras on cuando se aplica esta actualización. Si lo desea este comportamiento para que se produzca, elimine esta clave del registro o establecer el valor de la clave del registro a 0.

Si instala esta actualización de seguridad, ISA Server envía inmediatamente una respuesta "403" para el cliente en lugar de una respuesta "401" cuando se cumplen las condiciones siguientes:
  • La clave del registro falta o está establecido en 0.
  • La solicitud se envía a través de HTTP.
  • Autenticación básica está configurada en la escucha de peticiones Web entrantes.
Nota Si instala esta actualización de seguridad, autenticación básica no puede utilizarse para no segura solicitudes Web entrantes, incluso si otras reglas de publicación de Web están configuradas para utilizar la autenticación básica. Puesto que la autenticación básica a través de HTTP no es un método de autenticación segura, no se recomienda que utilice autenticación básica en el Web basado en HTTP escenarios de publicación.

Más información

Para configurar la autenticación básica en la escucha de peticiones Web entrantes, siga estos pasos:
  1. En el ISA Server Microsoft Management Console (MMC), haga clic con el botón secundario en el servidor o matriz y haga clic en Propiedades .
  2. Haga clic en las Peticiones Web entrantes y, a continuación, haga clic en autenticación básica .
Para configurar SSL necesario en la regla de publicación en Web, siga estos pasos:
  1. En ISA Server MMC, expanda publicación y, a continuación, expanda Reglas de publicación de Web .
  2. Haga clic con el botón secundario en la regla que desea configurar y, a continuación, haga clic en Propiedades .
  3. Haga clic en la ficha enlazar y, a continuación, haga clic en casilla de verificación Requerir SSL .
Para configurar la regla de publicación de Web de autenticación de usuario, siga estos pasos:
  1. En ISA Server MMC, expanda publicación y, a continuación, expanda Reglas de publicación de Web .
  2. Haga clic con el botón secundario en la regla que desea configurar y, a continuación, haga clic en Propiedades .
  3. Haga clic en la ficha se aplica a y, a continuación, seleccione los usuarios que tienen permiso para tener acceso a las reglas de publicación Web.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Propiedades

Id. de artículo: 821724 - Última revisión: jueves, 27 de febrero de 2014 - Versión: 5.10
La información de este artículo se refiere a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 821724

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com