Numéro d'article: 821724 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 5.10

CORRECTIF : Informations d'identification peuvent être envoyées via une connexion HTTP externe lorsque SSL est requise

Affichage côte à côteCliquez ici si vous souhaitez afficher en côte à côte l?article anglais et sa traduction automatique en français
Traduction automatiqueATTENTION : Cet article est issu du système de traduction automatique
Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.
important Cet article explique comment modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que que vous savez comment restaurer le Registre en cas de problème. Pour plus d'informations sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
256986  (http://support.microsoft.com/kb/256986/ ) Description du Registre Microsoft Windows
Agrandir tout | Réduire tout

Symptômes

Dans un scénario de publication Web où l'authentification de base est activée sur le port d'écoute des demandes Web entrantes, les informations d'identification peuvent être envoyées via une connexion HTTP externe bien que la règle de publication Web qui traite la demande est configurée pour SSL requis . Ce problème peut créer un problème de sécurité parce que les informations d'identification sont codées en Base64. Si les informations d'identification sont envoyées via une connexion HTTP, ils peuvent lire le texte en clair et décodés.

Ce problème peut se produire si toutes les conditions suivantes :
  • L'authentification de base est configurée sur le port d'écoute des demandes Web entrantes.
  • La règle de publication Web est configurée pour SSL requis parce que vous voulez autoriser uniquement le trafic HTTPS sur cette règle.
  • La règle de publication Web est configurée pour l'authentification utilisateur.
  • La demande client initiale est envoyée en utilisant HTTP et le format http://server.domain.tld.
Pour plus d'informations sur la façon de configurer ces paramètres, consultez la section «Plus d'informations» de cet article.

Remarque RFC 2617 exige que les clients HTTP sélectionner le modèle d'authentification le plus puissant dans toutes les options sont fournies par un serveur ou un proxy. Par exemple, Microsoft Internet Explorer est conforme à cette exigence. Parce que cette condition ne peut pas être garantie par les autres navigateurs, vous pouvez constater que l'authentification de base est activée, même lorsque les schémas d'authentification plus forts sont proposées.

Remarque Un commun exemple de ce problème peut se produire est si les utilisateurs externes demandent http://www.owaserver.com/exchange au lieu de https://www.owaserver.com/exchange.

Ce problème ne se produit pas dans les situations suivantes :
  • Vous n'avez pas configuré l'authentification de base sur le port d'écoute des demandes Web entrantes.
  • Vous avez plusieurs méthodes d'authentification activées sur le port d'écoute des demandes Web entrantes et le client s'authentifie en utilisant l'authentification NTLM ou Digest sur l'ordinateur qui exécute Internet Security and Acceleration (ISA) Server. Bien que l'authentification est également envoyée via HTTP, ce problème ne se produit car l'authentification NTLM et Digest ne peut être décryptée facilement.
Retour au début

Cause

Lorsqu'une demande entrante est envoyée à un ordinateur qui exécute ISA Server et l'authentification doit se trouver sur la règle qui traite la demande de publication Web, ISA Server renvoie tout d'abord une réponse «401 non autorisé» pour utiliser la négociation d'authentification avec le client. Cette réponse se produit indépendamment du protocole (HTTP ou HTTPS) que le client utilise. Après authentification réussie, ISA Server vérifie les propriétés de la règle de publication Web appropriée. Si la règle est configurée pour SSL requis , la demande est refusée par un «403 «(12211) réponse. Le problème de sécurité peut se produire à ce stade parce que les informations d'identification base ait déjà été envoyées en utilisant HTTP avant que la réponse «403» ne soit envoyé.
Retour au début

Résolution

Pour résoudre ce problème, appliquez la mise à jour de sécurité MS05-034. Pour télécharger cette mise à jour de sécurité, site Web Microsoft suivant :
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx (http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx)
Avertissement Problèmes sérieuses peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifier le Registre à vos risques et périls.

Permet de contrôler si ISA Server demandes d'authentification pour entrant non sécurisé HTTP Web demande à jour de cette sécurité. Si vous effectuez souhaitez ISA Server demande authentification sur les connexions non sécurisées, ajoutez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Par défaut, ISA Server ne demandent pas authentification de base sur les connexions sécurisées sous lorsque vous appliquez cette mise à jour. Si vous effectuez voulez ce comportement se produit, supprimez cette clé de Registre ou définir la valeur de la clé de Registre à 0.

Si vous installez cette mise à jour de sécurité, ISA Server envoie immédiatement une réponse au client au lieu d'une réponse "401" «403» lorsque les conditions suivantes sont remplies :
  • La clé de Registre est absente ou définie à 0.
  • La demande est envoyée sur HTTP.
  • L'authentification de base est configurée sur le port d'écoute des demandes Web entrantes.
Remarque Si vous installez cette mise à jour de sécurité, l'authentification de base ne peut pas être utilisée pour non sécurisé demandes Web entrantes, même si les autres règles de publication Web sont configurés pour utiliser l'authentification de base. Étant donné que l'authentification de base sur HTTP n'est pas une méthode d'authentification sécurisé, nous vous déconseillons utiliser l'authentification de base dans Web HTTP scénarios de publication.
Retour au début

Plus d'informations

Pour configurer l'authentification de base sur le port d'écoute des demandes Web entrantes, procédez comme suit :
  1. Dans ISA Server Microsoft Management Console (MMC), cliquez avec le bouton droit sur le serveur ou groupe, puis cliquez sur Propriétés .
  2. Cliquez sur les Requêtes Web entrantes onglet, puis cliquez sur l'authentification de base .
Pour configurer SSL requis sur la règle de publication Web, procédez comme suit :
  1. Dans la MMC de serveur ISA, développez publication , puis développez Règles de publication Web .
  2. Cliquez avec le bouton droit sur la règle que vous souhaitez configurer, puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet pontage , puis activez la case à cocher Exiger SSL .
Pour configurer la règle de publication Web pour l'authentification utilisateur, procédez comme suit :
  1. Dans la MMC de serveur ISA, développez publication , puis développez Règles de publication Web .
  2. Cliquez avec le bouton droit sur la règle que vous souhaitez configurer, puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet s'applique à , puis sélectionnez les utilisateurs sont autorisés à accéder les règles de publication Web.
Retour au début

Statut

Microsoft a confirmé le que de ce problème dans les produits Microsoft répertoriés dans la section «S'applique à».
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Retour au début
Mots-clés : 
kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtfr
Retour au début
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 821724  (http://support.microsoft.com/kb/821724/en-us/ )
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.