FIX: Dasar kredensial dapat dikirim melalui HTTP sambungan eksternal ketika SSL diperlukan

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 821724 - Melihat produk di mana artikel ini berlaku.
Artikel ini telah diarsipkan. Artikel ditawarkan dalam bentuk "apa adanya" dan tidak akan dapat diperbarui lagi.
Penting Artikel ini berisi informasi tentang cara mengubah registri. Pastikan untuk membuat cadangan registri sebelum Anda memodifikasinya. Pastikan Anda mengetahui cara memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan, memulihkan, dan mengubah registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
256986 Deskripsi registri Microsoft Windows
Perbesar semua | Perkecil semua

GEJALA

Di Web penerbitan skenario di mana otentikasi dasar diaktifkan pada pendengar masuk permintaan Web, dasar kredensial dapat dikirim melalui HTTP sambungan eksternal meskipun aturan penerbitan Web yang memproses permintaan dikonfigurasi untuk SSL yang diperlukan. Masalah ini dapat membuat masalah keamanan karena dasar kredensial dikodekan Base64. Jika kredensial dasar dikirim melalui koneksi HTTP, mereka dapat membaca teks sebagai jelas dan diterjemahkan.

Masalah ini bisa terjadi jika semua kondisi berikut ini benar:
  • Otentikasi dasar dikonfigurasi pada permintaan Web masuk pendengar.
  • Aturan penerbitan Web dikonfigurasi untuk SSL yang diperlukan karena Anda ingin mengizinkan hanya HTTPS lalu lintas pada peraturan ini.
  • Aturan penerbitan Web dikonfigurasi untuk otentikasi pengguna.
  • Permintaan klien awal dikirim dengan menggunakan HTTP dan http://server.domain.tld format.
Untuk informasi lebih lanjut tentang bagaimana mengkonfigurasi pengaturan ini, lihat bagian "Informasi selengkapnya" dari artikel ini.

Catatan RFC 2617 memerlukan klien HTTP untuk memilih skema otentikasi yang paling kuat dari semua pilihan yang disediakan oleh server atau proxy. Sebagai contoh, Microsoft Internet Explorer memenuhi persyaratan ini. Karena persyaratan ini tidak dapat dijamin oleh browser lain, Anda mungkin menemukan bahwa otentikasi dasar dipilih, bahkan ketika skema otentikasi kuat yang ditawarkan.

Catatan Satu umum adalah contoh ketika masalah ini dapat terjadi jika pengguna eksternal meminta http://www.owaserver.com/exchange bukannya https://www.owaserver.com/exchange.

Masalah ini tidak terjadi pada situasi berikut:
  • Anda tidak mengkonfigurasi otentikasi dasar pada permintaan Web masuk pendengar.
  • Anda memiliki beberapa metode otentikasi diaktifkan pada permintaan Web masuk pendengar, dan klien mengotentikasi dengan menggunakan otentikasi NTLM atau Digest pada komputer yang sedang menjalankan Internet Security and Acceleration (ISA) Server. Meskipun otentikasi juga dikirim melalui HTTP, masalah ini terjadi karena NTLM dan Digest otentikasi tidak dapat didekripsi dengan mudah.

PENYEBAB

Ketika permintaan masuk dikirim ke komputer yang menjalankan ISA Server dan otentikasi harus terjadi pada aturan yang memproses permintaan penerbitan Web, ISA Server pertama kembali respon "401 tidak" untuk menggunakan otentikasi jabat tangan dengan klien. Respon ini terjadi independen dari protokol (HTTP atau HTTPS) yang menggunakan klien. Setelah sukses otentikasi terjadi, ISA Server akan memeriksa sifat-sifat sesuai aturan penerbitan Web. Jika aturan dikonfigurasi untuk SSL yang diperlukan, permintaan ditolak dengan "403" (12211) respon. Masalah keamanan dapat terjadi pada titik ini karena kredensial dasar mungkin sudah telah dikirim dengan menggunakan HTTP sebelum respon "403" dikirim.

PEMECAHAN MASALAH

Untuk mengatasi masalah ini, menerapkan pembaruan keamanan MS05-034. Untuk men-download pembaruan keamanan ini, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/technet/Security/Bulletin/MS05-034.mspx
Warning Masalah serius mungkin muncul jika Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau Suntingan Registri atau metode lainnya. Masalah ini mungkin mengharuskan Anda untuk memasang ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diatasi. Ubah registri atas risiko Anda sendiri.

Pembaruan keamanan ini memungkinkan Anda mengontrol apakah ISA Server permintaan otentikasi dasar tidak aman masuk permintaan HTTP Web. Jika Anda melakukan ingin ISA Server untuk meminta otentikasi dasar pada sambungan yang tidak aman, tambahkan kunci registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection: DWORD: 1
Secara default, ISA Server akan tidak meminta otentikasi dasar pada on mengamankan koneksi ketika Anda menerapkan pembaruan ini. Jika Anda melakukan ingin perilaku ini terjadi, baik menghapus kunci registri ini, atau menetapkan nilai kunci registri ke 0.

Jika Anda menginstal pembaruan keamanan ini, ISA Server segera mengirim respons "403" untuk klien bukannya tanggapan "401" ketika kondisi berikut ini benar:
  • Kunci registri hilang atau ditetapkan ke 0.
  • Permintaan dikirim melalui HTTP.
  • Otentikasi dasar dikonfigurasi pada permintaan Web masuk pendengar.
Catatan Jika Anda menginstal pembaruan keamanan ini, otentikasi dasar tidak bisa digunakan untuk tidak aman Web permintaan masuk, bahkan jika aturan penerbitan Web lain dikonfigurasi untuk menggunakan otentikasi dasar. Karena otentikasi dasar melalui HTTP tidak aman metode, kami tidak menganjurkan bahwa Anda menggunakan otentikasi dasar dalam berbasis HTTP Web penerbitan skenario.

INFORMASI LEBIH LANJUT

Untuk mengkonfigurasi otentikasi dasar pada pendengar masuk permintaan Web, ikuti langkah berikut:
  1. Di ISA Server konsol manajemen Microsoft (MMC), klik-kanan server atau array, dan kemudian klik Properti.
  2. Klik Permintaan Web masuk tab, dan kemudian klik Otentikasi dasar.
Untuk mengkonfigurasiSSL yang diperlukan pada aturan penerbitan Web, ikuti langkah berikut:
  1. Di ISA Server MMC, memperluas Menerbitkan, dan kemudian memperluas Aturan penerbitan web.
  2. Klik kanan aturan yang Anda ingin mengkonfigurasi, dan kemudian klik Properti.
  3. Klik Menjembatani tab, dan kemudian klik untuk memilih Memerlukan SSL kotak centang.
Untuk mengkonfigurasi aturan penerbitan Web untuk otentikasi pengguna, ikuti langkah berikut:
  1. Di ISA Server MMC, memperluas Menerbitkan, dan kemudian memperluas Aturan penerbitan web.
  2. Klik kanan aturan yang Anda ingin mengkonfigurasi, dan kemudian klik Properti.
  3. Klik Berlaku untuk tab, dan kemudian pilih pengguna yang diizinkan untuk mengakses Web penerbitan aturan.

STATUS

Microsoft telah mengkonfirmasi bahwa ini adalah masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

Properti

ID Artikel: 821724 - Kajian Terakhir: 27 Februari 2014 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Small Business Server 2003 Premium Edition
Kata kunci: 
kbnosurvey kbarchive kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug kbmt KB821724 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:821724

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com