FIX: Dasar kredensial dapat dikirim melalui HTTP sambungan eksternal ketika SSL diperlukan

Di Web penerbitan skenario di mana otentikasi dasar diaktifkan pada pendengar masuk permintaan Web, dasar kredensial dapat dikirim melalui HTTP sambungan eksternal meskipun aturan penerbitan Web yang memproses permintaan dikonfigurasi untuk SSL yang diperlukan. Masalah ini dapat membuat masalah keamanan karena dasar kredensial dikodekan Base64. Jika kredensial dasar dikirim melalui koneksi HTTP, mereka dapat membaca teks sebagai jelas dan diterjemahkan.

Masalah ini bisa terjadi jika semua kondisi berikut ini benar:

• Otentikasi dasar dikonfigurasi pada permintaan Web masuk pendengar.
• Aturan penerbitan Web dikonfigurasi untuk SSL yang diperlukan karena Anda ingin mengizinkan hanya HTTPS lalu lintas pada peraturan ini.
• Aturan penerbitan Web dikonfigurasi untuk otentikasi pengguna.
• Permintaan klien awal dikirim dengan menggunakan HTTP dan http://server.domain.tld format.

Untuk informasi lebih lanjut tentang bagaimana mengkonfigurasi pengaturan ini, lihat bagian "Informasi selengkapnya" dari artikel ini.

Catatan RFC 2617 memerlukan klien HTTP untuk memilih skema otentikasi yang paling kuat dari semua pilihan yang disediakan oleh server atau proxy. Sebagai contoh, Microsoft Internet Explorer memenuhi persyaratan ini. Karena persyaratan ini tidak dapat dijamin oleh browser lain, Anda mungkin menemukan bahwa otentikasi dasar dipilih, bahkan ketika skema otentikasi kuat yang ditawarkan.

Catatan Satu umum adalah contoh ketika masalah ini dapat terjadi jika pengguna eksternal meminta http://www.owaserver.com/exchange bukannya https://www.owaserver.com/exchange.

Masalah ini tidak terjadi pada situasi berikut:

• Anda tidak mengkonfigurasi otentikasi dasar pada permintaan Web masuk pendengar.
• Anda memiliki beberapa metode otentikasi diaktifkan pada permintaan Web masuk pendengar, dan klien mengotentikasi dengan menggunakan otentikasi NTLM atau Digest pada komputer yang sedang menjalankan Internet Security and Acceleration (ISA) Server. Meskipun otentikasi juga dikirim melalui HTTP, masalah ini terjadi karena NTLM dan Digest otentikasi tidak dapat didekripsi dengan mudah.

Ketika permintaan masuk dikirim ke komputer yang menjalankan ISA Server dan otentikasi harus terjadi pada aturan yang memproses permintaan penerbitan Web, ISA Server pertama kembali respon "401 tidak" untuk menggunakan otentikasi jabat tangan dengan klien. Respon ini terjadi independen dari protokol (HTTP atau HTTPS) yang menggunakan klien. Setelah sukses otentikasi terjadi, ISA Server akan memeriksa sifat-sifat sesuai aturan penerbitan Web. Jika aturan dikonfigurasi untuk SSL yang diperlukan, permintaan ditolak dengan "403" (12211) respon. Masalah keamanan dapat terjadi pada titik ini karena kredensial dasar mungkin sudah telah dikirim dengan menggunakan HTTP sebelum respon "403" dikirim.

Untuk mengatasi masalah ini, menerapkan pembaruan keamanan MS05-034. Untuk men-download pembaruan keamanan ini, kunjungi Web site Microsoft berikut:Warning Masalah serius mungkin muncul jika Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau Suntingan Registri atau metode lainnya. Masalah ini mungkin mengharuskan Anda untuk memasang ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diatasi. Ubah registri atas risiko Anda sendiri.

Pembaruan keamanan ini memungkinkan Anda mengontrol apakah ISA Server permintaan otentikasi dasar tidak aman masuk permintaan HTTP Web. Jika Anda melakukan ingin ISA Server untuk meminta otentikasi dasar pada sambungan yang tidak aman, tambahkan kunci registri berikut:Secara default, ISA Server akan tidak meminta otentikasi dasar pada on mengamankan koneksi ketika Anda menerapkan pembaruan ini. Jika Anda melakukan ingin perilaku ini terjadi, baik menghapus kunci registri ini, atau menetapkan nilai kunci registri ke 0.

Jika Anda menginstal pembaruan keamanan ini, ISA Server segera mengirim respons "403" untuk klien bukannya tanggapan "401" ketika kondisi berikut ini benar:

• Kunci registri hilang atau ditetapkan ke 0.
• Permintaan dikirim melalui HTTP.
• Otentikasi dasar dikonfigurasi pada permintaan Web masuk pendengar.

Catatan Jika Anda menginstal pembaruan keamanan ini, otentikasi dasar tidak bisa digunakan untuk tidak aman Web permintaan masuk, bahkan jika aturan penerbitan Web lain dikonfigurasi untuk menggunakan otentikasi dasar. Karena otentikasi dasar melalui HTTP tidak aman metode, kami tidak menganjurkan bahwa Anda menggunakan otentikasi dasar dalam berbasis HTTP Web penerbitan skenario.

Untuk mengkonfigurasi otentikasi dasar pada pendengar masuk permintaan Web, ikuti langkah berikut:

1. Di ISA Server konsol manajemen Microsoft (MMC), klik-kanan server atau array, dan kemudian klik Properti.
2. Klik Permintaan Web masuk tab, dan kemudian klik Otentikasi dasar.

Untuk mengkonfigurasiSSL yang diperlukan pada aturan penerbitan Web, ikuti langkah berikut:

1. Di ISA Server MMC, memperluas Menerbitkan, dan kemudian memperluas Aturan penerbitan web.
2. Klik kanan aturan yang Anda ingin mengkonfigurasi, dan kemudian klik Properti.
3. Klik Menjembatani tab, dan kemudian klik untuk memilih Memerlukan SSL kotak centang.

Untuk mengkonfigurasi aturan penerbitan Web untuk otentikasi pengguna, ikuti langkah berikut:

1. Di ISA Server MMC, memperluas Menerbitkan, dan kemudian memperluas Aturan penerbitan web.
2. Klik kanan aturan yang Anda ingin mengkonfigurasi, dan kemudian klik Properti.
3. Klik Berlaku untuk tab, dan kemudian pilih pengguna yang diizinkan untuk mengakses Web penerbitan aturan.

Microsoft telah mengkonfirmasi bahwa ini adalah masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".