FIX: Le credenziali di base possono essere inviate tramite una connessione HTTP esterna quando Ŕ necessario SSL

Traduzione articoli Traduzione articoli
Identificativo articolo: 821724 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
256986Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

Sintomi

In uno scenario pubblicazione Web in cui il listener Incoming Web Requests Ŕ attivata l'autenticazione di base, le credenziali di base possono essere inviate tramite una connessione HTTP esterna anche se la regola di pubblicazione Web che elabora la richiesta Ŕ configurata per SSL necessario . Questo problema Ŕ possibile creare un problema di protezione perchÚ le credenziali di base sono con codifica Base64. Se le credenziali di base vengono inviate attraverso una connessione HTTP, pu˛ essere letto come testo non crittografato e decodificati.

Questo problema pu˛ verificarsi se sono vere tutte le condizioni seguenti:
  • L'autenticazione di base Ŕ possibile configurare il listener Incoming Web Requests.
  • La regola di pubblicazione Web viene configurata per la richiesta SSL , in quanto si desidera consentire solo il traffico HTTPS a tale regola.
  • La regola di pubblicazione Web Ŕ configurata per l'autenticazione utente.
  • La richiesta del client iniziale viene inviata utilizzando HTTP e il formato http://server.domain.tld.
Per ulteriori informazioni su come configurare queste impostazioni, vedere la sezione "Informazioni" di questo articolo.

Nota RFC 2617 richiede client di HTTP selezionare uno schema di autenticazione pi¨ dettagliato da tutte le opzioni fornite da un server o proxy. Ad esempio Microsoft Internet Explorer Ŕ conforme questo requisito. Quanto questo requisito non pu˛ essere garantito da altri browser, Ŕ probabile che l'autenticazione di base Ŕ selezionata, anche quando sono disponibili schemi di autenticazione pi¨ avanzati.

Nota Un comune esempio di quando questo problema pu˛ verificarsi Ŕ se gli utenti esterni richiedono http://www.owaserver.com/exchange anzichÚ https://www.owaserver.com/exchange.

Questo problema non si verifica nelle seguenti situazioni:
  • Non Ŕ stato configurato l'autenticazione di base sul listener Incoming Web Requests.
  • Si dispone di pi¨ metodi di autenticazione attivati il listener Incoming Web Requests e il client autentica utilizzando l'autenticazione NTLM o digest il computer che esegue Internet Security and Acceleration (ISA) Server. Sebbene l'autenticazione viene inviato anche su HTTP, il problema non si verifica perchÚ l'autenticazione NTLM e digest non pu˛ essere facilmente decrittografato.

Cause

Quando viene inviata una richiesta in ingresso a un computer che esegue ISA Server e sul Web regola che elabora la richiesta di pubblicazione Ŕ necessario eseguire l'autenticazione, in ISA Server viene prima restituita una risposta "401 Unauthorized" utilizzare handshake di autenticazione con il client. Questa risposta si verifica indipendente dal protocollo (HTTP o HTTPS) utilizzato dal client di. Quando si verifica l'autenticazione ha avuto esito positivo, ISA Server controlla le proprietÓ della regola di pubblicazione Web appropriata. Se la regola Ŕ configurata per la richiesta SSL , la richiesta viene rifiutata con un "403" (12211) risposta. Il problema di protezione pu˛ verificarsi a questo punto, perchÚ le credenziali di base potrebbe essere giÓ state ricevute tramite HTTP, prima di inviata la risposta "403".

Risoluzione

Per risolvere il problema, applicare aggiornamento della protezione MS05-034. Per scaricare questo aggiornamento per la protezione, il seguente sito Microsoft Web:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
avviso Pu˛ causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Aggiornamento per la protezione consente di controllare se l'ISA Server le richieste di autenticazione di base per non protetto in ingresso HTTP richieste Web. Se si desidera che ISA Server autenticazione di base richiesta per le connessioni non protette, aggiungere la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Per impostazione predefinita, ISA Server non richiede l'autenticazione di base su connessioni sulla protezione quando si applica questo aggiornamento. Se si desidera che questo comportamento si verifichi, eliminare questa chiave del Registro di sistema oppure impostare il valore della chiave del Registro di sistema su 0.

Se si installa questo aggiornamento per la protezione, ISA Server invia immediatamente una risposta "403" client invece di una risposta "401" quando le seguenti condizioni sono vere:
  • La chiave del Registro di sistema Ŕ sia mancante o impostato su 0.
  • La richiesta viene inviata su HTTP.
  • L'autenticazione di base Ŕ possibile configurare il listener Incoming Web Requests.
Nota Se si installa questo aggiornamento per la protezione, l'autenticazione di base non pu˛ essere utilizzato per non protetto richieste Web in ingresso, anche se altre regole di pubblicazione Web sono configurate per l'utilizzo dell'autenticazione di base. PoichÚ l'autenticazione di base su HTTP non Ŕ un metodo di autenticazione protetta, non Ŕ consigliabile utilizzare l'autenticazione di base in Web basati su HTTP scenari di pubblicazione.

Informazioni

Per configurare l'autenticazione di base sul listener Incoming Web Requests, attenersi alla seguente procedura:
  1. Nella finestra di ISA Server (MMC), fare clic con il pulsante destro del mouse sul server o della matrice e scegliere ProprietÓ .
  2. Fare clic sul Incoming Web Requests scheda e quindi scegliere l'autenticazione di base .
Per configurare SSL richiesto la regola di pubblicazione Web, attenersi alla seguente procedura:
  1. Nella MMC di ISA Server, espandere Publishing e quindi espandere Web Publishing Rules .
  2. Fare clic con il pulsante destro del mouse sulla regola che si desidera configurare e quindi fare clic su ProprietÓ .
  3. Fare clic sulla scheda bridging e quindi fare clic su per selezionare la casella di controllo Richiedi SSL .
Per configurare la regola di pubblicazione Web per l'autenticazione utente, attenersi alla seguente procedura:
  1. Nella MMC di ISA Server, espandere Publishing e quindi espandere Web Publishing Rules .
  2. Fare clic con il pulsante destro del mouse sulla regola che si desidera configurare e quindi fare clic su ProprietÓ .
  3. Fare clic sulla scheda si applica a e quindi selezionare gli utenti che sono autorizzati ad accedere le regole di pubblicazione Web.

Status

Microsoft ha confermato che questo problema riguarda i prodotti sono elencati nella sezione "Si applica a".

ProprietÓ

Identificativo articolo: 821724 - Ultima modifica: giovedý 27 febbraio 2014 - Revisione: 5.10
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Chiavi:á
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 821724
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com