[FIX] SSL が要求されているときに外部 HTTP 接続経由で基本資格情報が送信される

文書翻訳 文書翻訳
文書番号: 821724 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、システムの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

現象

着信方向の Web 要求リスナに対して基本認証を有効にしている Web 公開の環境で、その要求を処理する Web 公開ルールが [SSL 要求] に構成されていても、基本資格情報が外部 HTTP 接続経由で送信されることがあります。基本資格情報は Base64 でエンコードされるため、この問題がセキュリティの問題の原因となる可能性があります。基本資格情報が HTTP 接続経由で送信されると、クリア テキストとして読み取られ、デコードされる可能性があります。

この問題は、以下のすべての条件に該当する場合に発生することがあります。
  • 着信方向の Web 要求リスナに対して基本認証が設定されています。
  • Web 公開ルールが、このルールに対して HTTPS トラフィックのみを許可するために、[SSL 要求] に設定されています。
  • Web 公開ルールがユーザー認証に設定されています。
  • 最初のクライアント要求が HTTP を使用して送信され、http://server.domain.tld の形式になっています。
これらの設定を行う方法の詳細については、この資料の「詳細」を参照してください。

: RFC 2617 では、HTTP クライアントに対して、サーバーまたはプロキシによって提供されるすべての認証スキームの中から、最も強力な認証スキームを選択することを要求しています。たとえば、Microsoft Internet Explorer はこの要件に準拠しています。他のブラウザでは、この要件が適用されるとは限らないため、より強力な認証スキームが提供されている場合でも、基本認証が選択されることがあります。

: この問題が発生する可能性のある一般的な例は、外部ユーザーが https://www.owaserver.com/exchange ではなく http://www.owaserver.com/exchange を要求してきた場合です。

この問題は、次の状況では発生しません。
  • 着信方向の Web 要求リスナに対して基本認証を設定していない場合。
  • 着信方向の Web 要求リスナに対して複数の認証方法を有効にしており、クライアントの認証が、Internet Security and Acceleration (ISA) Server を実行しているコンピュータ上で NTLM かダイジェスト認証を使用して行われる場合。この認証も HTTP 経由で送信されますが、NTLM 認証やダイジェスト認証の暗号解除は困難であるため、この問題は発生しません。

原因

着信方向の要求が ISA Server を実行しているコンピュータに送信され、その要求を処理する Web 公開ルールに基づいて認証を行う必要がある場合、ISA Server は最初に、クライアントとの認証ハンドシェイクに使用するための "401 認証されていません" の応答を返します。この応答は、クライアントが使用するプロトコル (HTTP または HTTPS) とは関係なく行われます。認証に成功すると、ISA Server は該当する Web 公開ルールのプロパティを確認します。ルールが [SSL 要求] に設定されていれば、その要求は "403" (12211) 応答で拒否されます。"403" 応答が送信される前に、基本資格情報が HTTP を使用して送信されることがあるため、この時点でセキュリティの問題が発生する可能性があります。

解決方法

この問題を解決するには、セキュリティ更新プログラム MS05-034 を適用します。このセキュリティ更新プログラムをダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/japan/technet/security/bulletin/ms05-034.mspx
警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

このセキュリティ更新プログラムをインストールすると ISA Server がセキュリティで保護されていない受信方向の HTTP Web 要求に対する基本認証を要求するかどうかを制御することができます。 セキュリティで保護されていない接続で ISA Server が基本認証を要求するようにするには、以下のレジストリ キーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
この更新プログラムを適用すると既定で、ISA Server はセキュリティで保護された接続で基本認証を要求しません。 この動作を行わせたい場合、このレジストリ キーを削除するか、またはレジストリ キーの値を 0 設定します。

このセキュリティ更新プログラムをインストールすると、以下の条件が当てはまる場合に ISA Server は"401" 応答の代わりに直ちに"403" 応答をクライアントへ送信します。
  • レジストリ キーが存在しない、または 0 に設定されている
  • HTTP を介してリクエストが送信されている
  • 着信方向の Web 要求リスナで基本認証が構成されている
注 : 他の Web 公開ルールが基本認証を使用するように構成されていたとしても、このセキュリティ更新プログラムをインストールした場合にはセキュリティで保護されていない受信方向の Web 要求に対して基本認証を使用することは出来ません。HTTP を介した基本認証はセキュリティで保護された認証方法ではないため、HTTP ベースの Web 公開のシナリオで基本認証を使用することを推奨しません。

詳細

着信方向の Web 要求リスナに対して基本認証を設定するには、次の手順を実行します。
  1. ISA Server の Microsoft 管理コンソール (MMC) で、サーバーまたはアレイを右クリックし、[プロパティ] をクリックします。
  2. [着信方向の Web 要求] タブをクリックします。 リスナをクリックして [編集] をクリックし、[このドメインの基本認証] をクリックします。
Web 公開ルールに [SSL 要求] を設定するには、次の手順を実行します。
  1. ISA Server MMC で、[公開] を展開し、[Web 公開ルール] をクリックします。
  2. 設定するルールをクリックし、[Web 公開ルールの構成] をクリックします。
  3. [ブリッジ] タブをクリックし、[SSL 要求] チェック ボックスをオンにします。
Web 公開ルールにユーザー認証を設定するには、次の手順を実行します。
  1. ISA Server MMC で、[公開] を展開し、[Web 公開ルール] をクリックします。
  2. 設定するルールをクリックし、[Web 公開ルールの構成] をクリックします。
  3. [適用先] タブをクリックし、Web 公開ルールへのアクセスを許可するユーザーを選択します。

状況

マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 821724 (最終更新日 2005-06-23) を基に作成したものです。

プロパティ

文書番号: 821724 - 最終更新日: 2014年2月27日 - リビジョン: 5.3
この資料は以下の製品について記述したものです。
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbnosurvey kbarchive kbisaserv2000presp2fix kbfix kbbug KB821724
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com