CORRECÇÃO: As credenciais básicas podem ser enviadas através de uma ligação HTTP externa quando a SSL é necessária

Traduções de Artigos Traduções de Artigos
Artigo: 821724 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
importante Este artigo contém informações sobre como modificar o registo. Certifique-se de que cópia de segurança do registo antes de o modificar. Certifique-se que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
256986Descrição do registo do Microsoft Windows
Expandir tudo | Reduzir tudo

Sintomas

Cenário publicação de Web onde autenticação básica estiver activada na escuta de pedidos Web a receber, as credenciais básicas podem ser enviadas através de uma ligação HTTP externa, mesmo que a regra de publicação Web processa o pedido está configurada para SSL requerido . Este problema pode criar um problema de segurança porque as credenciais básicas são codificado com Base64. Se as credenciais Básicas forem enviadas através de uma ligação HTTP, poderá ser ler texto simples como e descodificadas.

Este problema poderá ocorrer se todas as condições seguintes forem verdadeiras:
  • Autenticação básica está configurada a escuta de pedidos Web recebidos.
  • A regra de publicação Web está configurada para SSL requerido porque pretende permitir apenas tráfego HTTPS esta regra.
  • A regra de publicação Web está configurada para autenticação de utilizador.
  • O pedido de cliente inicial é enviado utilizando HTTP e o formato http://server.domain.tld.
Para mais informações sobre como configurar estas definições, consulte a secção "Mais informação" deste artigo.

Nota RFC 2617 requer que os clientes HTTP seleccionar o esquema de autenticação mais forte de todas as opções são fornecidas por um servidor ou proxy. Por exemplo, Microsoft Internet Explorer está em conformidade com este requisito. Uma vez que este requisito não pode ser garantido por outros browsers, é possível que a autenticação básica estiver seleccionada, mesmo quando são oferecidos esquemas de autenticação mais fortes.

Nota Um comum exemplo de quando este problema poderá ocorrer é se utilizadores externos pedir http://www.owaserver.com/exchange em vez de https://www.owaserver.com/exchange.

Este problema não ocorre nas seguintes situações:
  • Não configurou autenticação básica na escuta de pedidos Web recebidos.
  • Tem vários métodos de autenticação activados a escuta de pedidos Web recebidos e o cliente autentica utilizando autenticação NTLM ou autenticação condensada no computador que está a executar o Internet Security and Acceleration (ISA) Server. Embora a autenticação é também enviada através de HTTP, este problema não ocorre porque a autenticação NTLM e autenticação condensada não pode ser facilmente desencriptada.

Causa

Quando um pedido recebido é enviado para um computador com o ISA Server e a autenticação deve ocorrer na regra que processe o pedido de publicação Web, o ISA Server primeiro devolve uma resposta "401 não autorizado" para utilizar o handshake de autenticação com o cliente. Esta resposta ocorre independentemente do protocolo (HTTP ou HTTPS) pelo cliente. Depois de ocorre uma autenticação com êxito, o ISA Server verifica as propriedades da regra de publicação Web apropriada. Se a regra está configurada para SSL requerido , o pedido é negado com um "403" (12211) resposta. O problema de segurança poderá ocorrer neste momento porque as credenciais básicas podem já ter sido enviadas utilizando HTTP antes da resposta "403" é enviada.

Resolução

Para resolver este problema, aplique a actualização de segurança MS05-034. Para transferir esta actualização de segurança, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua conta e risco.

Esta actualização de segurança permite controlar se ISA Server pedidos de autenticação básica para entrada não seguros pedidos HTTP Web. Se efectuar pretende ISA Server para pedir autenticação base em ligações não segura, adicione a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Por predefinição, o ISA Server não pedir autenticação básica no proteger ligações quando aplicar esta actualização. Desejar fazer este comportamento ocorrer, elimine esta chave de registo ou defina o valor da chave de registo como 0.

Se instalar esta actualização de segurança, ISA Server envia imediatamente uma resposta "403" para o cliente em vez de uma resposta "401" quando as seguintes condições são verdadeiras:
  • A chave de registo está em falta ou definida como 0.
  • O pedido é enviado através de HTTP.
  • Autenticação básica está configurada a escuta de pedidos Web recebidos.
Nota Se instalar esta actualização de segurança, autenticação base não pode ser utilizada para não seguros Web pedidos, mesmo se outras regras de publicação Web estiverem configuradas para utilizar a autenticação básica. Uma vez que a autenticação básica através de HTTP não é um método de autenticação segura, não recomendamos que utilize autenticação base na Web com base em HTTP cenários de publicação.

Mais Informação

Para configurar a autenticação básica na escuta de pedidos Web a receber, siga estes passos:
  1. No ISA Server Microsoft consola de gestão (MMC), clique com o botão direito do rato no servidor ou matriz e, em seguida, clique em Propriedades .
  2. Faça clique sobre os Pedidos Web a receber e, em seguida, clique autenticação básica .
Para configurar o SSL requerido na regra de publicação Web, siga estes passos:
  1. Na MMC do servidor ISA, expanda publicação e, em seguida, expanda Web Publishing Rules .
  2. Clique com o botão direito do rato na regra que pretende configurar e, em seguida, clique em Propriedades .
  3. Clique no separador bridging e, em seguida, clique para seleccionar a caixa de verificação Exigir SSL .
Para configurar a regra de publicação Web para autenticação de utilizador, siga estes passos:
  1. Na MMC do servidor ISA, expanda publicação e, em seguida, expanda Web Publishing Rules .
  2. Clique com o botão direito do rato na regra que pretende configurar e, em seguida, clique em Propriedades .
  3. Clique no separador aplica-se a e, em seguida, seleccione os utilizadores têm permissão para aceder as regras de publicação Web.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Propriedades

Artigo: 821724 - Última revisão: 27 de fevereiro de 2014 - Revisão: 5.10
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 821724

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com