CORRECÇÃO: As credenciais básicas podem ser enviadas através de uma ligação HTTP externa quando a SSL é necessária

Cenário publicação de Web onde autenticação básica estiver activada na escuta de pedidos Web a receber, as credenciais básicas podem ser enviadas através de uma ligação HTTP externa, mesmo que a regra de publicação Web processa o pedido está configurada para SSL requerido . Este problema pode criar um problema de segurança porque as credenciais básicas são codificado com Base64. Se as credenciais Básicas forem enviadas através de uma ligação HTTP, poderá ser ler texto simples como e descodificadas.

Este problema poderá ocorrer se todas as condições seguintes forem verdadeiras:

• Autenticação básica está configurada a escuta de pedidos Web recebidos.
• A regra de publicação Web está configurada para SSL requerido porque pretende permitir apenas tráfego HTTPS esta regra.
• A regra de publicação Web está configurada para autenticação de utilizador.
• O pedido de cliente inicial é enviado utilizando HTTP e o formato http://server.domain.tld.

Para mais informações sobre como configurar estas definições, consulte a secção "Mais informação" deste artigo.

Nota RFC 2617 requer que os clientes HTTP seleccionar o esquema de autenticação mais forte de todas as opções são fornecidas por um servidor ou proxy. Por exemplo, Microsoft Internet Explorer está em conformidade com este requisito. Uma vez que este requisito não pode ser garantido por outros browsers, é possível que a autenticação básica estiver seleccionada, mesmo quando são oferecidos esquemas de autenticação mais fortes.

Nota Um comum exemplo de quando este problema poderá ocorrer é se utilizadores externos pedir http://www.owaserver.com/exchange em vez de https://www.owaserver.com/exchange.

Este problema não ocorre nas seguintes situações:

• Não configurou autenticação básica na escuta de pedidos Web recebidos.
• Tem vários métodos de autenticação activados a escuta de pedidos Web recebidos e o cliente autentica utilizando autenticação NTLM ou autenticação condensada no computador que está a executar o Internet Security and Acceleration (ISA) Server. Embora a autenticação é também enviada através de HTTP, este problema não ocorre porque a autenticação NTLM e autenticação condensada não pode ser facilmente desencriptada.

Quando um pedido recebido é enviado para um computador com o ISA Server e a autenticação deve ocorrer na regra que processe o pedido de publicação Web, o ISA Server primeiro devolve uma resposta "401 não autorizado" para utilizar o handshake de autenticação com o cliente. Esta resposta ocorre independentemente do protocolo (HTTP ou HTTPS) pelo cliente. Depois de ocorre uma autenticação com êxito, o ISA Server verifica as propriedades da regra de publicação Web apropriada. Se a regra está configurada para SSL requerido , o pedido é negado com um "403" (12211) resposta. O problema de segurança poderá ocorrer neste momento porque as credenciais básicas podem já ter sido enviadas utilizando HTTP antes da resposta "403" é enviada.

Para resolver este problema, aplique a actualização de segurança MS05-034. Para transferir esta actualização de segurança, visite o seguinte Web site da Microsoft: aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua conta e risco.

Esta actualização de segurança permite controlar se ISA Server pedidos de autenticação básica para entrada não seguros pedidos HTTP Web. Se efectuar pretende ISA Server para pedir autenticação base em ligações não segura, adicione a seguinte chave de registo: Por predefinição, o ISA Server não pedir autenticação básica no proteger ligações quando aplicar esta actualização. Desejar fazer este comportamento ocorrer, elimine esta chave de registo ou defina o valor da chave de registo como 0.

Se instalar esta actualização de segurança, ISA Server envia imediatamente uma resposta "403" para o cliente em vez de uma resposta "401" quando as seguintes condições são verdadeiras:

• A chave de registo está em falta ou definida como 0.
• O pedido é enviado através de HTTP.
• Autenticação básica está configurada a escuta de pedidos Web recebidos.

Nota Se instalar esta actualização de segurança, autenticação base não pode ser utilizada para não seguros Web pedidos, mesmo se outras regras de publicação Web estiverem configuradas para utilizar a autenticação básica. Uma vez que a autenticação básica através de HTTP não é um método de autenticação segura, não recomendamos que utilize autenticação base na Web com base em HTTP cenários de publicação.

Para configurar a autenticação básica na escuta de pedidos Web a receber, siga estes passos:

1. No ISA Server Microsoft consola de gestão (MMC), clique com o botão direito do rato no servidor ou matriz e, em seguida, clique em Propriedades .
2. Faça clique sobre os Pedidos Web a receber e, em seguida, clique autenticação básica .

Para configurar o SSL requerido na regra de publicação Web, siga estes passos:

1. Na MMC do servidor ISA, expanda publicação e, em seguida, expanda Web Publishing Rules .
2. Clique com o botão direito do rato na regra que pretende configurar e, em seguida, clique em Propriedades .
3. Clique no separador bridging e, em seguida, clique para seleccionar a caixa de verificação Exigir SSL .

Para configurar a regra de publicação Web para autenticação de utilizador, siga estes passos:

1. Na MMC do servidor ISA, expanda publicação e, em seguida, expanda Web Publishing Rules .
2. Clique com o botão direito do rato na regra que pretende configurar e, em seguida, clique em Propriedades .
3. Clique no separador aplica-se a e, em seguida, seleccione os utilizadores têm permissão para aceder as regras de publicação Web.

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".