CORRECÇÃO: Credenciais básicas podem ser enviadas através de uma conexão HTTP externa quando SSL é necessário

Traduções deste artigo Traduções deste artigo
ID do artigo: 821724 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
Expandir tudo | Recolher tudo

Sintomas

Em um cenário de Web publicação onde essa opção é ativada no ouvinte da entrada solicitações da Web, as credenciais básicas podem ser enviadas através de uma conexão HTTP externa mesmo que a regra de publicação da Web que processa a solicitação é configurada para SSL necessário . Esse problema pode criar um problema de segurança porque credenciais básicas são codificado na Base64. Se Basic credenciais são enviadas em uma conexão HTTP, eles podem ser ler texto não criptografado como e decodificados.

Esse problema pode ocorrer se todas as seguintes condições forem verdadeiras:
  • Autenticação básica é configurada no ouvinte da entrada solicitações da Web.
  • A regra de publicação da Web está configurada para SSL necessário porque você deseja permitir apenas tráfego HTTPS nesta regra.
  • A regra de publicação da Web está configurada para autenticação de usuário.
  • A solicitação de cliente inicial é enviada usando HTTP e o formato http://server.domain.tld.
Para obter mais informações sobre como definir essas configurações, consulte a seção "Mais informações" deste artigo.

Observação RFC 2617 requer clientes HTTP selecionar o esquema de autenticação mais forte de todas as opções oferecidas por um servidor ou proxy. Por exemplo, o Microsoft Internet Explorer é compatível com esse requisito. Porque esse requisito não pode ser garantido por outros navegadores, você pode achar que a autenticação básica for selecionada, mesmo quando esquemas de autenticação mais fortes são oferecidos.

Observação Um comum é exemplo de quando esse problema pode ocorrer se usuários externos solicitarem http://www.owaserver.com/exchange em vez de https://www.owaserver.com/exchange.

Esse problema não ocorre nas seguintes situações:
  • Você não configurou autenticação básica no ouvinte da entrada solicitações da Web.
  • Você tem vários métodos de autenticação ativados o ouvinte de entrada solicitações da Web e o cliente autentica usando autenticação NTLM ou Digest no computador que está executando o Internet Security and Acceleration (ISA) Server. Embora a autenticação também é enviada por HTTP, esse problema não ocorre porque autenticação Digest e NTLM não pode ser facilmente descriptografada.

Causa

Quando uma solicitação de entrada é enviada a um computador que está executando o ISA Server e autenticação deve ocorrer na Web que processa a solicitação de regra de publicação, o ISA Server retorna primeiro uma resposta "401 não autorizado" para usar o handshake de autenticação com o cliente. Essa resposta ocorre independentemente do protocolo (HTTP ou HTTPS) que usa o cliente. Após autenticação bem-sucedida, o ISA Server verifica as propriedades da regra de publicação da Web apropriada. Se a regra é configurada como SSL necessário , a solicitação é negada com um "403" (12211) resposta. O problema de segurança pode ocorrer neste momento porque as credenciais básicas podem já ter sido enviadas usando HTTP antes da resposta "403" será enviada.

Resolução

Para resolver esse problema, aplique a atualização de segurança MS05-034. Para baixar esta atualização de segurança, visite o seguinte site:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir que você reinstale seu sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro por sua própria conta e risco.

Esta atualização de segurança permite que você controle se ISA Server solicitações de autenticação básica para a entrada não seguras HTTP solicitações da Web. Se você fazer desejar ISA Server para solicitação de autenticação básica em conexões não seguras, adicione a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Por padrão, o ISA Server não solicitar autenticação básica em conexões no proteger quando você aplica essa atualização. Se você fazer esse comportamento ocorrer, exclua essa chave do registro ou definir o valor da chave do Registro como 0.

Se você instalar esta atualização de segurança, o ISA Server envia imediatamente uma resposta "403" para o cliente em vez de uma resposta "401" quando as seguintes condições forem verdadeiras:
  • A chave do Registro está ausente ou definido para 0.
  • A solicitação é enviada via HTTP.
  • Autenticação básica é configurada no ouvinte da entrada solicitações da Web.
Observação Se você instalar esta atualização de segurança, autenticação básica não pode ser usada não seguras solicitações de entrada da Web, mesmo se outras regras de publicação da Web estiverem configuradas para usar a autenticação básica. Como a autenticação básica sobre HTTP não é um método de autenticação seguro, não é recomendável usar a autenticação básica na Web com base em HTTP cenários de publicação.

Mais Informações

Para configurar a autenticação básica no ouvinte da entrada solicitações da Web, execute essas etapas:
  1. No ISA Server Microsoft Management Console (MMC), clique com o botão direito do mouse no servidor ou matriz e, em seguida, clique em Propriedades .
  2. Clique em Solicitação de entrada da guia e, em seguida, clique em autenticação básica .
Para configurar o SSL necessário a regra de publicação na Web, execute estas etapas:
  1. No MMC do ISA Server, expanda publicação e, em seguida, expanda Regras de publicação na Web .
  2. Clique com o botão direito do mouse a regra que você deseja configurar e, em seguida, clique em Propriedades .
  3. Clique na guia pontes e, em seguida, clique para selecionar a caixa de seleção Exigir SSL .
Para configurar a regra de publicação na Web para autenticação de usuário, execute essas etapas:
  1. No MMC do ISA Server, expanda publicação e, em seguida, expanda Regras de publicação na Web .
  2. Clique com o botão direito do mouse a regra que você deseja configurar e, em seguida, clique em Propriedades .
  3. Clique na guia aplica-se a e, em seguida, selecione os usuários que têm permissão para acessar as regras de publicação na Web.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Propriedades

ID do artigo: 821724 - Última revisão: quinta-feira, 27 de fevereiro de 2014 - Revisão: 5.10
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 821724

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com