CORRECÇÃO: Credenciais básicas podem ser enviadas através de uma conexão HTTP externa quando SSL é necessário

Em um cenário de Web publicação onde essa opção é ativada no ouvinte da entrada solicitações da Web, as credenciais básicas podem ser enviadas através de uma conexão HTTP externa mesmo que a regra de publicação da Web que processa a solicitação é configurada para SSL necessário . Esse problema pode criar um problema de segurança porque credenciais básicas são codificado na Base64. Se Basic credenciais são enviadas em uma conexão HTTP, eles podem ser ler texto não criptografado como e decodificados.

Esse problema pode ocorrer se todas as seguintes condições forem verdadeiras:

• Autenticação básica é configurada no ouvinte da entrada solicitações da Web.
• A regra de publicação da Web está configurada para SSL necessário porque você deseja permitir apenas tráfego HTTPS nesta regra.
• A regra de publicação da Web está configurada para autenticação de usuário.
• A solicitação de cliente inicial é enviada usando HTTP e o formato http://server.domain.tld.

Para obter mais informações sobre como definir essas configurações, consulte a seção "Mais informações" deste artigo.

Observação RFC 2617 requer clientes HTTP selecionar o esquema de autenticação mais forte de todas as opções oferecidas por um servidor ou proxy. Por exemplo, o Microsoft Internet Explorer é compatível com esse requisito. Porque esse requisito não pode ser garantido por outros navegadores, você pode achar que a autenticação básica for selecionada, mesmo quando esquemas de autenticação mais fortes são oferecidos.

Observação Um comum é exemplo de quando esse problema pode ocorrer se usuários externos solicitarem http://www.owaserver.com/exchange em vez de https://www.owaserver.com/exchange.

Esse problema não ocorre nas seguintes situações:

• Você não configurou autenticação básica no ouvinte da entrada solicitações da Web.
• Você tem vários métodos de autenticação ativados o ouvinte de entrada solicitações da Web e o cliente autentica usando autenticação NTLM ou Digest no computador que está executando o Internet Security and Acceleration (ISA) Server. Embora a autenticação também é enviada por HTTP, esse problema não ocorre porque autenticação Digest e NTLM não pode ser facilmente descriptografada.

Quando uma solicitação de entrada é enviada a um computador que está executando o ISA Server e autenticação deve ocorrer na Web que processa a solicitação de regra de publicação, o ISA Server retorna primeiro uma resposta "401 não autorizado" para usar o handshake de autenticação com o cliente. Essa resposta ocorre independentemente do protocolo (HTTP ou HTTPS) que usa o cliente. Após autenticação bem-sucedida, o ISA Server verifica as propriedades da regra de publicação da Web apropriada. Se a regra é configurada como SSL necessário , a solicitação é negada com um "403" (12211) resposta. O problema de segurança pode ocorrer neste momento porque as credenciais básicas podem já ter sido enviadas usando HTTP antes da resposta "403" será enviada.

Para resolver esse problema, aplique a atualização de segurança MS05-034. Para baixar esta atualização de segurança, visite o seguinte site: Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir que você reinstale seu sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro por sua própria conta e risco.

Esta atualização de segurança permite que você controle se ISA Server solicitações de autenticação básica para a entrada não seguras HTTP solicitações da Web. Se você fazer desejar ISA Server para solicitação de autenticação básica em conexões não seguras, adicione a seguinte chave do Registro: Por padrão, o ISA Server não solicitar autenticação básica em conexões no proteger quando você aplica essa atualização. Se você fazer esse comportamento ocorrer, exclua essa chave do registro ou definir o valor da chave do Registro como 0.

Se você instalar esta atualização de segurança, o ISA Server envia imediatamente uma resposta "403" para o cliente em vez de uma resposta "401" quando as seguintes condições forem verdadeiras:

• A chave do Registro está ausente ou definido para 0.
• A solicitação é enviada via HTTP.
• Autenticação básica é configurada no ouvinte da entrada solicitações da Web.

Observação Se você instalar esta atualização de segurança, autenticação básica não pode ser usada não seguras solicitações de entrada da Web, mesmo se outras regras de publicação da Web estiverem configuradas para usar a autenticação básica. Como a autenticação básica sobre HTTP não é um método de autenticação seguro, não é recomendável usar a autenticação básica na Web com base em HTTP cenários de publicação.

Para configurar a autenticação básica no ouvinte da entrada solicitações da Web, execute essas etapas:

1. No ISA Server Microsoft Management Console (MMC), clique com o botão direito do mouse no servidor ou matriz e, em seguida, clique em Propriedades .
2. Clique em Solicitação de entrada da guia e, em seguida, clique em autenticação básica .

Para configurar o SSL necessário a regra de publicação na Web, execute estas etapas:

1. No MMC do ISA Server, expanda publicação e, em seguida, expanda Regras de publicação na Web .
2. Clique com o botão direito do mouse a regra que você deseja configurar e, em seguida, clique em Propriedades .
3. Clique na guia pontes e, em seguida, clique para selecionar a caixa de seleção Exigir SSL .

Para configurar a regra de publicação na Web para autenticação de usuário, execute essas etapas:

1. No MMC do ISA Server, expanda publicação e, em seguida, expanda Regras de publicação na Web .
2. Clique com o botão direito do mouse a regra que você deseja configurar e, em seguida, clique em Propriedades .
3. Clique na guia aplica-se a e, em seguida, selecione os usuários que têm permissão para acessar as regras de publicação na Web.

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".