ИСПРАВЛЕНИЕ: Основные учетные данные могут отправляться через внешние HTTP-соединение когда требуется SSL

Переводы статьи Переводы статьи
Код статьи: 821724 - Vizualiza?i produsele pentru care se aplic? acest articol.
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Важные Эта статья содержит сведения об изменении реестра. Убедитесь, что перед внесением изменений рекомендуется создать резервную копию реестра. Убедитесь, что знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных сведений о том, как резервное копирование, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

Проблема

В веб-публикация которой включена обычная проверка подлинности для прослушивания входящих веб-запросов основные учетные данные могут отправляться через внешние HTTP-подключения несмотря на то, что настроено правило веб-публикации, обрабатывающий запрос для Требуется протокол SSL. Эта проблема может создать угрозу безопасности, так как основные учетные данные, закодированные методом Base64. Если основные учетные данные передаются через HTTP-соединение, они могут читать как открытый текст и декодировать.

Это может происходить, если выполняются следующие условия:
  • Обычная проверка подлинности настроен для прослушивания входящих веб-запросов.
  • Правила веб-публикации настроено для Требуется протокол SSL так как вы хотите разрешить только трафик HTTPS для данного правила.
  • Правила веб-публикации настроено для проверки подлинности пользователя.
  • Исходный клиентский запрос отправляется с использованием HTTP и формат http://server.domain.tld.
Для получения дополнительных сведений о настройке этих параметров см. в разделе «Дополнительная информация» этой статьи.

Примечание RFC 2617 требует HTTP клиентам выбирать наиболее надежную схему проверки подлинности из всех параметров, предоставляемых сервером или прокси-сервера. Например Microsoft Internet Explorer удовлетворяет этим требованиям. Потому что это требование не может быть гарантирована другими обозревателями, может оказаться обычной проверки подлинности выбран, даже в том случае, когда предлагается более надежных схем проверки подлинности.

Примечание Один общий пример когда эта проблема может возникнуть, если внешним пользователям запрашивать http://www.owaserver.com/exchange вместо https://www.owaserver.com/exchange.

Эта проблема не возникает в следующих случаях:
  • Обычная проверка подлинности не были настроены для прослушивания входящих веб-запросов.
  • У вас есть несколько методов проверки подлинности включена для прослушивания входящих веб-запросов и проверяет подлинность клиента с использованием NTLM или дайджест-проверки подлинности на компьютере, на котором запущен Internet Security and Acceleration (ISA) Server. Несмотря на то, что проверка подлинности отправляется по протоколу HTTP, эта проблема не возникает, поскольку NTLM и краткая проверка подлинности не может быть легко расшифровано.

Причина

Когда входящий запрос отправляется на компьютер с сервером ISA Server и необходимо провести проверку подлинности для правила веб-публикации, обрабатывающий запрос, ISA Server сначала возвращает ответ «401 не санкционировано» использовать взаимную проверку подлинности с клиентом. Этот ответ происходит независимо от протокола (HTTP или HTTPS), используемого клиентом. После успешной проверки подлинности ISA Server проверяет свойства соответствующее правило веб-публикации. Если настроено правило Требуется протокол SSL, запрос отклоняется с (12211) «403"ответ. Проблема безопасности может возникать на данном этапе основные учетные данные уже был отправлен с использованием протокола HTTP, перед отправкой ответа "403".

Решение

Для решения этой проблемы установки обновления безопасности MS05-034. Чтобы загрузить обновление для системы безопасности, посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/technet/security/bulletin/MS05-034.mspx
Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.

Это обновление безопасности позволяет контролировать веб ли ISA Server запросов обычную проверку подлинности для входящего небезопасного HTTP-запросов. Если вы Нет требуется ISA Server для запроса обычной проверки подлинности на небезопасные соединения, добавьте следующий параметр реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection: Параметр DWORD: 1
По умолчанию ISA Server не запросит обычной проверки подлинности для подключений по безопасности при установке этого обновления. Если вы Нет Такое поведение необходимо выполнить, либо удалить этот раздел реестра или значения реестра равным 0.

При установке этого обновления безопасности ISA Server немедленно посылает на "403" клиента вместо ответ «401» при следующих условиях:
  • Раздел реестра отсутствует или установлен на 0.
  • Запрос отправляется через HTTP.
  • Обычная проверка подлинности настроен для прослушивания входящих веб-запросов.
Примечание При установке этого обновления безопасности обычной проверки подлинности нельзя использовать для небезопасные входящие веб-запросы, даже если другие правила веб-публикации настроены на использование обычной проверки подлинности. Так как обычная проверка подлинности по протоколу HTTP не является методом безопасной проверки подлинности, не рекомендуется использовать обычную проверку подлинности на основе HTTP веб-публикации сценариев.

Дополнительная информация

Чтобы настроить обычную проверку подлинности для прослушивания входящих веб-запросов, выполните следующие действия.
  1. В ISA Server консоли управления (MMC), щелкните правой кнопкой мыши сервер или массива и нажмите кнопку Свойства.
  2. Нажмите кнопку Входящих веб-запросов вкладки, а затем нажмите кнопку Обычная проверка подлинности.
Для настройкиТребуется протокол SSL для правила веб-публикации выполните следующие действия.
  1. В консоли Управления ISA Server откройте Публикация, а затем разверните узел Правила веб-публикации.
  2. Щелкните правой кнопкой мыши правило, которое требуется настроить и нажмите кнопку Свойства.
  3. Нажмите кнопку Мост на вкладке и выберите Требовать SSL флажок.
Чтобы настроить правило веб-публикации для проверки подлинности пользователей, выполните следующие действия.
  1. В консоли Управления ISA Server откройте Публикация, а затем разверните узел Правила веб-публикации.
  2. Щелкните правой кнопкой мыши правило, которое требуется настроить и нажмите кнопку Свойства.
  3. Нажмите кнопку Применяется к вкладки, а затем выберите пользователей, которым разрешен доступ к веб-публикации правил.

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Microsoft, перечисленных в разделе «Относится к».

Свойства

Код статьи: 821724 - Последний отзыв: 21 февраля 2014 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Small Business Server 2003 Premium Edition
Ключевые слова: 
kbnosurvey kbarchive kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug kbmt KB821724 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:821724

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com