Makale numarası: 821724 - Son Gözden Geçirme: 03 Aralık 2007 Pazartesi - Gözden geçirme: 5.10

Düzeltme: SSL gerekli olduğunda temel kimlik bilgileri bir dış HTTP bağlantısı üzerinden gönderilebilir

İngilizce ve Türkçe'yi yan yana görüntülemeBuraya tıklayarak İngilizce ve Türkçe'yi yan yana görüntüleyebilirsiniz.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.
Önemli Bu makale, kayıt defterini düzenlemeyle ilgili bilgi içerir. Kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun çıkması durumunda kayıt defterini nasıl geri yükleyeceğinizi bildiğinizden emin olun. Kayıt defterini yedekleme, geri yükleme ve değiştirme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makaleyi inceleyin:
256986  (http://support.microsoft.com/kb/256986/ ) Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

Belirtiler

Temel kimlik doğrulaması üzerinde gelen Web isteği dinleyicisi etkin olduğu bir Web yayımlama senaryosunda, isteği işleyen Web yayımlama kuralı SSL gerekli için yapılandırılmış olsa bile temel kimlik bilgileri bir dış HTTP bağlantısı üzerinden gönderilebilir. Bu sorun, temel kimlik bilgileri Base64 olarak kodlanmış olduğu için bir güvenlik sorunu oluşturabilir. Temel kimlik bilgileri bir HTTP bağlantısı üzerinden gönderilirse, bunlar olarak düz metin olarak okuyun ve çözülür.

Bu sorun, aşağıdaki koşulların tümü geçerliyse oluşabilir:
  • Temel kimlik doğrulaması, gelen Web isteği dinleyicisi üzerinde yapılandırılır.
  • Bu kuralı yalnızca HTTPS trafiğe izin vermek istediğiniz için Web yayımlama kuralı SSL gerekli için yapılandırıldı.
  • Web yayımlama kuralı, kullanıcı kimlik doğrulaması için yapılandırılmış.
  • Ilk istemci isteğini HTTP ve http://server.domain.tld biçimi kullanılarak gönderilir.
Bu ayarlarının nasıl yapılandırılacağı hakkında daha fazla bilgi için bu makalenin "Daha fazla bilgi" bölümüne bakın.

Not RFC 2617, HTTP istemcilerinin en güçlü kimlik doğrulama şeması, bir sunucu veya proxy tarafından sağlanan tüm seçenekler arasından seçim gerektirir. Örneğin, Microsoft ınternet Explorer bu gereksinimin ile uyumludur. Bu gereksinim, diğer tarayıcıları tarafından garanti edilemez, çünkü bile daha güçlü kimlik doğrulama düzenlerinden önerildiğinde, temel kimlik doğrulamasının seçili bulabilirsiniz.

Not Bir ortak, bu sorun ortaya çıkabilir harici kullanıcılar http://www.owaserver.com/exchange https://www.owaserver.com/exchange yerine istemek, örnektir.

Bu sorun aşağıdaki durumlarda oluşur:
  • Temel kimlik doğrulaması üzerinde gelen Web isteği dinleyicisi yapılandırmadığınız.
  • Bilgisayarınızda gelen Web isteği dinleyicisi üzerinde etkin birden çok kimlik doğrulama yöntemi ve ınternet Security and Acceleration (ISA) Server çalıştıran bilgisayarda NTLM veya Özet kimlik doğrulaması'nı kullanarak istemcinin kimliğini doğrular. Kimlik doğrulaması, HTTP üzerinden de gönderilir ancak, NTLM ve Özet kimlik doğrulaması kolayca şifresi çözülmüş olamayacağından bu sorun oluşmaz.
Üste

Neden

Gelen istek, ISA Server'ı çalıştıran bir bilgisayara gönderilir ve kimlik doğrulama isteği işleyen bir kural yayımlamak Web üzerinde yürütülmelidir ISA Server önce kimlik doğrulaması el sıkışması, istemciyle kullanmak için bir "401 Yetkisiz" yanıt döndürür. Bu yanıt, bağımsız istemcinin kullandığı protokol (HTTP veya HTTPS) oluşur. ISA Server, başarılı kimlik doğrulaması'nı gerçekleştikten sonra uygun Web yayımlama kuralı özelliklerini denetler. Kural gerekli SSL için yapılandırılırsa, bir "403 ile" (12211) isteği reddetti yanıt. Temel kimlik bilgileri zaten "403" yanıtı göndermeden önce HTTP kullanılarak gönderilen toplam, çünkü bu güvenlik sorunu ortaya çıkabilir.
Üste

Çözüm

Bu sorunu gidermek için <a0></a0>, güvenlik güncelleştirmesi MS05-034'i uygulayın. Bu güvenlik güncelleştirmesini karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx (http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx)
Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sisteminizi yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kayıt defterini kendi sorumluluğunuzda değiştiriniz.

Bu güvenlik güncelleştirmesi, ISA Server için güvenli olmayan gelen istekleri temel kimlik doğrulaması HTTP Web istekleri olup olmadığını denetlemenize olanak sağlar. Yapmak ISA Server bağlantılarında güvenli olmayan temel kimlik doğrulama isteği istiyorsanız, aşağıdaki kayıt defteri anahtarını ekleyin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Bu güncelleştirmeyi uyguladığınızda, varsayılan olarak, ISA Server temel kimlik doğrulaması güvenli bağlantılar ister değil. Bu davranış ortaya yapmak istiyorsanız, bu kayıt defteri anahtarını silin veya kayıt defteri anahtarının değerini 0 olarak ayarlayın.

Bu güvenlik güncelleştirmesini yüklerseniz, aşağıdaki koşullar geçerli olduğunda ISA Server hemen "403" bir "401" yanıtı yerine bir istemciye yanıt gönderir:
  • Kayıt defteri anahtarı eksik veya ayarlanmış 0.
  • Istek, HTTP üzerinden gönderilir.
  • Temel kimlik doğrulaması, gelen Web isteği dinleyicisi üzerinde yapılandırılır.
Not Bu güvenlik güncelleştirmesini yüklerseniz, diğer Web yayımlama kuralları temel kimlik doğrulaması kullanacak şekilde yapılandırılmış olsa bile temel kimlik doğrulaması güvenli olmayan gelen Web istekleri için kullanılamaz. HTTP üzerinden temel kimlik doğrulaması güvenli kimlik doğrulama yöntemi olduğundan, temel kimlik doğrulaması HTTP tabanlı Web'de kullanma senaryoları yayımlama önermiyoruz.
Üste

Daha fazla bilgi

Temel kimlik doğrulaması üzerinde gelen Web isteği dinleyicisi yapılandırmak için şu adımları izleyin:
  1. ' De ISA Server Microsoft Yönetim Konsolu'nu (MMC), sunucu ya da diziyi sağ tıklatın ve sonra da Properties ' i tıklatın.
  2. Gelen Web istekleri tıklatın sekmesini tıklatın ve Temel kimlik doğrulaması</a1>'ı tıklatın.
Web yayımlama kuralı SSL gerekli ' nı yapılandırmak için şu adımları izleyin:
  1. ISA Server MMC'de Publishing ' i (Yayımlama) genişletin ve sonra da Web yayımlama kuralları ' nı genişletin.
  2. Yapılandırmak istediğiniz kuralı sağ tıklatın ve sonra da Özellikler ' i tıklatın.
  3. Bridging sekmesini tıklatın ve ardından <a0>SSL iste</a0> onay kutusunu seçin.
Web yayımlama kuralı kullanıcı kimlik doğrulaması için yapılandırmak için şu adımları izleyin:
  1. ISA Server MMC'de Publishing ' i (Yayımlama) genişletin ve sonra da Web yayımlama kuralları ' nı genişletin.
  2. Yapılandırmak istediğiniz kuralı sağ tıklatın ve sonra da Özellikler ' i tıklatın.
  3. Aşağıdakilere uygulanır</a0> sekmesini tıklatın ve sonra da Web yayımlama kuralları erişmek için izin verilen kullanıcıları seçin.
Üste

Durum

Microsoft, "Geçerli Olduğu Ürünler" bölümünde listelenen Microsoft ürünlerinde bu sorunun olduğunu onaylamıştır.
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
Üste
Anahtar Kelimeler: 
kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMttr
Üste
Otomatik TercümeOtomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:821724  (http://support.microsoft.com/kb/821724/en-us/ )
Üste