FIX: 基本可能将凭据发送通过外部 HTTP 连接时要求 SSL 的情况

文章翻译 文章翻译
文章编号: 821724 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986在 Microsoft Windows 注册表的说明
展开全部 | 关闭全部

症状

在一个 Web 发布方案中的传入 Web 请求侦听器启用了基本身份验证,基本凭据可能通过外部 HTTP 连接发送,即使在处理请求的 Web 发布规则配置为 需要 SSL。此问题可能会创建一个安全问题,因为基本凭据是 Base64 编码。如果通过 HTTP 连接发送,则基本凭据,它们可能会读取以明文形式和解码。

如果满足下列所有条件都都为真,则可能会出现此问题:
  • 配置传入 Web 请求侦听器上进行基本身份验证。
  • Web 发布规则被配置 SSL 所需 的因为您希望在此规则允许仅 HTTPS 通信。
  • Web 发布规则配置为用户身份验证。
  • 通过使用 HTTP 和 http://server.domain.tld 格式发送初始客户端请求。
有关如何配置这些设置,请参阅本文的"更多信息"部分的详细信息。

注意RFC 2617 要求 HTTP 客户端从提供的服务器或代理服务器的所有选项中选择最强的身份验证方案。例如对于 Microsoft Internet Explorer 符合此要求。 因为此要求不能保证通过其他浏览器中,您可能会发现甚至提供更强的身份验证方案时选择了该基本身份验证。

注意一个常见示例时可能会出现此问题是如果外部用户请求 http://www.owaserver.com/exchange https://www.owaserver.com/exchange 代替。

在下列情况下不会出现此问题:
  • 您还没有配置传入 Web 请求侦听器上的基本身份验证。
  • 有多个传入 Web 请求侦听程序上启用的身份验证方法和客户端进行身份验证通过 Internet 安全性和加速 (ISA) 服务器正在运行的计算机上使用 NTLM 或摘要式身份验证。尽管也通过 HTTP 发送身份验证,但是此问题不会发生,因为无法轻松地解密 NTLM 和摘要式身份验证。

原因

当传入的请求被发送到正在运行 ISA Server 的计算机上 Web 发布规则处理该请求,必须进行身份验证时 ISA 服务器将第一次返回"401 未授权"的响应与客户端使用身份验证握手。发生独立于协议 (HTTP 或 HTTPS) 客户端使用此响应。成功的身份验证后,ISA 服务器将检查适当的 Web 发布规则的属性。如果该规则被配置为 需要 SSL,请求被拒绝与一个"403"(12211) 响应。因为基本的凭据可能已经通过使用 HTTP"403"响应发送之前发送,此时可能出现安全问题。

解决方案

若要解决此问题,应用安全更新 ms05-034。要下载此安全更新,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx
警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法,则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

此安全更新可让您控制是否 ISA 服务器请求的基本身份验证不安全的传入 HTTP Web 请求。 如果您 希望请求非安全连接上的基本身份验证的 ISA 服务器,添加以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
默认状态下,ISA 服务器将不请求上安全连接上的基本身份验证,当您应用此更新。如果您 希望发生此行为,删除此注册表,或将注册表项的值设置为 0。

如果您安装了此安全更新 ISA 服务器将立即发送到客户端,而不是"401"响应"403"响应当满足下列条件都为真时:
  • 该注册表项是丢失或设置为 0。
  • 通过 HTTP 发送请求。
  • 配置传入 Web 请求侦听器上进行基本身份验证。
注意如果您安装了此安全更新基本身份验证不能用于非安全传入 Web 请求,即使其他 Web 发布规则配置为使用基本身份验证。因为基本身份验证通过 HTTP 不安全的身份验证方法,我们不建议使用基本身份验证中基于 HTTP 的 Web 发布方案。

更多信息

要配置传入 Web 请求侦听器上的基本身份验证,请按照下列步骤操作:
  1. 在在 ISA Server Microsoft 管理控制台 (MMC),用鼠标右键单击服务器或阵列,然后单击 属性
  2. 单击 传入 Web 请求 选项卡,然后单击 基本身份验证
若要在 Web 发布规则上配置 SSL 所需,请按照下列步骤操作:
  1. 在 ISA Server MMC 中,展开 发布,然后展开 Web 发布规则
  2. 用鼠标右键单击您想要配置,该规则,然后单击 属性
  3. 单击 桥接 选项卡,然后单击以选中 要求 SSL 复选框。
若要配置 Web 发布规则的用户身份验证,请按照下列步骤操作:
  1. 在 ISA Server MMC 中,展开 发布,然后展开 Web 发布规则
  2. 用鼠标右键单击您想要配置,该规则,然后单击 属性
  3. 单击 应用于 选项卡,然后选择允许访问 Web 发布规则的用户。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

属性

文章编号: 821724 - 最后修改: 2014年2月27日 - 修订: 5.10
这篇文章中的信息适用于:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
关键字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 821724
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com