文章編號: 821724 - 上次校閱: 2007年12月3日 - 版次: 5.10

FIX: 基本認證可能會傳送透過外部 HTTP 連線需要 SSL 時

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要本文包含有關如何修改登錄的資訊。請確定您修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
256986? (http://support.microsoft.com/kb/256986/ ) Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

徵狀

在網頁發佈的案例,已啟用基本驗證連入網頁要求接聽程式,基本認證可能會傳送透過外部 HTTP 連線即使處理要求 [網頁發佈規則設定為 所需的 SSL。這個問題會產生安全性問題,因為基本認證是 Base64 編碼。如果基本認證透過 HTTP 連線傳送,它們可能會讀取以純文字和解碼。

如果下列情況成立,可能就會發生這個問題:
  • 基本驗證是在連入網頁要求接聽程式設定。
  • 網頁發佈規則被設定為 需要 SSL,因為您想要在此規則允許只 HTTPS 流量。
  • 網頁發佈規則設定為使用者驗證。
  • 初始的用戶端要求是使用 HTTP 和 http://server.domain.tld 格式來傳送。
如需有關如何設定這些設定,請參閱本文 < 其他資訊 > 一節的詳細資訊。

附註RFC 2617 需要 HTTP 用戶端從所提供的伺服器或 Proxy 的所有選項選取最強的驗證配置。比方說 Microsoft Internet Explorer 符合這個需求。 因為無法保證這項要求其他瀏覽器,可能會發現當該基本驗證時,會選取,甚至會提供較強的驗證配置。

附註一個常見的何時可能會發生這個問題的範例是如果外部使用者所要求的代替 https://www.owaserver.com/exchange http://www.owaserver.com/exchange。

在下列情況下,不會發生這個問題:
  • 您尚未設定基本驗證連入網頁要求接聽程式。
  • 您有啟用將連入網頁要求接聽程式上的多個驗證方法,而且正在執行網際網路安全性與加速 ISA Server 電腦上使用 NTLM] 或 [摘要式驗證來驗證用戶端。雖然驗證也會透過 HTTP 傳送,這不會發生問題由於 NTLM 與摘要式驗證無法輕易地解密。
回此頁最上方

發生的原因

當連入要求傳送給執行 ISA Server 的電腦驗證必須發生在網頁發佈處理要求的規則上 ISA Server 第一次將 「 401 未經授權 」 回應傳回驗證信號交換使用用戶端。這個回應發生於獨立的用戶端使用通訊協定 (HTTP 或 HTTPS)。驗證成功,就會發生之後 ISA Server 會檢查適當的網頁發佈規則的屬性。如果規則設定為 需要 SSL,具有一個 「 403 」 (12211) 拒絕要求的回應。因為基本憑證可能已經被傳送使用 HTTP 403 」 回應傳送之前,可能會在此時發生安全性問題。
回此頁最上方

解決方案

如果要解決這個問題,套用安全性更新 MS05-034。如果要下載此安全性更新,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx (http://www.microsoft.com/technet/security/bulletin/ms05-034.mspx)
警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。

此安全性更新可讓您控制是否不安全的連入的 ISA Server 要求基本驗證 HTTP 網頁要求。 如果您 要 ISA Server 要求上的 「 基本 」 驗證非安全連線,加入下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
預設情況下,ISA Server 會不要求上安全連接上的 「 基本 」 驗證當您套用此更新。如果 執行 想要就會發生這種行為,刪除這個登錄機碼或登錄機碼值設為 0。

如果您安裝此安全性更新,ISA Server 會立即傳送"403 回應至用戶端而非 「 401 回應下列情況成立時:
  • 登錄機碼已遺失或設定為 0。
  • 透過 HTTP 傳送要求。
  • 基本驗證是在連入網頁要求接聽程式設定。
附註如果您安裝此安全性更新,基本驗證無法用於非安全連入網頁要求],即使其他網頁發佈規則設定為使用基本驗證。因為透過 HTTP 基本驗證不是安全的驗證方法,我們不建議您使用基本驗證,在 HTTP 為主的 Web 發佈案例。
回此頁最上方

其他相關資訊

若要在連入網頁要求接聽程式上設定基本驗證,請依照下列步驟執行:
  1. 在 [ISA Server Microsoft 管理主控台 (MMC),伺服器或陣列上, 按一下滑鼠右鍵,然後再按 [內容]
  2. 按一下 [連入 Web 要求 標籤,然後按一下 [基本驗證
若要在網頁發佈規則上設定 [需要 SSL],請依照下列步驟執行:
  1. 在 ISA Server MMC 中展開 發行,然後再展開 [網頁發行規則]。
  2. 用滑鼠右鍵按一下您想要設定,規則然後按一下 [內容]。
  3. 按一下 [橋接] 索引標籤,然後按一下以選取 [需要 SSL] 核取方塊。
若要進行網頁發佈規則來進行使用者驗證請依照下列步驟執行:
  1. 在 ISA Server MMC 中展開 發行,然後再展開 [網頁發行規則]。
  2. 用滑鼠右鍵按一下您想要設定,規則然後按一下 [內容]。
  3. 按一下 [套用在] 索引標籤,然後選取允許存取網頁發佈規則的使用者。
回此頁最上方

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
回此頁最上方
關鍵字:?
kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:821724? (http://support.microsoft.com/kb/821724/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。