FIX: Le credenziali di base possono essere inviate tramite una connessione HTTP esterna quando è necessario SSL

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

821724
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
256986Descrizione del Registro di sistema di Microsoft Windows
Sintomi
In uno scenario pubblicazione Web in cui il listener Incoming Web Requests è attivata l'autenticazione di base, le credenziali di base possono essere inviate tramite una connessione HTTP esterna anche se la regola di pubblicazione Web che elabora la richiesta è configurata per SSL necessario . Questo problema è possibile creare un problema di protezione perché le credenziali di base sono con codifica Base64. Se le credenziali di base vengono inviate attraverso una connessione HTTP, può essere letto come testo non crittografato e decodificati.

Questo problema può verificarsi se sono vere tutte le condizioni seguenti:
  • L'autenticazione di base è possibile configurare il listener Incoming Web Requests.
  • La regola di pubblicazione Web viene configurata per la richiesta SSL , in quanto si desidera consentire solo il traffico HTTPS a tale regola.
  • La regola di pubblicazione Web è configurata per l'autenticazione utente.
  • La richiesta del client iniziale viene inviata utilizzando HTTP e il formato http://server.domain.tld.
Per ulteriori informazioni su come configurare queste impostazioni, vedere la sezione "Informazioni" di questo articolo.

Nota RFC 2617 richiede client di HTTP selezionare uno schema di autenticazione più dettagliato da tutte le opzioni fornite da un server o proxy. Ad esempio Microsoft Internet Explorer è conforme questo requisito. Quanto questo requisito non può essere garantito da altri browser, è probabile che l'autenticazione di base è selezionata, anche quando sono disponibili schemi di autenticazione più avanzati.

Nota Un comune esempio di quando questo problema può verificarsi è se gli utenti esterni richiedono http://www.owaserver.com/exchange anziché https://www.owaserver.com/exchange.

Questo problema non si verifica nelle seguenti situazioni:
  • Non è stato configurato l'autenticazione di base sul listener Incoming Web Requests.
  • Si dispone di più metodi di autenticazione attivati il listener Incoming Web Requests e il client autentica utilizzando l'autenticazione NTLM o digest il computer che esegue Internet Security and Acceleration (ISA) Server. Sebbene l'autenticazione viene inviato anche su HTTP, il problema non si verifica perché l'autenticazione NTLM e digest non può essere facilmente decrittografato.
Cause
Quando viene inviata una richiesta in ingresso a un computer che esegue ISA Server e sul Web regola che elabora la richiesta di pubblicazione è necessario eseguire l'autenticazione, in ISA Server viene prima restituita una risposta "401 Unauthorized" utilizzare handshake di autenticazione con il client. Questa risposta si verifica indipendente dal protocollo (HTTP o HTTPS) utilizzato dal client di. Quando si verifica l'autenticazione ha avuto esito positivo, ISA Server controlla le proprietà della regola di pubblicazione Web appropriata. Se la regola è configurata per la richiesta SSL , la richiesta viene rifiutata con un "403" (12211) risposta. Il problema di protezione può verificarsi a questo punto, perché le credenziali di base potrebbe essere già state ricevute tramite HTTP, prima di inviata la risposta "403".
Risoluzione
Per risolvere il problema, applicare aggiornamento della protezione MS05-034. Per scaricare questo aggiornamento per la protezione, il seguente sito Microsoft Web: avviso Può causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Aggiornamento per la protezione consente di controllare se l'ISA Server le richieste di autenticazione di base per non protetto in ingresso HTTP richieste Web. Se si desidera che ISA Server autenticazione di base richiesta per le connessioni non protette, aggiungere la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\AllowAskBasicAuthOverNonSecureConnection : DWORD : 1
Per impostazione predefinita, ISA Server non richiede l'autenticazione di base su connessioni sulla protezione quando si applica questo aggiornamento. Se si desidera che questo comportamento si verifichi, eliminare questa chiave del Registro di sistema oppure impostare il valore della chiave del Registro di sistema su 0.

Se si installa questo aggiornamento per la protezione, ISA Server invia immediatamente una risposta "403" client invece di una risposta "401" quando le seguenti condizioni sono vere:
  • La chiave del Registro di sistema è sia mancante o impostato su 0.
  • La richiesta viene inviata su HTTP.
  • L'autenticazione di base è possibile configurare il listener Incoming Web Requests.
Nota Se si installa questo aggiornamento per la protezione, l'autenticazione di base non può essere utilizzato per non protetto richieste Web in ingresso, anche se altre regole di pubblicazione Web sono configurate per l'utilizzo dell'autenticazione di base. Poiché l'autenticazione di base su HTTP non è un metodo di autenticazione protetta, non è consigliabile utilizzare l'autenticazione di base in Web basati su HTTP scenari di pubblicazione.
Informazioni
Per configurare l'autenticazione di base sul listener Incoming Web Requests, attenersi alla seguente procedura:
  1. Nella finestra di ISA Server (MMC), fare clic con il pulsante destro del mouse sul server o della matrice e scegliere Proprietà .
  2. Fare clic sul Incoming Web Requests scheda e quindi scegliere l'autenticazione di base .
Per configurare SSL richiesto la regola di pubblicazione Web, attenersi alla seguente procedura:
  1. Nella MMC di ISA Server, espandere Publishing e quindi espandere Web Publishing Rules .
  2. Fare clic con il pulsante destro del mouse sulla regola che si desidera configurare e quindi fare clic su Proprietà .
  3. Fare clic sulla scheda bridging e quindi fare clic su per selezionare la casella di controllo Richiedi SSL .
Per configurare la regola di pubblicazione Web per l'autenticazione utente, attenersi alla seguente procedura:
  1. Nella MMC di ISA Server, espandere Publishing e quindi espandere Web Publishing Rules .
  2. Fare clic con il pulsante destro del mouse sulla regola che si desidera configurare e quindi fare clic su Proprietà .
  3. Fare clic sulla scheda si applica a e quindi selezionare gli utenti che sono autorizzati ad accedere le regole di pubblicazione Web.
Status
Microsoft ha confermato che questo problema riguarda i prodotti sono elencati nella sezione "Si applica a".

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 821724 - Ultima revisione: 02/27/2014 07:49:49 - Revisione: 5.10

  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbhotfixserver kbqfe kbisaserv2000presp2fix kbfix kbbug KB821724 KbMtit
Feedback