Sdílet prostřednictvím

Zásady rozšířené ochrany

  • Článek

Tento článek popisuje ukázku ExtendedProtection.

Rozšířená ochrana je iniciativa zabezpečení pro ochranu před útoky mitm (man-in-the-middle). Útok MITM je bezpečnostní hrozba, ve které MITM přebírá přihlašovací údaje klienta a předává ho na server.

Diskuse

Když se aplikace ověřují pomocí protokolu Kerberos, Digest nebo NTLM pomocí protokolu HTTPS, vytvoří se nejprve kanál TLS (Transport Level Security) a pak proběhne ověřování pomocí zabezpečeného kanálu. Neexistuje však žádná vazba mezi klíčem relace vygenerovaným protokolem SSL a klíčem relace vygenerovaným během ověřování. Jakýkoli MITM se může mezi klientem a serverem navázat a začít předávat požadavky od klienta, i když je samotný přenosový kanál zabezpečený, protože server nemá žádný způsob, jak zjistit, jestli byl zabezpečený kanál vytvořen od klienta nebo MITM. Řešením v tomto scénáři je vytvořit vazbu vnějšího kanálu TLS s vnitřním ověřovacím kanálem tak, aby server mohl zjistit, jestli existuje MITM.

Poznámka:

Tato ukázka funguje jenom v případě, že je hostovaná ve službě IIS.

Poznámka:

Následující kroky jsou specifické pro Systém Windows 7.

Nastavení, sestavení a spuštění ukázky

  1. Nainstalujte Internetová informační služba z Ovládací panely, přidat nebo odebrat programy, funkce systému Windows.

  2. Nainstalujte ověřování systému Windows do funkcí systému Windows, Internetová informační služba, webových služeb, zabezpečení a ověřování systému Windows.

  3. Nainstalujte aktivaci protokolu HTTP služby Windows Communication Foundation ve funkcích systému Windows, rozhraní Microsoft .NET Framework 3.5.1 a aktivaci http služby Windows Communication Foundation.

  4. Tato ukázka vyžaduje, aby klient vytvořil zabezpečený kanál se serverem, takže vyžaduje přítomnost certifikátu serveru, který je možné nainstalovat ze správce Internetová informační služba (IIS).

    1. Otevřete správce služby IIS. Otevřete certifikáty serveru, které se zobrazí na kartě Zobrazení funkcí při výběru kořenového uzlu (názvu počítače).

    2. Pro účely testování této ukázky vytvořte certifikát podepsaný svým držitelem. Pokud nechcete, aby se v prohlížeči zobrazila výzva k nezabezpečování certifikátu, nainstalujte certifikát do úložiště důvěryhodných kořenových certifikačních autorit.

  5. Otevřete podokno Akce pro výchozí web. Klikněte na Upravit web, vazby. Pokud ještě není k dispozici, přidejte https jako typ s číslem portu 443. Přiřaďte certifikát SSL vytvořený v předchozím kroku.

  6. Sestavte službu. Tím se vytvoří virtuální adresář ve službě IIS a zkopíruje se soubory .dll, .svc a .config podle potřeby, aby služba byla hostovaná na webu.

  7. Otevřete správce služby IIS. Klikněte pravým tlačítkem myši na virtuální adresář (ExtendedProtection), který byl vytvořen v předchozím kroku. Vyberte Převést na aplikaci.

  8. Otevřete modul ověřování ve Správci služby IIS pro tento virtuální adresář a povolte ověřování systému Windows.

  9. Otevřete rozšířené Nastavení v části Ověřování systému Windows pro tento virtuální adresář a nastavte ho na Povinné.

  10. Službu můžete otestovat přístupem k adrese URL HTTPS z okna prohlížeče (Zadejte plně kvalifikovaný název domény). Pokud chcete získat přístup k této adrese URL ze vzdáleného počítače, ujistěte se, že je brána firewall otevřená pro všechna příchozí připojení HTTP a HTTPS.

  11. Otevřete konfigurační soubor klienta a zadejte plně kvalifikovaný název domény pro atribut adresy klienta nebo koncového bodu, který nahrazuje <<full_machine_name>>.

  12. Spusťte klienta. Klient komunikuje se službou, která vytváří zabezpečený kanál a používá rozšířenou ochranu.