Erweiterte Schutzrichtlinie
In diesem Artikel wird das ExtendedProtection-Beispiel beschrieben.
Der erweiterte Schutz ist eine Sicherheitsinitiative zum Schutz vor Man-In-The-Middle-Angriffen (MITM-Angriff, Janusangriff). Ein MITM-Angriff ist eine Sicherheitsbedrohung, bei der ein MITM die Anmeldeinformationen eines Clients an einen Server weiterleitet.
Diskussion (Discussion)
Wenn sich Anwendungen über Kerberos, Digest oder NTLM mit HTTPS authentifizieren, wird zunächst ein Transport Level Security (TLS)-Kanal eingerichtet. Die Authentifizierung erfolgt dann über den sicheren Kanal. Zwischen dem von SSL und dem bei der Authentifizierung erstellten Sitzungsschlüssel besteht jedoch keine Bindung. Jeder MITM kann sich zwischen den Client und den Server schalten und anfangen, die Anforderungen vom Client weiterzuleiten, auch wenn der Transportkanal selbst sicher ist. Der Server selbst kann nicht feststellen, ob der sichere Kanal vom Client oder von einem MITM eingerichtet wurde. Die Lösung bei einem Szenario dieser Art besteht darin, den äußeren TLS-Kanal mit dem inneren Authentifizierungskanal auf eine Weise zu binden, die es dem Server ermöglicht, festzustellen, ob es einen MITM gibt.
Hinweis
Dieses Beispiel funktioniert nur, wenn es auf IIS gehostet wird.
Hinweis
Die folgenden Schritte gelten für Windows 7.
So können Sie das Beispiel einrichten, erstellen und ausführen
Installieren Sie Internetinformationsdienste über Systemsteuerung, Software, Windows-Funktionen.
Installieren Sie die Windows-Authentifizierung unter Windows-Funktionen, Internetinformationsdienste, WWW-Dienste, Sicherheit und Windows-Authentifizierung.
Installieren Sie die Windows Communication Foundation-HTTP-Aktivierung unter Windows-Funktionen, Microsoft .NET Framework 3.5.1 und Windows Communication Foundation-HTTP-Aktivierung.
In diesem Beispiel muss der Client eine Verbindung über einen sicheren Kanal zum Server herstellen. Dazu muss ein Serverzertifikat vorliegen, das im IIS (Internet Information Services)-Manager installiert werden kann.
Öffnen Sie IIS-Manager. Öffnen Sie bei ausgewähltem Stammknoten (Computername) in der Registerkarte Funktionsansicht die Option Serverzertifikate.
Erstellen Sie zum Testen dieses Beispiels ein selbstsigniertes Zertifikat. Wenn Sie vom Browser keine Meldung hinsichtlich der fehlenden Sicherheit des Zertifikats erhalten möchten, installieren Sie das Zertifikat im entsprechenden Autoritätsspeicher für vertrauenswürdige Zertifikate.
Öffnen Sie den Aktionsbereich der Standardwebsite. Klicken Sie auf Site bearbeiten, Bindungen. Fügen Sie HTTPS als Typ hinzu, wenn nicht bereits vorhanden ist, und geben Sie die Portnummer 443 an. Weisen Sie das im vorangehenden Schritt erstellte SSL-Zertifikat zu.
Erstellen Sie den Dienst. Hierdurch wird ein virtuelles Verzeichnis in IIS erstellt. Die DLL-, SVC- und CONFIG-Dateien, die dafür erforderlich sind, dass der Dienst über das Web gehostet wird, werden kopiert.
Öffnen Sie IIS-Manager. Klicken Sie mit der rechten Maustaste auf das virtuelle Verzeichnis (ExtendedProtection), das im vorangehenden Schritt erstellt wurde. Wählen Sie In Anwendung konvertieren aus.
Öffnen Sie das Authentifizierungsmodul für das virtuelle Verzeichnis in IIS Manager, und aktivieren Sie die Windows-Authentifizierung.
Öffnen Sie Erweiterte Einstellungen unter Windows-Authentifizierung für dieses virtuelle Verzeichnis, und legen Sie es auf Erforderlich fest.
Sie können den Dienst testen, indem Sie die HTTPS-URL in einem Browserfenster öffnen. (Geben Sie einen vollqualifizierten Domänennamen an.) Möchten Sie von einem Remotecomputer aus auf die URL zugreifen, konfigurieren Sie die Firewall entsprechend, damit ein- und ausgehende HTTP- und HTTPS-Verbindungen hergestellt werden können.
Öffnen Sie die Clientkonfigurationsdatei, und geben Sie einen vollqualifizierten Domänennamen für das Client- oder Endpunktadressattribut das, mit dem der
<<full_machine_name>>ersetzt wird.Führen Sie den Client aus. Der Client kommuniziert mit dem Dienst, der einen sicheren Kanal einrichtet und den erweiterten Schutz verwendet.