Guía de implementación y aplicación de "Protección ampliada" para prevenir MITM

5

Protección ampliada ( enlace ) ( link ) es una función en Windows 7 y Windows 2008 R2 que previene ciertos ataques MITM.

¿Alguien tiene un manual (o explicación en inglés simple) de qué es esta característica, y si hay otros beneficios además de la protección MITM?

¿Cómo audito, controlo y verifico que mis aplicaciones están usando esta tecnología?

¿Hay alguna forma en que pueda identificar las aplicaciones que no utilizan esta tecnología e informar sobre ellas o inhabilitarlas administrativamente?

¿Hay casos en los que la protección ampliada no es deseada o es incompatible de otra manera?

    
pregunta random65537 24.09.2011 - 22:10
fuente

2 respuestas

7

Protección ampliada es la implementación de la Solicitud de comentarios (RFC) 5056 de Microsoft, y existe para verificar la autenticidad de la capa de transporte en un intercambio de autenticación de Windows integrada (IWA). La protección ampliada no proporciona ninguna otra característica documentada.

En un intercambio IWA hay dos canales creados; un canal de transporte externo (TLS / SSL) y un canal de autenticación interno (Kerberos, Digest o NTLM).

La Protección extendida comprueba que el canal externo que llega al lado del servidor coincide con el canal externo abierto en el lado del cliente. El servidor verifica que el canal externo en el lado del cliente coincida con la información proporcionada por el cliente en el intercambio del canal interno. Si los extremos de los dos canales no coinciden, el servidor rechaza la solicitud del cliente.

El intercambio de autenticación de IWA es susceptible a un ataque de reproducción específicamente "retransmisión de credenciales" cuando no se usa la Protección ampliada.

Para que funcione la Protección ampliada

  1. Aplique las actualizaciones mencionadas en KB973811 enlace según sea necesario.
  2. Establezca la clave de registro para que los clientes habiliten la funcionalidad de inclusión como se especifica aquí KB968389 ( enlace ).
  3. Configure IIS 7.5, 7.0, 6.0 como se especifica en KB973917 ( enlace o enlace o enlace authentication.aspx).
  4. Es posible que se requieran algunos cambios en las aplicaciones de servidor y clientes, tal como se especifica aquí enlace si es personalizado Se utilizan mecanismos de autenticación.

Controlar la protección ampliada

La protección extendida opera en tres modos Desactivado (también conocido como Nunca), Aceptar (también conocido como Cuándo es compatible) y Siempre. Cuando se establece en Siempre, se requiere protección extendida para las comunicaciones. Cuando se utiliza este modo, se rechazan los clientes que no admiten la protección ampliada.

El cliente rechazado por Extended Protection registrará los mensajes en un rastreo HttpListener. Si está configurado en aplicaciones para obtener más información sobre cómo hacerlo, consulte enlace .

Soporte para protección extendida

No todas las situaciones admiten la protección ampliada. Si está ejecutando versiones más recientes de Windows de extremo a extremo, es probable que la protección ampliada sea fácil de implementar. Si tiene un entorno mixto con Kerberos o NTLM a través de servidores proxy que no sean Windows o delegue, su implementación puede requerir más trabajo.

Los navegadores de terceros que no están basados en .NET o Internet Explorer (como Chrome y Firefox, Safari) generalmente no admiten la protección ampliada, aunque pueden ser compatibles con IWA. Esto puede ser un problema si necesita interoperar con sistemas fuera de su red corporativa o si su red corporativa utiliza una combinación de navegadores.

    
respondido por el Bernie White 26.09.2011 - 14:34
fuente
1

La versión estable más reciente de Chrome (versión 51.0.2704.84) ahora es compatible con la protección extendida y la experiencia de SSO es similar a la de IE

    
respondido por el Bennie Lopez 21.06.2016 - 00:51
fuente

Lea otras preguntas en las etiquetas