Protección ampliada es la implementación de la Solicitud de comentarios (RFC) 5056 de Microsoft, y existe para verificar la autenticidad de la capa de transporte en un intercambio de autenticación de Windows integrada (IWA). La protección ampliada no proporciona ninguna otra característica documentada.
En un intercambio IWA hay dos canales creados; un canal de transporte externo (TLS / SSL) y un canal de autenticación interno (Kerberos, Digest o NTLM).
La Protección extendida comprueba que el canal externo que llega al lado del servidor coincide con el canal externo abierto en el lado del cliente. El servidor verifica que el canal externo en el lado del cliente coincida con la información proporcionada por el cliente en el intercambio del canal interno. Si los extremos de los dos canales no coinciden, el servidor rechaza la solicitud del cliente.
El intercambio de autenticación de IWA es susceptible a un ataque de reproducción específicamente "retransmisión de credenciales" cuando no se usa la Protección ampliada.
Para que funcione la Protección ampliada
- Aplique las actualizaciones mencionadas en KB973811 enlace según sea necesario.
- Establezca la clave de registro para que los clientes habiliten la funcionalidad de inclusión como se especifica aquí KB968389 ( enlace ).
- Configure IIS 7.5, 7.0, 6.0 como se especifica en KB973917 ( enlace o enlace o enlace authentication.aspx).
- Es posible que se requieran algunos cambios en las aplicaciones de servidor y clientes, tal como se especifica aquí enlace si es personalizado Se utilizan mecanismos de autenticación.
Controlar la protección ampliada
La protección extendida opera en tres modos Desactivado (también conocido como Nunca), Aceptar (también conocido como Cuándo es compatible) y Siempre. Cuando se establece en Siempre, se requiere protección extendida para las comunicaciones. Cuando se utiliza este modo, se rechazan los clientes que no admiten la protección ampliada.
El cliente rechazado por Extended Protection registrará los mensajes en un rastreo HttpListener. Si está configurado en aplicaciones para obtener más información sobre cómo hacerlo, consulte enlace .
Soporte para protección extendida
No todas las situaciones admiten la protección ampliada. Si está ejecutando versiones más recientes de Windows de extremo a extremo, es probable que la protección ampliada sea fácil de implementar. Si tiene un entorno mixto con Kerberos o NTLM a través de servidores proxy que no sean Windows o delegue, su implementación puede requerir más trabajo.
Los navegadores de terceros que no están basados en .NET o Internet Explorer (como Chrome y Firefox, Safari) generalmente no admiten la protección ampliada, aunque pueden ser compatibles con IWA. Esto puede ser un problema si necesita interoperar con sistemas fuera de su red corporativa o si su red corporativa utiliza una combinación de navegadores.