Exportar (0) Imprimir
Expandir Todos

Redireccionador WebDAV

Qual a função do Redireccionador WebDAV?

O Redireccionador WebDAV (DAVRdr) permite aos computadores com o Windows Server 2003 utilizar servidores WebDAV (Web-based Distributed Authoring and Versioning), como, por exemplo, Windows SharePoint Services e MSN Communities, como se fossem servidores de ficheiros padrão. Consiste num componente kernel que liga a uma pilha do sistema de ficheiros remoto do Windows NT e num componente de nível de utilizador (serviço de cliente Web) que converte os pedidos do sistema de ficheiros em pedidos WebDAV.

A quem se aplica esta função?

Esta função é usada pelos utilizadores que acedem a servidores WebDAV através do sistema de ficheiros remoto. O Redireccionador WebDAV é implementado na pilha do sistema de ficheiros remoto. Os administradores de clientes e utilizadores que se preocupam com a segurança das suas credenciais do computador, devem estar conscientes desta alteração caso acedam a ficheiros remotos num servidor WebDAV utilizando um caminho de Convenção de Nomenclatura Universal (UNC, Universal Naming Convention), por exemplo, um pedido de ficheiro como \\NomeServidor\NomePartilha\Ficheiro.txt será processado pelo Redireccionador WebDAV e será afectado por esta alteração ao nível da funcionalidade.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Desactivar a Autenticação Básica sobre um canal livre

Descrição detalhada

O WebDAV é uma extensão do HTTP (Hypertext Transfer Protocol, Protocolo de Transferência de Hipertexto) e, como tal, inclui a utilização da Autenticação Básica (BasicAuth). BasicAuth corresponde a uma forma de autenticação do utilizador ou a um método através do qual um utilizador é identificado perante o servidor. Com BasicAuth, o cliente transmite as credenciais do utilizador (nome de utilizador e palavra-passe) ao servidor. Se o canal não for encriptado, como acontece com o tráfego HTTP normal, qualquer computador na rede consegue ver o nome de utilizador e a palavra-passe do utilizador e, assim, apropriar-se da sua identidade. O DAVRdr não suporta HTTP encriptado (HTTPS ou SSL) e transmitirá as credenciais do utilizador em texto simples (sem encriptação) se o servidor suportar a autenticação básica. Embora seja pouco provável configurar um servidor para utilizar a autenticação básica, seria possível configurá-lo para obter expressamente as credenciais dos utilizadores.

Devido a esta possibilidade, o Windows Server 2003 Service Pack 1 (SP1) permite activar ou desactivar a utilização de BasicAuth pelo DAVRdr. Por predefinição, no SP1 a utilização de BasicAuth está desactivada. Se o BasicAuth estiver desactivado, o cliente deverá utilizar um método de autenticação diferente (caso o servidor suporte) ou o pedido falhará.

Porque é que esta alteração é importante?

Os utilizadores podem iniciar sessão nos servidores WebDAV para acesso a ficheiros remotos sem receio de transmitir as suas palavras-passe em texto simples.

Que ameaças ajuda a atenuar?

Imagine a um utilizador empresarial da Contoso Corporation que acede frequentemente à partilha de ficheiros \\Servidor_Contoso\Vendas fora da empresa numa rede pública e utiliza uma aplicação que tenta aceder a essa partilha como parte da actividade normal em segundo plano. Uma vez que o computador portátil do utilizador está fora da rede empresarial, o pedido deverá falhar. Contudo, o DAVRdr transmitirá um pedido para verificar se existe um servidor DAV denominado Servidor_Contoso, apesar de o servidor real ao qual o computador portátil está a tentar aceder seja um servidor SMB.

Pode haver um atacante a operar nessa mesma rede pública com um computador que falsifica pedidos WINS, que devolve um apontador para si próprio em resposta a qualquer pedido WINS. O computador portátil tentará então aceder a uma partilha DAV nesse servidor não controlado. Se o servidor não controlado responder utilizando o método de autenticação BasicAuth, será apresentada uma caixa de diálogo a solicitar as credenciais do utilizador. A caixa de diálogo identifica o servidor como Servidor_Contoso, levando o utilizador a acreditar que se trata de um pedido legítimo. Se o utilizador introduzir o seu nome de utilizador e palavra-passe, o cliente transmite essas informações em texto simples e o atacante obtém assim acesso às informações de início de sessão desse utilizador. O utilizador não recebe nenhuma indicação de que o canal não é seguro, de que o pedido está a ser processado pelo DAVRdr ou de que o computador portátil irá transmitir o nome de utilizador e a palavra-passe em texto simples. Note que os métodos actuais de autenticação do Windows predefinidos nunca transmitem a palavra-passe de um utilizador em texto simples.

O que funciona de maneira diferente?

Uma vez que a alteração do comportamento predefinido afectar apenas o DAVRdr, os únicos cenários que não vão funcionar são os que requerem a autenticação básica e que utilizam o DAVRdr. Exemplo disto é a utilização do Notepad.exe para aceder a um Web site que permite apenas BasicAuth. Este cenário já não funciona. Além disso, mesmo que o servidor tenha sido configurado para utilizar apenas a autenticação básica, as outras aplicações, tal como o Microsoft Office, continuarão a funcionar, uma vez que utilizam um cliente DAV diferente.

Como posso resolver estes problemas?

Pode activar o BasicAuth adicionando a chave de registo seguinte e definindo um valor diferente de zero para a mesma:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \WebClient\Parameters\UseBasicAuth (DWORD)

Se eliminar a chave de registo ou a definir como 0, o comportamento reverterá para a predefinição, ou seja, desactivar a utilização de BasicAuth.

WinINet: Desactivar a Autenticação Básica sobre um canal livre

Descrição detalhada

Uma vez que o DAVRdr faz parte da pilha do sistema de ficheiros remoto, um computador está susceptível a ataques sempre que é feita uma tentativa de acesso remoto a ficheiros. Apesar de a ameaça ser menor para as aplicações que utilizam as APIs da Internet do que para o DAVRdr, é possível ocorrer um ataque semelhante sempre que uma aplicação (ou o utilizador) tenta aceder a um URL. Por este motivo, o WinINet revela o mecanismo pelo qual o DAVRdr desactiva o BasicAuth aos outros utilizadores das APIs da Internet.

Existem duas formas de bloquear a utilização da Autenticação Básica sobre canais livres (ou não encriptados):

  • Crie a chave de registo seguinte e defina-a com um valor diferente de zero.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\ Internet Settings\DisableBasicOverClearChannel (DWORD)
    Isto impede o WinINet de tentar utilizar BasicAuth, a menos que o canal seja seguro (através de HTTPS ou SSL).
  • A aplicação pode desactivar a utilização de BasicAuth nas suas ligações definindo o sinalizador AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL (0x4) no valor fornecido na chamada para InternetSetOption utilizando INTERNET_OPTION_AUTH_FLAGS.

Porque é que esta alteração é importante?

Os utilizadores podem iniciar sessão nos servidores WebDAV para acesso a ficheiros remotos sem receio de transmitir as suas palavras-passe em texto simples.

Que ameaças ajuda a atenuar?

Imagine um utilizador empresarial que acede frequentemente ao Web site http://www.contoso.com/vendas. Encontrando-se fora da empresa, numa rede pública, o utilizador tenta aceder ao site utilizando o Internet Explorer. Uma vez que o computador portátil está fora da empresa, o pedido devia falhar apresentando a mensagem "Servidor não encontrado". Pode haver um atacante nessa mesma rede pública com um computador que falsifica pedidos WINS, que devolve um apontador para si próprio em resposta a qualquer pesquisa WINS. O computador portátil tentará enviar o pedido de HTTP para carregar a página a partir do servidor não controlado. Se o servidor não controlado responder com BasicAuth como método de autenticação, o computador portátil responde ao utilizador, solicitando as suas credenciais. Identifica o site http://www.contoso.com/vendas, levando o utilizador a acreditar que se trata de um pedido legítimo. Se o utilizador introduzir o seu nome de utilizador e palavra-passe, o cliente transmitirá essas informações em texto simples e o atacante obtém, assim, acesso às informações de início de sessão desse utilizador. Em particular, o utilizador não recebe nenhuma indicação de que o canal não é seguro ou de que o computador portátil irá transmitir o nome de utilizador e a palavra-passe em texto simples.

O que funciona de maneira diferente?

Por predefinição, não ocorreram alterações no comportamento das aplicações WinINet (à excepção de DAVRdr, conforme mencionado acima). Se esta definição estiver desactivada, o utilizador não conseguirá ligar aos servidores HTTP que só suportam a Autenticação Básica.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

Definições do Redireccionador WebDAV

Nome da definição Localização Valor predefinido anterior (se aplicável) Valores predefinidos Valores possíveis

UseBasicAuth

HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services \WebClient \Parameters \UseBasicAuth

Não aplicável.

Não existe chave.

(BasicAuth desactivado para DAVRdr)

0, diferente de zero

DisableBasicOverClearChannel

HKCU\SOFTWARE \Microsoft \Windows \CurrentVersion \Internet Settings \DisableBasicOverClearChannel

Não aplicável.

Não existe chave. (BasicAuth activado para o restante)

0, diferente de zero

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Não são necessárias alterações. Os programadores de aplicações que utilizam as APIs da Internet e pretendem desactivar BasicAuth, tal como o DAVRdr, podem adicionar uma chamada a InternetSetOptions().

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2014 Microsoft