TechNet
Knihovna TechNet

Přesměrovač WebDAV

K čemu slouží přesměrovač WebDav?

Přesměrovač WebDav (DAVRdr) umožňuje počítačům se systémem Windows Server 2003 používat servery WebDAV (Web-based Distributed Authoring and Versioning), jako je Windows SharePoint Services a MSN Communities, jako by se jednalo o standardní souborové servery. Obsahuje součást jádra, která se připojuje k vzdálenému zásobníku systému souborů Windows NT, a součást na úrovni uživatelů (webovou klientskou službu), která překládá požadavky na systém souborů na požadavky WebDAV.

Koho se tato funkce týká?

Tuto funkci používají lidé, kteří získávají přístup na servery WebDAV, prostřednictvím systému vzdálených souborů. Přesměrovač WebDAV je implementován v zásobníku systému vzdálených souborů. Správci klientů a uživatelé, kteří mají starost o bezpečnost pověření jejich počítače, potřebují vědět o této změně, pokud otevírají vzdálené soubory na serveru WebDAV pomocí cesty ve formátu UNC, například požadavek na soubor, jako je například \\Název_serveru\Název_sdílené_složky\Soubor.txt, bude zpracován přesměrovačem WebDAV a tato změna bude mít vliv na jeho funkce.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 systému Windows Server 2003?

Vypnutí základního ověřování přes volný kanál

Podrobný popis

Přesměrovač WebDAV je rozšíření protokolu HTTP a jako takový zahrnuje použití základního ověřování (BasicAuth). Základní ověřování je jedna forma uživatelského ověřování nebo prostředek, jakým se uživatel identifikuje na serveru. Při základním ověřování klient přenáší na server pověření uživatele (uživatelské jméno a heslo). Pokud není kanál šifrovaný, jako při běžném provozu HTTP, může libovolný počítač v síti vidět uživatelské jméno a heslo uživatele a tedy ukrást jeho identitu. Přesměrovač WebDav nepodporuje šifrované protokoly HTTP (HTTPS nebo SSL) a přenese pověření uživatele volně (bez šifrování), pokud server podporuje základní ověřování. Ačkoli server velmi pravděpodobně nebude konfigurován k použití základního ověřování, bude možné ho výslovně nastavit na získání pověření uživatelů.

Vzhledem k této možnosti obsahuje systém Windows Server 2003 Service Pack 1 (SP1) možnost povolit nebo zakázat použití základního ověřování přesměrovačem WebDav. Ve výchozím nastavení je použití základního ověřování s aktualizací SP1 vypnuto. Když je základní ověřování vypnuto, klient použije jiný způsob ověřování (pokud server nějaký podporuje) nebo požadavek selže.

Proč je tato změna důležitá?

Uživatelé se mohou přihlásit k serverům WebDAV, aby mohli získat přístup k vzdáleným souborům, beze strachu, že bude jejich heslo volně přeneseno.

Jaká nebezpečí pomáhá zmírnit?

Představte si podnikového uživatele ve společnosti Contoso Corporation, který pravidelně otevírá soubory ve sdílené složce v adresáři \\Contoso_Server\Prodej mimo společnost ve veřejné síti a používá aplikaci, která se pokouší otevřít soubory v této sdílené složce jako součást běžné činnosti na pozadí. Protože je přenosný počítač tohoto uživatele mimo podnikovou síť, měl by tento požadavek selhat. Přesměrovač WebDav však přenese požadavek a zjistí, zda existuje server DAV nazvaný Contoso_Server, i když skutečný server, ke kterému se přenosný počítač pokouší připojit, je server SMB.

Ve stejné veřejné síti může operovat útočník s počítačem, který podvrhuje požadavky WINS a jako odpověď na jakýkoli požadavek WINS vrací odkazy na sebe. Přenosný počítač se potom pokusí získat přístup ke sdílené složce DAV na tomto koncovém serveru. Pokud koncový server odpoví a jako metodu ověřování použije základní ověřování, zobrazí se dialogové okno požadující pověření uživatele. V dialogovém okně je server identifikován jako Contoso_Server, což vede k tomu, že uživatel věří, že požadavek je legitimní. Pokud uživatel zadá uživatelské jméno a heslo, klient tyto informace přenese volně a útočník tak získá přístup k přihlašovacím informacím příslušného uživatele. Uživateli není žádným způsobem indikováno, že kanál není bezpečný a že požadavek je zpracován přesměrovačem WebDav nebo že přenosný počítač přenese uživatelské jméno a heslo volně. Poznámka: Aktuální výchozí ověřovací metody systému Windows nikdy nepřenášejí heslo uživatele volně.

Co funguje jinak?

Protože změna výchozího chování ovlivňuje pouze přesměrovač WebDav, budou jediné scénáře, které nebudou fungovat, ty, které vyžadují základní ověřování, a ty, které používají přesměrovač WebDav. Příkladem je použití programu Notepad.exe k získání přístupu na web, který povoluje pouze základní ověřování. Tento scénář již nebude fungovat. Dokonce i kdyby byl server konfigurován pouze na použití základního ověřování, budou ostatní aplikace, jako například aplikace sady Microsoft Office i nadále fungovat, protože používají jiného klienta DAV.

Jak tyto problémy vyřešit?

Základní ověřování můžete povolit přidáním následujícího klíče registru a jeho nastavením na nenulovou hodnotu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \WebClient\Parameters\UseBasicAuth (DWORD)

Pokud smažete klíč registru nebo ho nastavíte na hodnotu 0, bude obnoveno výchozí chování nebo bude vypnuto použití základního ověřování.

WinINet: Vypnutí základního ověřování přes volný kanál

Podrobný popis

Protože je přesměrovač WebDav částí zásobníku systému vzdálených souborů, je počítač při každém pokusu o vzdálený přístup k souborům otevřený vůči útoku. Ačkoli je nebezpečí pro jiné aplikace, které používají internetová rozhraní API méně vážné než pro přesměrovač WebDav, je podobný útok možný vždy, když se aplikace (nebo uživatel) pokusí připojit k adrese URL. Z tohoto důvodu rozhraní WinINet odkrývá mechanismus, kterým přesměrovač WebDav vypne základní ověřování pro ostatní uživatele internetových rozhraní API.

Existují dva způsoby, jak blokovat použití základního ověřování přes volné (nebo nešifrované) kanály.

  • Vytvořte následující klíč registru a nastavte ho na nenulovou hodnotu.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\ Internet Settings\DisableBasicOverClearChannel (DWORD)
    Rozhraní WinINet se tak nebude moci pokusit použít základní ověřování, pokud není kanál zabezpečený (pomocí protokolu HTTPS nebo SSL).
  • Aplikace může vypnout použití základního ověřování pro svá připojení nastavením příznaku AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL (0x4) v hodnotě dodané ve volání funkce InternetSetOption pomocí INTERNET_OPTION_AUTH_FLAGS.

Proč je tato změna důležitá?

Uživatelé se mohou přihlásit k serverům WebDAV, aby mohli získat přístup k vzdáleným souborům, beze strachu, že bude jejich heslo volně přeneseno.

Jaká nebezpečí pomáhá zmírnit?

Představte si podnikového uživatele, který se pravidelně přihlašuje k webu http://www.contoso.com/prodej. Zatímco se nachází mimo podnik ve veřejné síti, pokouší se přihlásit na tento server pomocí aplikace Internet Explorer. Protože se přenosný počítač nachází mimo podnik, měl by tento požadavek selhat a měla by se zobrazit zpráva, že server nebyl nalezen. Útočník může používat v té stejné veřejné síti počítač, který podvrhuje požadavky WINS a jako odpověď na jakékoli vyhledávání WINS vrací odkazy na sebe. Přenosný počítač se potom pokusí odeslat požadavek HTTP k načtení stánky z koncového serveru. Pokud koncový server odpoví a jako metodu ověřování použije základní ověřování, odpoví přenosný počítač uživateli požadavkem na pověření. Identifikuje server http://www.contoso.com/prodej, což vede k tomu, že uživatel věří, že požadavek je legitimní. Pokud uživatel zadá uživatelské jméno a heslo, klient tyto informace přenese volně a útočník tak získá přístup k přihlašovacím informacím příslušného uživatele. Uživateli není žádným specifickým způsobem indikováno, že kanál není bezpečný nebo že přenosný počítač přenese uživatelské jméno a heslo volně.

Co funguje jinak?

Při výchozím nastavení nedochází k žádné změně chování aplikací WinINet (s výjimkou přesměrovače WebDav, jak je uvedeno výše). Pokud je toto nastavení vypnuto, uživatel není schopen se připojit k serverům HTTP, které podporují pouze základní ověřování.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Nastavení přesměrovače WebDAV

Název nastavení Umístění Předchozí výchozí hodnota (pokud je k dispozici) Výchozí hodnoty Možné hodnoty

UseBasicAuth

HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services \WebClient \Parameters \UseBasicAuth

Neuvedeno

Klíč neexistuje.

(Základní ověřování pro přesměrovač WebDav bylo vypnuto.)

0, nenulová hodnota

DisableBasicOverClearChannel

HKCU\SOFTWARE \Microsoft \Windows \CurrentVersion \Internet Settings \DisableBasicOverClearChannel

Neuvedeno

Klíč neexistuje (základní ověřování zapnuto pro vše ostatní).

0, nenulová hodnota

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 s aktualizací Service Pack 1?

Žádné změny nejsou nutné. Vývojáři, kteří píší aplikace používající internetová rozhraní API a chtějí vypnout základní ověřování, jako je například přesměrovač WebDav, mohou přidat volání funkce InternetSetOptions().

Obsah vytvořený komunitou

Zobrazit:
© 2016 Microsoft