TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

WebDAV Redirector

Wat doet de WebDAV-redirector?

Door toepassing van WebDAV-redirector (DAVRdr) kan op computers waarop Windows Server 2003 wordt uitgevoerd, gebruikgemaakt wordenvan WebDAV-servers (Web-based Distributed Authoring and Versioning), zoals Windows SharePoint Services en MSN Communities, alsof het standaardbestandsservers betrof. De redirector bestaat uit een kernelonderdeel dat verbinding maakt met een externe Windows NT-bestandssysteemstack en een onderdeel op gebruikersniveau (webclientservice) dat bestandssysteemverzoeken omzet in WebDAV-verzoeken.

Op wie is deze functie van toepassing?

Deze functie wordt gebruikt door mensen die WebDAV-servers benaderen via het externe bestandssysteem. De WebDAV-redirector wordt geïmplementeerd in de externe bestandssysteemstack. Beheerders en gebruikers van clientcomputers die zich zorgen maken over de beveiliging van hun computerreferenties moeten op de hoogte zijn van deze wijzigingen als zij externe bestanden op een WebDAV-server benaderen via een UNC-pad (Universal Naming Convention). Zo wordt een bestandsverzoek van de vorm \\Servernaam\Sharenaam\Bestand.txt verwerkt door de WebDAV-redirector en dus getroffen door deze wijziging in de functionaliteit.

Welke nieuwe functionaliteit is aan deze functie toegevoegd in Windows Server 2003 Service Pack 1?

Basisverificatie via een ongecodeerd kanaal uitschakelen

Gedetailleerde beschrijving

WebDAV is een uitbreiding van het HTTP-protocol (Hypertext Transfer Protocol) en ondersteunt als zodanig het gebruik van basisverificatie (BasicAuth). BasicAuth is een vorm van gebruikersverificatie of een methode om de identiteit van gebruikers vast te stellen op de server. Bij gebruik van BasicAuth verstuurt de client de referenties van de gebruiker (gebruikersnaam en wachtwoord) naar de server. Als het kanaal niet gecodeerd is, zoals gebruikelijk is bij normaal HTTP-verkeer, kunnen de gebruikersnaam en het wachtwoord van de gebruiker op elke computer in het netwerk worden 'gezien' en gekaapt. De DAVRdr ondersteunt codering van het HTTP-protocol (via HTTPS of SSL) niet en verstuurt de referenties van de gebruiker in ongecodeerde vorm, als de server ondersteuning biedt voor basisverificatie. Hoewel het niet waarschijnlijk is dat een server zo wordt geconfigureerd dat basisverificatie wordt gebruikt, is het wel mogelijk de server zo in te stellen dat de referenties van gebruikers uitdrukkelijk worden opgevraagd.

Daarom is in Windows Server 2003 Service Pack 1 (SP1) de mogelijkheid voorzien het gebruik van BasicAuth door de DAVRdr in of uit te schakelen. Standaard is BasicAuth uitgeschakeld bij SP1. Wanneer BasicAuth uitgeschakeld is, maakt de client gebruik van een andere verificatiemethode (als de server dat ondersteunt) of mislukt het verzoek.

Wat is het belang van deze wijziging?

Gebruikers kunnen zich bij WebDAV-servers aanmelden voor externe bestandstoegang zonder dat ze bang hoeven te zijn dat hun wachtwoord ongecodeerd wordt verstuurd.

Welke risico's worden op deze manier aangepakt?

Stel, een medewerker van Contoso Corporation benadert geregeld de bestandsshare \\Contoso_Server\Verkoop van buiten de onderneming via een openbaar netwerk en gebruikt daarbij een toepassing die deze share probeert te benaderen als onderdeel van de normale activiteiten op de achtergrond. Aangezien de draagbare computer van de gebruiker zich buiten het netwerk van de onderneming bevindt, moet dit verzoek normaal gezien mislukken. Via de DAVRdr wordt echter een verzoek verstuurd om te zien of er een DAV-server is met de naam Contoso_Server, ook al is de server die vanaf de draagbare computer wordt benaderd in werkelijkheid een SMB-server.

Een aanvaller in hetzelfde openbare netwerk kan op zijn computer WINS-verzoeken nabootsen en naar zichzelf verwijzen in antwoord op WINS-verzoeken. De draagbare computer zal dan proberen toegang te krijgen tot een DAV-share op de server van de bedrieger. Als de server van de bedrieger reageert en daarbij BasicAuth gebruikt als verificatiemethode, verschijnt er een dialoogvenster waarin om de referenties van de gebruiker wordt gevraagd. In het dialoogvenster wordt de indruk gewekt dat het om de server Contoso_Server gaat, waardoor de gebruiker denkt dat het verzoek echt is. Als de gebruiker zijn gebruikersnaam en wachtwoord invoert, verstuurt de client deze gegevens in ongecodeerde vorm en beschikt de aanvaller over de aanmeldingsgegevens van die gebruiker. Aan niets kan de gebruiker zien dat het kanaal niet beveiligd is, dat het verzoek wordt afgehandeld door de DAVRdr of dat de gebruikersnaam en het wachtwoord op de draagbare computer in ongecodeerde vorm worden verzonden. Bij de huidige standaardmethoden voor Windows-verificatie wordt het wachtwoord van een gebruiker nooit in ongecodeerde vorm verzonden.

Wat werkt er anders?

Aangezien alleen het standaardgedrag van de DAVRdr wordt gewijzigd, heeft deze wijziging alleen gevolgen voor scenario's waarin het gebruik van basisverificatie en de DAVRdr vereist is. Dit is bijvoorbeeld het geval wanneer u via Notepad.exe een website benadert die alleen BasicAuth toestaat. Dit scenario werkt niet langer. Zelfs als de server zo is geconfigureerd dat alleen basisverificatie wordt gebruikt, blijven andere toepassingen zoals Microsoft Office gewoon werken. Hiervoor wordt namelijk een andere DAV-client gebruikt.

Hoe los ik dit op?

U kunt BasicAuth inschakelen door de volgende registersleutel toe te voegen en deze in te stellen op een andere waarde dan nul:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \WebClient\Parameters\UseBasicAuth (DWORD)

Als u de registersleutel verwijdert of deze instelt op 0, wordt het standaardgedrag hersteld of wordt het gebruik van BasicAuth uitgeschakeld.

WinINet: Basisverificatie via een ongecodeerd kanaal uitschakelen

Gedetailleerde beschrijving

Aangezien de DAVRdr deel uitmaakt van een externe bestandssysteemstack, loopt een computer het gevaar te worden aangevallen wanneer op afstand wordt geprobeerd toegang te krijgen tot de bestanden. Hoewel het gevaar voor andere toepassingen die gebruikmaken van de internet-API's minder acuut is dan voor de DAVRdr, is een soortgelijke aanval mogelijk wanneer vanuit een toepassing wordt geprobeerd een URL te laden. Om deze reden wordt bij WinInet het mechanisme waarmee in de DAVRdr BasicAuth wordt uitgeschakeld, beschikbaar gemaakt voor andere gebruikers van de internet-API's.

Het gebruik van basisverificatie via ongecodeerde kanalen kan op twee manieren worden geblokkeerd:

  • Maak de volgende registersleutel en stel deze in op een andere waarde dan nul.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\ Internet Settings\DisableBasicOverClearChannel (DWORD)
    Op die manier voorkomt u dat WinINet probeert BasicAuth te gebruiken als het kanaal niet wordt beveiligd (via HTTPS of SSL).
  • Op toepassingsniveau kan het gebruik van BasicAuth voor verbindingen worden uitgeschakeld door instelling van de vlag (0x4) in AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL in de waarde die wordt meegegeven aan de aanroep van InternetSetOption met behulp van INTERNET_OPTION_AUTH_FLAGS.

Wat is het belang van deze wijziging?

Gebruikers kunnen zich bij WebDAV-servers aanmelden voor externe bestandstoegang zonder dat ze bang hoeven te zijn dat hun wachtwoord ongecodeerd wordt verstuurd.

Welke risico's worden op deze manier aangepakt?

Stel, een medewerker maakt geregeld gebruik van de website http://www.contoso.com/verkoop. De gebruiker probeert via Internet Explorer toegang tot deze site te krijgen via een openbaar netwerk buiten de onderneming. Aangezien de laptop zich buiten de onderneming bevindt, moet het verzoek normaal gezien mislukken en wordt het bericht 'Server niet gevonden' weergegeven. Een aanvaller in hetzelfde openbare netwerk kan op zijn computer WINS-verzoeken nabootsen en naar zichzelf verwijzen in antwoord op WINS-verzoeken. Vervolgens probeert de laptop het HTTP-verzoek te verzenden om de pagina op de server van de bedrieger te laden. Als de server van de bedrieger reageert en daarbij BasicAuth gebruikt als verificatiemethode, wordt de gebruiker van de laptop gevraagd zijn of haar referenties op te geven. Als site wordt http://www.contoso.com/verkoop aangegeven, waardoor de gebruiker denkt dat het verzoek echt is. Als de gebruiker zijn of haar gebruikersnaam en wachtwoord invoert, verstuurt de client deze gegevens in ongecodeerde vorm en beschikt de aanvaller over de aanmeldingsgegevens van die gebruiker. Niets wijst erop dat het kanaal niet beveiligd is of dat de gebruikersnaam en het wachtwoord ongecodeerd worden verzonden.

Wat werkt er anders?

Het standaardgedrag van WinINet-toepassingen verandert hierdoor niet (behalve in het geval van DAVRdr, zoals hierboven wordt beschreven). Als deze instelling wordt uitgeschakeld, kan de gebruiker geen verbinding maken met HTTP-servers die alleen het gebruik van basisverificatie ondersteunen.

Welke instellingen zijn toegevoegd of gewijzigd in Windows Server 2003 Service Pack 1?

Instellingen voor WebDAV-redirector

Naam van instelling Locatie Vorige standaardwaarde (indien van toepassing) Standaardwaarden Mogelijke waarden

UseBasicAuth

HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services \WebClient \Parameters \UseBasicAuth

Niet van toepassing

Sleutel bestaat niet.

(BasicAuth uitgeschakeld voor de DAVRdr)

0, niet nul

DisableBasicOverClearChannel

HKCU\SOFTWARE \Microsoft \Windows \CurrentVersion \Internet Settings \DisableBasicOverClearChannel

Niet van toepassing

Sleutel bestaat niet. (BasicAuth ingeschakeld voor alle andere functies)

0, niet nul

Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

Er hoeven geen wijzigingen te worden doorgevoerd. Ontwikkelaars die toepassingen schrijven op basis van de internet-API's en BasicAuth willen uitschakelen, zoals in het geval van de DAVRdr, kunnen een aanroep naar InternetSetOptions() toevoegen.

Community-inhoud

Weergeven:
© 2016 Microsoft