Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit l’exemple ExtendedProtection.
La protection étendue est une initiative de sécurité pour la protection contre les attaques man-in-the-middle (MITM). Une attaque MITM est une menace de sécurité dans laquelle un MITM prend les informations d’identification d’un client et le transfère à un serveur.
Discussions
Lorsque les applications s’authentifient à l’aide de Kerberos, Digest ou NTLM à l’aide du protocole HTTPS, un canal TLS (Transport Level Security) est d’abord établi, puis l’authentification a lieu à l’aide du canal sécurisé. Toutefois, il n’existe aucune liaison entre la clé de session générée par SSL et la clé de session générée pendant l’authentification. Tout MITM peut s’établir entre le client et le serveur et commencer à transférer les demandes du client, même lorsque le canal de transport lui-même est sécurisé, car le serveur n’a aucun moyen de savoir si le canal sécurisé a été établi à partir du client ou d’un MITM. La solution de ce scénario consiste à lier le canal TLS externe au canal d’authentification interne afin que le serveur puisse détecter s’il existe un MITM.
Remarque
Cet exemple fonctionne uniquement lorsqu’il est hébergé sur IIS.
Remarque
Les étapes suivantes sont spécifiques à Windows 7.
Pour configurer, générer et exécuter l’exemple
Installez Internet Information Services à partir du Panneau de configuration, ajouter/supprimer des programmes, fonctionnalités Windows.
Installez l’authentification Windows dans les fonctionnalités Windows, les services Internet Information,les services World Wide Web, la sécurité et l’authentification Windows.
Installez l’activation HTTP windows Communication Foundation dans les fonctionnalités Windows, Microsoft .NET Framework 3.5.1 et l’activation HTTP windows Communication Foundation.
Cet exemple nécessite que le client établisse un canal sécurisé avec le serveur, de sorte qu’il nécessite la présence d’un certificat de serveur qui peut être installé à partir du Gestionnaire iis (Internet Information Services).
Ouvrez le Gestionnaire IIS. Ouvrez les certificats serveur, qui s’affichent sous l’onglet Affichage des fonctionnalités lorsque le nœud racine (nom de l’ordinateur) est sélectionné.
Pour tester cet exemple, créez un certificat auto-signé. Si vous ne souhaitez pas que le navigateur vous signale que le certificat n'est pas sécurisé, installez le certificat dans le magasin d'autorité racine de certificats approuvés.
Ouvrez le volet Actions du site Web par défaut. Cliquez sur Modifier le site, les liaisons. Ajoutez HTTPS en tant que type s’il n’est pas déjà présent, avec le numéro de port 443. Affectez le certificat SSL créé à l’étape précédente.
Construisez le service. Cela crée un répertoire virtuel dans IIS et copie les fichiers .dll, .svc et .config, comme requis pour que le service soit hébergé sur le web.
Ouvrez le Gestionnaire IIS. Cliquez avec le bouton droit sur le répertoire virtuel (ExtendedProtection), qui a été créé à l’étape précédente. Sélectionnez Convertir en application.
Ouvrez le module d’authentification dans le Gestionnaire IIS pour ce répertoire virtuel et activez l’authentification Windows.
Ouvrez Paramètres avancés sous Authentification Windows pour ce répertoire virtuel et définissez-le sur Obligatoire.
Vous pouvez tester le service en accédant à l’URL HTTPS à partir d’une fenêtre de navigateur (fournissez un nom de domaine complet). Si vous souhaitez accéder à cette URL à partir d’une machine distante, assurez-vous que le pare-feu est ouvert pour toutes les connexions HTTP et HTTPS entrantes.
Ouvrez le fichier de configuration du client et fournissez un nom de domaine complet pour l’attribut d’adresse du client ou du point de terminaison qui remplace
<<full_machine_name>>.Exécutez le client. Le client communique avec le service, qui établit un canal sécurisé et utilise une protection étendue.