Bagikan melalui

Kebijakan Perlindungan yang Diperpanjang

  • Artikel

Artikel ini menjelaskan sampel ExtendedProtection.

Perlindungan yang Diperluas adalah inisiatif keamanan untuk melindungi dari serangan man-in-the-middle (MITM). Serangan MITM adalah ancaman keamanan di mana MITM mengambil mandat klien dan meneruskannya ke server.

Diskusi

Saat aplikasi mengautentikasi menggunakan Kerberos, Digest, atau NTLM menggunakan HTTPS, saluran Keamanan Lapisan Transportasi (TLS) pertama kali dibuat dan kemudian autentikasi berlangsung menggunakan saluran aman. Namun, tidak ada pengikatan antara kunci sesi yang dihasilkan oleh SSL dan kunci sesi yang dihasilkan selama autentikasi. Setiap MITM dapat membangun dirinya antara klien dan server dan mulai meneruskan permintaan dari klien, bahkan ketika saluran transportasi itu sendiri aman, karena server tidak memiliki cara untuk mengetahui apakah saluran aman telah ditetapkan dari klien atau MITM. Solusi dalam skenario ini adalah mengikat saluran TLS luar dengan saluran autentikasi dalam sehingga server dapat mendeteksi apakah ada MITM.

Catatan

Sampel ini hanya berfungsi saat dihosting di IIS.

Catatan

Langkah-langkah berikut khusus untuk Windows 7.

Untuk menyiapkan, membangun, dan menjalankan sampel

  1. Pasang Layanan Informasi Internet dari Panel Kontrol, Tambahkan/Hapus Program, Fitur Windows.

  2. Pasang Autentikasi Windows di Fitur Windows, Layanan Informasi Internet, World Wide Web Services, Keamanan, dan Autentikasi Windows.

  3. Pasang Aktivasi HTTP Windows Communication Foundation di Fitur Windows, Microsoft .NET Framework 3.5.1, dan Aktivasi HTTP Windows Communication Foundation.

  4. Sampel ini mengharuskan klien untuk membuat saluran aman dengan server, sehingga memerlukan keberadaan sertifikat server yang dapat diinstal dari manajer Layanan Informasi Internet (IIS).

    1. Buka Manajer IIS. Buka Sertifikat server, yang muncul di tab Tampilan Fitur saat simpul akar (nama komputer) dipilih.

    2. Untuk tujuan menguji sampel ini, buat sertifikat yang ditandatangani sendiri. Jika Anda tidak ingin browser meminta Anda tentang sertifikat yang tidak aman, instal sertifikat di penyimpanan otoritas Akar Sertifikat Tepercaya.

  5. Buka panel Tindakan untuk situs Web default. Klik Edit Situs, Pengikatan. Tambahkan HTTPS sebagai jenis jika belum ada, dengan nomor port 443. Tetapkan sertifikat SSL yang dibuat di langkah sebelumnya.

  6. Bangun layanan. Ini membuat direktori virtual di IIS, dan menyalin file .dll, .svc, dan .config sebagaimana diperlukan agar layanan dihosting Web.

  7. Buka Manajer IIS. Klik kanan direktori virtual (ExtendedProtection), yang dibuat pada langkah sebelumnya. Pilih Konversi ke Aplikasi.

  8. Buka modul Autentikasi di Manajer IIS untuk direktori virtual ini dan aktifkan Autentikasi Windows.

  9. Buka Pengaturan Tingkat Lanjut di bawah Autentikasi Windows untuk direktori virtual ini dan atur ke Diperlukan.

  10. Anda dapat menguji layanan dengan mengakses URL HTTPS dari jendela browser (Berikan nama domain yang sepenuhnya memenuhi syarat). Jika Anda ingin mengakses URL ini dari komputer jarak jauh, pastikan firewall dibuka untuk semua koneksi HTTP dan HTTPS yang masuk.

  11. Buka file konfigurasi klien dan berikan nama domain yang sepenuhnya memenuhi syarat untuk atribut alamat klien atau titik akhir yang menggantikan <<full_machine_name>>.

  12. Jalankan aplikasi klien. Klien berkomunikasi dengan layanan, yang membangun saluran aman dan menggunakan perlindungan yang diperluas.