Quali sono i problemi di sicurezza con la disattivazione della protezione estesa per l'autenticazione in IIS7 su ADFS?

7

Nella configurazione di SSO per Office 365, per fare in modo che Chrome e Firefox accedano ai servizi su Intranet, la protezione estesa per l'autenticazione deve essere disabilitata sul server ADFS.

Poiché il server ADFS è accessibile solo su Intranet e tutti gli accessi esterni sono gestiti dal server proxy ADFS, c'è un grosso problema di sicurezza in merito alla disattivazione della protezione estesa?

    
posta Matt Bear 21.11.2012 - 00:18
fonte

1 risposta

2

Penso che non devi disabilitare (ExtendedProtectionTokenCheck = None) la protezione estesa, devi solo renderla opzionale (Permetti invece di Richiedere).

Ciò consente di connettere client incompatibili senza questa protezione (e vulnerabili a MITM) ma consente anche a InternetExplorer di utilizzare la protezione aggiuntiva. Tuttavia non c'è modo di far rispettare questo sul client, quindi diventa vulnerabile a un downgrade che penso.

Un'idea sarebbe, che tu abbia un endpoint speciale che consente di ignorare la protezione estesa ma che non verrà utilizzato dai normali client. Quindi solo i tuoi clienti alieni saranno vulnerabili al problema MITM. A seconda di altri fattori, questo potrebbe non essere un grosso rischio. Se i tuoi dipendenti sono abituati a pranzare senza bloccare i loro schermi, non devi preoccuparti di questo:)

La documentazione MS è qui: link

    
risposta data 04.01.2014 - 07:23
fonte

Leggi altre domande sui tag