web-dev-qa-db-ja.com

ADFSのIIS 7で認証の拡張保護をオフにすると、どのようなセキュリティ上の問題がありますか?

Office 365にSSOを設定する場合、イントラネットでChromeおよびFirefoxアクセスサービスを作成するには、ADFSサーバーで認証の拡張保護を無効にする必要があります。

ADFSサーバーはイントラネット上でのみアクセス可能であり、外部ログインはADFSプロキシサーバーによって処理されるため、拡張保護をオフにすることに関してセキュリティ上の大きな懸念はありますか?

iisadfs
8
Matt Bear

拡張保護を無効にする(ExtendedProtectionTokenCheck = None)必要はないと思います。オプションにする必要があります(必須ではなく許可)。

これにより、この保護なしで互換性のないクライアントを接続することができます(MITMに対して脆弱です)が、InternetExplorerが追加の保護を使用することもできます。ただし、これをクライアントに強制する方法はないため、ダウングレードに対して脆弱になります。

考えられるのは、拡張保護のスキップを許可するが、通常のクライアントでは使用されない特別なエンドポイントがあるということです。そうすれば、エイリアンのクライアントだけがMITM問題に対して脆弱になります。他の要因によっては、これは大きなリスクではないかもしれません。従業員が画面をロックせずに昼食に慣れている場合は、心配する必要はありません:)

MSドキュメントはこちら: http://technet.Microsoft.com/en-us/library/hh852537.aspx

3
eckes