domingo, 12 de janeiro de 2014

LoopbackCheck - O que você deveria saber

O feature de segurança Loopback Security Check foi introduzido no Windows Server 2003 SP1 porque muitos exploits tentam a atacar o sistema operacional via "Reflect". O Loopback Security Check bloqueia basicamente qualquer acesso no servidor a um site local ao usar o FQDN (fully qualified domain name) ou um host header personalizado.

Até aqui tudo bem, porém temos a situação que o SharePoint acessa as pagina locais, por exemplo na indexação da busca ou a consumir um dos próprios Web Services. 

Nós podemos observar os seguintes eventos com Loopback Security Check habilitado:

No navegador ou no ULS:

HTTP 401.1 - Unauthorized: Logon Failed

E nos eventos do Windows:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 537
Date: Date
Time: Time
User: NT AUTHORITY\SYSTEM
Computer: Computer_Name
Description: Logon Failure:
Reason: An error occurred during logon 
User Name: User_Name
Domain: Domain_Name
Logon Type: 3
Logon Process: Ðùº
Authentication Package: NTLM
Workstation Name: Computer_Name
Status code: 0xC000006D
Substatus code: 0x0
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: IP_Address
Source Port: Port_Number

Eu vi muitas fazendas do SharePoint em produção com o Loopback Check desabilitado, ou veja vulnerável. Nós precisamos criar exceções em vez de desabilitar o recurso para as paginas do SharePoint para evitar os eventos acima seguindo o metodo 1 do KB896861.

Existem as seguintes formas para automatizar o procedimento:

Powershell

Substitue o valor SERVERNAME pelo endereço desejado

New-ItemProperty HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 -Name “BackConnectionHostNames” -value “SERVERNAME” -PropertyType multivalue

Policy

O Harbar escreveu um artigo excelente sobre o assunto - http://www.harbar.net/archive/2010/02/12/groundhog-day-configuring-back-connection-host-names-using-group-policy.aspx

[]

Nenhum comentário:

Postar um comentário