• Artykuł

Łączenie z aparatu bazy danych, używając rozszerzonej ochrony

SQL Serverobsługuje Ochrony rozszerzonej z SQL Server 2008 R2.Rozszerzona ochrona uwierzytelniania jest funkcją składników sieci, realizowane przez system operacyjny.Rozszerzona ochrona jest obsługiwany w systemie Windows 7 i Windows Server 2008 R2.Extended Protection is included in service packs for older Microsoft operating systems.SQL Server is more secure when connections are made using Extended Protection.

Ważna informacjaWażne:

System Windows nie obsługuje Ochrony rozszerzonej domyślnie.Aby uzyskać informacje dotyczące włączania Ochrony rozszerzonej w systemie Windows, zobacz Ochrony rozszerzonej uwierzytelniania.

Rozszerzona ochrona jest w pełni obsługiwane przez SQL Server Native Client w SQL Server 2008 R2.Wsparcie dla Ochrony rozszerzonej dla innych SQL Server dostawcy klient nie jest obsługiwany.

Opis ochrony rozszerzonej

Rozszerzona ochrona używa usługa powiązanie i powiązanie kanału, aby zapobiec atak przekazywania uwierzytelnianie.W ataku przekazywania uwierzytelniania klient, który można wykonywać uwierzytelnianie NTLM (na przykład Eksploratora Windows, Microsoft programu Outlook.Aplikacja netto SqlClient itp.), łączy (na przykład złośliwy CIFS pliku serwera) osoba atakująca.Atakujący wykorzystuje poświadczenia klient udają klient i usługa uwierzytelniania (na przykład wystąpienie Aparat baz danych usługa).

Istnieją dwie odmiany atak:

  • W luring atak klient jest pułapki i podania połączyć dobrowolnie osoba atakująca.

  • W ataku fałszowanie, zamierza połączyć się z prawidłową usługa klient, ale jest unaware że jeden lub oba DNS i IP routingu są intoksykowane zamiast przekierować połączenia do osoby atakującej.

SQL Serverobsługuje usługa powiązanie i powiązanie kanału, aby zmniejszyć ataki na SQL Server wystąpień.

Powiązanie usługi

Usługa powiązanie adresy zapewnienia ataki poprzez wymóg klientowi wysłanie główna nazwa usługi podpisane (SPN) z SQL Server usługi, która zamierza połączyć klient.Jako część odpowiedzi uwierzytelnianie usługa sprawdza, czy główna nazwa usługi otrzymanych pakiet odpowiada własnej nazwy główna nazwa usługi.Klient jest pułapki i podania połączyć osoba atakująca, klient będzie zawierać podpisane główna nazwa usługi atakującego.Osoba atakująca nie przekazywania pakiet do uwierzytelnienia rzeczywistymi SQL Server usługa jako klient, ponieważ obejmuje ona główna nazwa usługi atakująca.Powiązanie usługi ponosi jedno -czas, nieznacznych kosztach, ale nie usuwa spoofingu.

Powiązania kanału

powiązanie kanału ustanawia bezpieczny kanał (Schannel) między klient i wystąpienie SQL Server usługa.Usługa autentyczności klient sprawdza, porównując kanału klient powiązanie dla tego kanału z własnym CBT token (CBT).Kanał powiązanie adresy zarówno zapewnienia i fałszowanie ataki.Jednakże ponosi większych runtime, kosztów, ponieważ wymaga szyfrowanie Transport Layer Security (TLS) całego ruchu w sesja.

Obsługa systemu operacyjnego

Poniższe łącza udostępniają więcej informacji na temat w jaki sposób system Windows obsługuje Ochrony rozszerzonej:

Ustawienia

Istnieją trzy SQL Server Ustawienia połączenia, które wpływają na powiązanie usługa i powiązania kanału.Ustawienia można skonfigurować przy użyciu SQL Server Menedżer konfiguracji lub poprzez przy użyciu usługi WMI i przez można przeglądać za pomocą Ustawień protokołu Server aspekt zarządzania zasady.

  • Siły szyfrowania.

    Możliwe wartości to na i poza.Aby używać wiązania kanałów Siły szyfrowania musi być zestaw do na, i wszystkich klientów będzie zmuszony do zaszyfrowania.Jeśli jest poza, tylko powiązanie usługa jest gwarantowane.Siły szyfrowania na protokołów dla właściwości MSSQLSERVER (karta flag) w SQL Server Menedżer konfiguracji.

  • Ochrona rozszerzona

    Możliwe wartości to poza, dozwolone, i wymagane.Ochrony rozszerzonej zmienna pozwala użytkownikom konfigurować Ochrony rozszerzonej dla każdego poziom SQL Serverwystąpienie. Ochrony rozszerzonej na protokołów dla właściwości MSSQLSERVER (karta Zaawansowane) w SQL Server Menedżer konfiguracji.

    • Gdy zestaw do poza, Ochrony rozszerzonej jest wyłączona.Wystąpienie SQL Server będzie akceptować połączenia z dowolnego klienta, niezależnie od tego, czy klient jest chronione lub nie.Wyłącz jest zgodny z systemami operacyjnymi starszymi i bez poprawki, ale jest mniej bezpieczne.Użyj tego ustawienia, gdy wiadomo, że klient systemy operacyjne nie obsługują ochrony rozszerzonej.

    • Gdy zestaw do dozwolone, Ochrony rozszerzonej jest wymagane dla połączeń z systemów operacyjnych obsługujących Ochrony rozszerzonej.Rozszerzona ochrona jest ignorowana dla połączeń z systemami operacyjnymi, które nie obsługują Ochrony rozszerzonej.Połączenia z aplikacji niechronione klient, które działają w systemach operacyjnych klient chronione są odrzucane.To ustawienie jest bezpieczniejsze niż poza, ale nie jest to najbezpieczniejsze ustawienie.Użyj tego ustawienia w środowiskach mieszanych, w którym niektóre systemy operacyjne obsługują Ochrony rozszerzonej , a niektóre nie.

    • Gdy zestaw do wymagane, akceptowane są tylko połączenia z chronionego aplikacji w systemach operacyjnych chronionych.To ustawienie jest najbezpieczniejsza ale połączeń z systemów operacyjnych lub aplikacji, które nie obsługują Ochrony rozszerzonej nie będą mogli łączyć się z SQL Server.

  • Zaakceptowane nazwy SPN NTLM

    Zaakceptowane nazwy główna nazwa usługi NTLM zmiennej jest wymagane, gdy serwer jest znany przez więcej niż jedną nazwę główna nazwa usługi.Gdy klient próbuje połączyć się z serwerem przy użyciu prawidłową nazwę główna nazwa usługi serwera nie wie, powiązanie usługa nie powiedzie się.Aby uniknąć tego problemu, użytkownicy mogą określić kilka SPN, reprezentujące serwera za pomocą Zaakceptowane nazwy SPN NTLM.Zaakceptowane nazwy SPN NTLM jest szereg SPN oddzielone średnikami Moje.Na przykład, aby umożliwić SPN MSSQLSvc / HostName1.Contoso.com i MSSQLSvc / HostName2.Contoso.com, wpisz MSSQLSvc/HostName1.Contoso.com;MSSQLSvc/HostName2.Contoso.com w Zaakceptowane nazwy SPN NTLM pole.Zmienna ma maksymalną długość 2048 znaków.Zaakceptowane nazwy SPN NTLM na protokołów dla właściwości MSSQLSERVER (karta Zaawansowane) w SQL Server Menedżer konfiguracji.

Włączenie ochrony rozszerzonej dla aparatu bazy danych

Aby użyć Ochrony rozszerzonej, serwer i klient musi mieć system operacyjny obsługiwanych przez Ochrony rozszerzonej, i Ochrony rozszerzonej musi być włączony w systemie operacyjnym.Aby uzyskać więcej informacji dotyczących sposobu włączania Ochrony rozszerzonej dla systemu operacyjnego, zobacz Ochrony rozszerzonej uwierzytelniania.

SQL Serverobsługuje Ochrony rozszerzonej z SQL Server 2008 R2.Rozszerzona ochrona w niektórych starszych wersjach SQL Server zostaną udostępnione w przyszłych aktualizacji.Po włączeniu Ochrony rozszerzonej na komputerze serwera, należy użyć włączyć następujące kroki Ochrony rozszerzonej w SQL Server 2008 R2:

  1. Na Start menu wybierz Wszystkie programy, wskaż Microsoft SQL Server , a następnie kliknij przycisk SQL Server Menedżer konfiguracji.

  2. Rozwiń Konfiguracja sieci programu SQL Serveri kliknij prawym przyciskiem myszy protokołów dla <nazwa_wystąpienia>, a następnie kliknij przycisk Właściwości.

  3. Zarówno kanał powiązanie i usługa, powiązanie z Zaawansowane karty, ustaw Ochrony rozszerzonej odpowiednie zestaw.

  4. Opcjonalnie, gdy serwer jest znany główna nazwa usługi więcej niż jeden na Zaawansowane skonfigurować kartę Zaakceptowane nazwy główna nazwa usługi NTLM pole zgodnie z opisem w "Ustawienia" sekcja.

  5. Dla kanału powiązanie z flagi karcie zestaw Siły szyfrowania do na.

  6. Uruchom ponownie Aparat baz danych usługa.

Konfigurowanie innych SQL Server składników

Aby uzyskać więcej informacji dotyczących sposobu konfigurowania Reporting Services, zobacz Ochrona rozszerzona do uwierzytelniania przy użyciu usług raportowania.

Podczas korzystania z dostępu do usług IIS Usługi Analysis Services danych przy użyciu połączenia HTTP lub HTTPs, Usługi Analysis Services mogą korzystać z rozszerzonych zapewniany przez usługi IIS.Aby uzyskać więcej informacji na temat sposobu konfigurowania usług IIS korzystanie z ochrony rozszerzonej, zobacz Konfigurowanie ochrony rozszerzonej w IIS 7.5.