• Makale

Tehdit ve güvenlik açığı Azaltıcı (Raporlama Hizmetleri)

Bu konuda, teknikleri ve Reporting Services dağıtım tehditleri azaltmak için stratejiler açıklanmaktadır.

Genel Bakış

Rapor sunucusu dışarıdan içerik ve uygulama verilerini saklayan durumsuz bir sunucudur.İçin en büyük tehditlerden biri bir rapor sunucusu yükleme, yetkisiz erişim veya izinsiz olarak rapor sunucusu veritabanı ve yapılandırma dosyaları.Raporları oluşturma hakkında ve bir rapor sunucusu içerik yayımlama izni olanların daha az belirgin ama eşit derecede önemli bir tehdit olduğunu.Rapor sunucu bilgisayarda tam güvende çalışacak derlemeler tanımlarla.Rapor tanımları da sunucuda çalışan diğer özel derlemeler içerir.Rapor veya özel bir derleme kötü amaçlı kodu içeriyorsa, bu kod üzerinde çalışacağı rapor sunucusu raporu isteyen kullanıcının kimlik bilgileri altında bilgisayar.İnce diğer tehditlerin neden olduğu gizli veri yanlışlıkla gösterir bir rapor tasarımı tahakkuk.Bir çalışanın bir parametre olarak bir çalışan kimliği kullanan rapor çalışırsa, örneğin, izinli rasgele bir kimlik bir raporu url koyarak başka bir çalışan hakkında bilgi görüntülemek mümkün olmamalıdır.Son olarak, rapor dağıtım yöntemleri kuruluşunuzdaki düşünün.Kuruluşunun dışına raporları teslim etme olasılığını en aza indirmek için rapor sunucusu yapılandırabilirsiniz.İzinler dosya sisteminde de kullanılabilir ve yalnızca yetkili kullanıcılar sağlamak için rapor sunucusu izinlerini rapor açabilir.

Ek tehditlere ve gerçek bir yararlanma riskleri en aza nasıl bu konudaki aşağıdaki bölümlerde açıklanmıştır.

Rapor sunucusu üzerindeki bir saldırı Azaltıcı

Aşağıdaki tablo tehditler ve sunucu bileşenleri ve yapılandırma ayarlarını etkiler azaltıcı etkenleri açıklar.

Özellik veya işlem

Tehdit

Risk azaltma

Yapılandırma ayarları saklanır Web.config dosyasındaki ve uygulama yapılandırma dosyaları üzerinde rapor sunucusu bilgisayar.

Bir saldırganın bilgisayarın erişim, şifrelenmemiş bir bulun veya korunmayan yapılandırma dosyasıve dosya ile değiştirmesine.

Dosyanın izinlerini ayarlayın.Varsayılan olarak, izin verilen Reporting Services Kur sırasında oluşturulan güvenlik grupları

Rapor sunucusu Web hizmet, TCP/IP bağlantıları üzerinden gönderilen isteğe bağlı isteklerini işler.

Bir saldırgan, bir aşağıdaki formları götüren hizmet reddi saldırısı başlatmak:

Birden çok kimliği doğrulanmamış isteklerini at yönlendirilmiş bir hedef sunucu.

Tamamlanmamış istekleri yönlendirilmiş bir hedef sunucu , ancak hiçbir zaman tamamlandı.

Son derece büyük istekler; Saldırgan, bir isteği başlatır ve sonra büyük yükü sunucuya gönderir.

Rapor sunucusu bazı bir hizmet reddi saldırısı etkilerini en aza indirebilirsiniz iki dakika içinde tüm kimliği doğrulanmamış isteklerini bırakır.İki dakika aralığı sabittir; onu kısaltmak olamaz.

Karşıya yükleme işlemleri için saldırı dayanıyorsa rapor sunucusu, değerini azaltabilir maxRequestLength öğesi Machine.config dosyası.Varsayılan olarak, asp.net sunucu uygulamasına karşıya yüklenebilecek öğeleri bir megabayt (mb) sınır yerleştirir.Not düşürmek için değer maxRequestLength olması gereken geçici bir ölçü birimi.(Modeller gibi) büyük dosyaları karşıya yaygın olarak benimsenen uygulama, değerini önceki değerine geri değiştirmeniz gerekir.Ayar hakkında daha fazla bilgi için maxRequestLength bir Raporlama Servisleri yüklemesine bakın Rapor ve anlık görüntü boyutu sınırları.

Reporting Services destekler sağlayan Genişletilebilir bir mimari dağıtmak üçüncü taraf veri işleme, işleme ve teslim uzantıları.Ayrıca dağıtmak özel sorgu tasarımcıları.Uzantıları, tam güven çalıştırmanız gerekir.

Bir saldırganın kötü amaçlı kod içinde özel bir uzantısı içerebilir.

Sadece dağıtmak kullanıcılar veya güvendiğiniz kuruluşlar uzantıları.

Rapor tanımları ve rapor modelleri için Azaltıcı tehditler

Aşağıdaki tablo tehditler ve rapor tanımları etkiler ve model dosyaları azaltıcı etkenleri açıklar.

Özellik veya işlem

Tehdit

Risk azaltma

Yayımlama raporları, modelleri ve paylaşılan veri kaynakları için rapor sunucusu.

Raporlar ve modeller bağlanmak ve dış veri kaynaklarına sorgu.

Raporları, modelleri ve paylaşılan veri kaynakları yayımlama işlemi sırasında engellemesine.

Transit harici bir bilgisayar için olan istekleri engellemesine.

Örneğin, ssl/tls/IPSec, güvenli, şifrelenmiş bir kanal bağlantısı için kullanın.Kanal korumak için şifreleme teknolojileri kullanılmalıdır.

Kanal güvenli olmayan göndermeden önce kullanıcılara bildirin.

Uzak bilgisayarlar ve veri kaynaklarına bağlanmak için kimlik doğrulama belirteçleri veya kimlik bilgileri kullanılır.

kimlik doğrulaması verileri, bir isteği işlerken engellemesine.

Güvenli ve şifrelenmiş bir kanal kullanın.

Kanal güvenli ise kullanıcı bildirin.

En az izin ilkesini izleyin.Bir raporda kullanılan veri alma, veri kaynaklarına salt okunur izinleri gerektirir.

Rapor URL'leri tarayıcı penceresinin Adres çubuğuna parametre değerleri gösterir.

Bir rapor gizli veri içeriyorsa, üzerinde oynama parametre değerleri url üzerinde ekleyin.Örneğin, bir parametreli rapor çalışan kimliği içeriyorsa, kullanıcı diğer kullanıcılara yönelik verileri görüntülemek için URL'yi bir rasgele employee ID ekleyebilirsiniz.

Son dağıtım için bir rapor yayımlamadan önce parametre değerlerini rasgele değerleri ile değiştirilebilir olup olmadığını doğrulamak için URL'yi denetleyin.

Raporlarınızı tasarlarken, parametrelerinin ayarlanması ile ilişkilendirilmiş hiçbir izin olduğunu unutmayın.Birkaç olası Azaltıcı Etkenler şunlardır:

  • Kullanıcı rapor ve kullanıcıya özgü bilgileri toplamak için kullanıcı Kimliğini yeniden tasarlama.

  • Bağlantılı raporları kullanın ve kilit ana rapor.Daha sonra özel parametre bağlantılı rapor için bir iç parametre olun.Bağlantılı raporlar bu modda desteklendiği için SharePoint tümleşik modu kullanmak üzere yapılandırılmış bir rapor sunucusu için desteklenmiyor.

Raporlar ve modeller veri kaynak bilgilerini ve sorgular içerir.

Bir veri kaynak veya yapısı hakkında bilgi açıklamaktan yararlanılabilir iç bilgileri olan bir saldırgan sağlar.

Bir kullanıcı bir rapor modeli değiştirmek için önce küme öğe kullanıcı modeli Tasarımcısı'nda görmek için istediğiniz modeli öğeleri erişimi kısıtlamak için güvenlik modeli.

Dosya izinlerini ayarlayın.Dosyaları .rdl .rds, .smdl, .ds, .dsv ve .smgl dosyalarını içerir.

Varsayılan olarak, kullanıcı klasöründe yerel olarak depolanan kullanıcı gruplarını ve işletim sistemi Windows xp ise yerel bilgisayarda tanımlı hesapları için erişilebilir veya sonraki dosyalarıdır.

Rapor tanımları ve paylaşılan veri kaynakları veri kaynak bağlantı dizesini içerir.Bir bağlantıda kimlik bilgilerini dahil etmek mümkündür dize.

Bir saldırgan, rapor dosyalarının güvenliğinin tehlikede olduğu durumlarda veritabanı bağlantı dizeleri saklanan veritabanı kimlik bilgileri bilgilerini erişebilir.

kimlik bilgileri bilgilerinden ayrı olarak bağlantı saklamak dize.Şifrelemek ve bir kullanıcı hesabı ve parolayı depolamak için veri kaynak özellik sayfalarında depolanmış kimlik bilgileri seçeneğini kullanabilirsiniz.

İsteğe bağlı raporlar ve modeller işlenir.

Raporlar, başvuru veya özel derlemeler içerir.

Rapor, özel rapor öğeleri veya diğer denetimleri içerebilir.Özel rapor öğesi denetimleri tam güven gerektirir.

Bir saldırgan, kullanıcı açıklarını kullanıcının izinleriyle rasgele kod yürütmek için Visual Basic kodu veya veritabanı sorguları katıştırılmış rapor çalıştırmak için convinces.

Bir rapor veya kurcalanmış modeli çalışan Arabellek taşmaları yol, sunucu veya daha da kötüsü crash.

Raporlar ve modeller yayımlamak için izni olan kullanıcıların sayısını sınırlayın.

Yalnızca kimliği doğrulanmış kullanıcılar dosyaları karşıya iznine sahip olduğundan emin olun.

Raporlar Yazar kullanıcılar sql Injection, komut dosyası Sızdırma ve html ekleme saldırıları dayanacak komut dosyaları oluşturmak nasıl anladığınızdan emin olun.

Yalnızca karşıya veya raporlar ve modeller güvendiğiniz kişilerden yayımlayabilirsiniz.

Yalnızca yüklemek veya güvendiğiniz kişilerden gelen bir özel rapor öğesi denetimi kullanın.

Özel derlemeler başvuruları geçerli olduğunu doğrulamak için yüklemeden önce dosyaları gözden geçirin.

Dosya izinleri birleştirmeleri, kötü niyetli kullanıcılar tarafından yazılamıyorsa şekilde ayarlayın.

Bir raporu veya rapor Tasarımcısı önizleme sekmesinde modeli önizleme Yazar kimlik bilgileri bilgilerini kullanarak alınan önbelleğe alınmış verileri oluşturur.

Bir raporu rapor yazarın bilgisayarda önizleme diğer kullanıcıların izinli değil Aksi göreceğiniz rapor verilerini görüntülemek mümkün olabilir.

Raporlar, rapor Tasarım tamamlanırken bir sınama sunucusuna veya konum dağıtın.

Daha fazla bilgi için bkz: Raporları ve kaynakları güvenli hale getirme.

Tehditleri ve güvenlik açıklarını azaltmak için genel adımlar

Herhangi bir genel güvenliğini artırmak için aşağıdaki en iyi yöntem önerileri uygulayın rapor sunucusu dağıtım:

  • Saldırı yüzey alanı azaltmak için kullanılmayan özellikleri devre dışı bırakın.Daha fazla bilgi için bkz: Nasıl yapılır: Raporlama Hizmetleri özellikleri açma veya kapatma.

  • ssl için rapor sunucusu bağlantıları kullanın.Daha fazla bilgi için bkz: Güvenli Yuva Katmanı (ssl) bağlantıları için rapor sunucusu yapılandırma.

  • Hassas veya gizli raporları kısıtlı bir erişilebilir klasörler klasör hiyerarşisin en uzaktaki halkanın dalları klasörlere yerleştirerek sağlam izin ilkeleri destekleyen klasör hiyerarşisi oluşturmak küme kullanıcı.Raporları, modelleri, paylaşılan veri kaynakları ve rapor sunucusunda yayımlama kaynakları ve rapor sunucusu sitede belirli öğeleri klasörlerde oluşturduğunuz rol atamaları ile güvenli.Klasör hiyerarşi tam kullanıcı tanımlı olduğu için en çok o grupları birlikte klasör hiyerarşisi oluşturmak için benzer kullanıcı erişim iznine sahip tüm öğeleri olduğunu.Daha fazla bilgi için bkz: Klasörlerin güvenliğini sağlama.

  • İsteğe bağlı raporların tam güvende çalışacak üzerinde derlenmiş derlemelere olduğunu anlamak bir rapor sunucusu raporu açan kullanıcının kimlik bilgileri altında.Yönetici kimlik bilgileri bilgilerini kullanarak yerel veya etki alanı üzerinde oturum ve sonradan kötü amaçlı komut dosyası içeren bir rapor açın rapor kullanıcılar yönetici izinlerine sahip farkında olmadan bu komut dosyasını çalıştırın.Raporları görüntülerken en az ayrıcalık hesaplarını kullanmalarını teşvik edin.Daha fazla bilgi için bkz: Tümleşik güvenlik ve Elevated izinler.

  • Verileri nasıl alınır ve bir raporda kullanılan anlamak.Bir rapor gizli veri içeriyorsa, güvenlik filtreleri ve modeli öğe güvenlik uygulamak için veri kaynak olarak modelleri kullanarak düşünün.Daha fazla bilgi için bkz: Öğretici: Rapor modeli öğeler için güvenlik filtrelerini uygulama.

  • Raporun dağıtılma anlamak.Abonelik ve teslim özellikleri rapor işleme ve oluşturulan rapor dağıtma otomatikleştirmek için güçlü tekniklerdir, ancak yetkisiz erişimi önlemek için ağ klasörlerinde paylaşım izinleri varsa ve e-posta dağıtımı sınırlandır gerekip gerekmediğini belirlemek için rapor sunucusu e-posta yapılandırma ayarlarını değerlendirmek İzleyicisi'ne isteyeceksiniz.Daha fazla bilgi için bkz: Rapor dağıtım denetleme.