Genişletilmiş koruma kullanarak veritabanı altyapısı bağlanma

Makale
12/11/2012

SQL Serverdestekleyen Genişletilmiş koruma ile başlayan SQL Server 2008 R2. Kimlik doğrulaması için koruma genişletilmiş işletim sistemi tarafından uygulanan ağ bileşenlerinin bir özelliktir. Genişletilmiş koruma Windows Server 2008 R2 ve Windows 7'de desteklenir. Genişletilmiş koruma için hizmet paketlerine dahil eski Microsoftişletim sistemleri. SQL Serverbağlantıları kullanılarak yapıldığında daha güvenli olduğunu Genişletilmiş koruma.

Önemli
Windows etkinleştirme Genişletilmiş koruma varsayılan. Nasıl etkinleştirileceği hakkında bilgi için Genişletilmiş koruma Windows'da görmek Kimlik doğrulaması için genişletilmiş koruma.

Genişletilmiş koruma açıklaması

Genişletilmiş koruma kullandığı hizmet bağlama ve Kanal bağlama kimlik geçiş saldırının engellenmesine yardımcı olmak için. Kimlik doğrulama geçiş saldırının, ntlm kimlik doğrulaması gerçekleştiren bir istemci olarak (örneğin, Windows Gezgini'nde, MicrosoftOutlook, bir.net SqlClient uygulama, vb), bir saldırganın (örneğin, kötü niyetli CIFS dosya sunucusu) bağlanır. Saldırgan istemci gibi masquerade ve hizmete doğrulamak için istemcinin kimlik bilgilerini kullanır (örneğin, örneğini Veritabanı Altyapısıhizmet).

Bu saldırının iki çeşidi vardır:

Luring bir saldırıda, istemci bir saldırgan için gönüllü olarak bağlanmaya belgeleriyle sokulmuş.
Bir sızdırma saldırısı, istemcinin geçerli bir servisine niyetinde, ancak olduğunu farkında bir ya da her ikisini de dns ve IP yönlendirme bağlantısı yerine saldırganın yönlendirmek için zehirli.

SQL Serverdestekler hizmet bağlama ve Kanal bağlama üzerinde bu saldırıların azaltılmasına yardımcı olmak için SQL Serverörnekleri.

Hizmet bağlama

Hizmet bağlama adreslerini imzalı hizmet asıl adı (spn) göndermek için istemci kılarak saldırıları etmesidir SQL Serverbağlanmak için istemci niyetinde hizmet. Kimlik doğrulama yanıtı bir parçası olarak, hizmet paketinde alınmış spn kendi spn eşleştiğini doğrular. Bir istemci bir saldırganın bağlanmak için belgeleriyle sokulmuş, istemci kendi imzalı spn içerecektir. Saldırgan gerçek kimliğini doğrulamak için paket geçiş olamaz SQL Serverhizmet istemcisi olarak, spn saldırganın içerdiğinden. Bir kerelik, ihmal edilebilir maliyet hizmet bağlama doğurur, ancak sızdırma saldırılarına gidermez. SERVICE bağlama oluşur bir istemci uygulaması, bağlanmak için şifreleme kullanmayan SQL Server.

Kanal bağlama

Kanal bağlama kurar istemcisi ve örneği arasında güvenli kanal (Schannel) SQL Serverhizmet. Hizmet, istemci kimlik doğrulaması istemci Kanal bağlama belirteci (cbt) özel kanal, kendi TCMB ile karşılaştırarak doğrular. Kanal hem etmesidir ve bilgi sızdırma saldırılarına adresler bağlama. Ancak, Aktarım Katmanı Güvenliği (tls) şifrelemesi tüm oturum trafiği gerektirdiğinden maliyeti, daha büyük bir çalışma zamanı doğurur. Kanal bağlama oluşur şifreleme istemci uygulaması ile bağlanmak için kullandığında SQL Serverşifreleme istemci veya sunucu tarafından zorlanır bakılmaksızın.

İşletim sistemi desteği

Aşağıdaki bağlantılar, Windows destekleme biçimi hakkında daha fazla bilgi sağlar Genişletilmiş koruma:

Ayarlar

Üç SQL Serverhizmet bağlama ve Kanal bağlama etkileyen bağlantı ayarlarını. Ayarları kullanılarak yapılandırılabilir SQL ServerConfiguration Manager ile WMI kullanarak ve ile görüntülendi kullanarak Server iletişim kuralı ayarları ilke tabanlı yönetimi tarafı.

Şifreleme gücü

Olası değerler On ve Off. Kanal bağlamanın Force Encryption ayarlanmalıdır üzerinde, ve tüm istemciler şifrelemek zorunda olacak. Eğer Off, yalnızca hizmet bağlama garantili. Şifreleme gücü yeri protokolleri için mssqlserver özellikleri (Seçenekler sekmesi) de SQL ServerYapılandırma Yöneticisi.
Genişletilmiş koruma

Olası değerler Off, izin, ve gerekli. Genişletilmiş koruma değişkeni kullanıcıları yapılandırma sağlar Genişletilmiş koruma düzeyi her SQL Serverörneği. Genişletilmiş koruma yeri protokolleri için mssqlserver özellikleri (Gelişmiş sekmesi) de SQL ServerYapılandırma Yöneticisi.
- Ayarlandığında Off, Genişletilmiş koruma devre dışı bırakılır. Örneğini SQL Serveristemci veya korumalı bakılmaksızın tüm istemci bağlantılarını kabul edecek. Kapalı eski ve yamasız işletim sistemleriyle uyumlu olduğunu, ancak daha az güvenlidir. İstemci işletim sistemleri, genişletilmiş koruma desteklemeyen bildiğinizde, bu ayarı kullanın.
- Ayarlandığında izin, Genişletilmiş koruma bağlantılarını destekleyen işletim sistemleri için gerekli Genişletilmiş koruma. Genişletilmiş koruma bağlantılarını desteklemeyen işletim sistemleri için göz ardı Genişletilmiş koruma. Korumalı istemci işletim sistemleri üzerinde çalışan korumasız istemci uygulamaları bağlantıları reddedilir. Bu ayar daha güvenli Off, ama en güvenli ayar değildir. Burada bazı işletim sistemleri desteği, karma ortamlarda, bu ayarı kullanın Genişletilmiş koruma ve bazı yoktur.
- Ayarlandığında gerekli, korumalı işletim sistemlerinde korumalı uygulamalardan sadece bağlantıları kabul edilir. Bu ayar en güvenli bağlantıları ama işletim sistemleri veya desteklemeyen uygulamalar olduğunu Genişletilmiş koruma bağlanmak mümkün olmayacaktır SQL Server.
Kabul edilen ntlm SPN

ntlm SPN'ler kabul değişken tabi bir sunucuda birden fazla spn tarafından bilinmektedir. Bir istemci sunucu bilmiyor geçerli bir spn kullanarak sunucuya bağlanmaya çalıştığında, hizmet bağlama başarısız olur. Bu sorunu önlemek için kullanıcıların sunucu kullanarak temsil eden birkaç SPN'ler belirtebilirsiniz ntlm SPN'ler kabul. ntlm SPN'ler kabul ise SPN bir dizi benim noktalı virgülle ayrılmış. Örneğin, SPN MSSQLSvc izin / HostName1.Contoso.com ve MSSQLSvc / HostName2.Contoso.com, MSSQLSvc/HostName1.Contoso.com; yazınMSSQLSvc/HostName2.Contoso.com içinde ntlm SPN'ler kabul kutusu. Değişken en çok 2.048 karakter vardır. ntlm SPN'ler kabul yeri protokolleri için mssqlserver özellikleri (Gelişmiş sekmesi) de SQL ServerYapılandırma Yöneticisi.

Veritabanı altyapısı için genişletilmiş koruma etkinleştirme

Kullanmak için Genişletilmiş koruma, hem sunucu hem de istemci işletim sistemi destekleyen olmalıdır Genişletilmiş koruma, ve Genişletilmiş koruma işletim sisteminde etkinleştirilmiş olması gerekir. Etkinleştirme hakkında daha fazla bilgi için Genişletilmiş koruma işletim sistemi için bkz Kimlik doğrulaması için genişletilmiş koruma.

SQL Serverdestekleyen Genişletilmiş koruma ile başlayan SQL Server 2008 R2. Genişletilmiş koruma bazı eski sürümleri için SQL Servergelecekteki güncelleştirmeleri kullanıma sunulacaktır. Etkinleştirdikten sonra Genişletilmiş koruma sunucu bilgisayarda etkinleştirmek için aşağıdaki adımları kullanın Genişletilmiş koruma:

Tarih Start menüsünden seçin Tüm programlar, işaret Microsoft SQL Server tıklatıp SQL Server Configuration Manager.
Genişletmek SQL Server ağ yapılandırmasıve sağ protokolleri için < ÖrnekAdı>ve'yi özellikleri.
Her iki kanal bağlama ve bağlama, üzerinde hizmet İleri sekmesinde, ayarlamak Genişletilmiş koruma için uygun ayarı.
İsteğe bağlı olarak, ne zaman bir sunucu birden spn tarafından üzerinde bilinen İleri Yapılandırma sekmesini ntlm SPN'ler kabul alan "Ayarlar" konusunda açıklandığı gibi Bölüm.
Kanal bağlama, üzerinde Flags sekmesinde, ayarlamak Force Encryption için On.
Yeniden Veritabanı Altyapısıhizmet.

Diğer SQL Server bileşenlerini yapılandırma

Nasıl yapılandırılacağı hakkında daha fazla bilgi için Reporting Servicesbakın Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma.

Erişmek için IIS kullanarak Analysis Servicesbir http veya HTTPs bağlantısı kullanarak veri Analysis ServicesGenişletilmiş, IIS tarafından sağlanan koruma yararlanabilirsiniz. Genişletilmiş koruma kullanmak için IIS yapılandırma hakkında daha fazla bilgi için bkz: Genişletilmiş koruma IIS 7.5 yapılandırma.