Připojení k databázovému stroji s rozšířenou ochranou

platí pro:SQL Server

SQL Server podporuje rozšířenou ochranu počínaje SQL Serverem 2008 R2 (10.50.x).

Rozšířená ochrana pomáhá zabránit útokům typu relay tím, že zajišťuje, aby klient věděl, ke které službě se připojuje.

rozšířená ochrana je funkce síťových komponent implementovaných operačním systémem. rozšířená ochrana je podporována v systémech Windows 7 a Windows Server 2008 R2. rozšířená ochrana je součástí aktualizací Service Pack pro starší operační systémy Microsoftu.

SQL Server je bezpečnější při vytváření připojení pomocí Extended Protection.

Popis rozšířené ochrany

Extended Protection používá vazbu služby a vazbu kanálu k zamezení útoku typu relay na ověřování. Při útoku přes předávací ověřování se klient, který může provádět ověřování NTLM (například Průzkumník Windows, Microsoft Outlook, aplikace .NET SqlClient atd.), připojuje k útočníkovi (například škodlivý souborový server CIFS). Útočník používá přihlašovací údaje klienta k maskování jako klienta a ověření ve službě (například instanci databázového stroje).

Existují dvě varianty tohoto útoku:

• V klamavém útoku je klient nalákán, aby se dobrovolně připojil k útočníkovi.

• V útoku typu spoofing se klient hodlá připojit k platné službě, ale neví, že jeden nebo oba, jak DNS, tak směrování IP, jsou pozměněny, aby přesměrovaly připojení k útočníkovi.

SQL Server podporuje vazbu služeb a vazbu kanálů, které pomáhají omezit tyto útoky na instance SQL Serveru.

Propojení služby

Vazba služby předchází útokům tím, že vyžaduje, aby klient odeslal podepsaný hlavní název služby (SPN) služby SQL Serveru, ke které se klient chce připojit. V rámci odpovědi na ověření služba ověří, že SPN (hlavní název služby) přijatý v paketu odpovídá jejímu vlastnímu SPN. Pokud je klient nalákán k připojení k útočníkovi, zahrnuje podepsané SPN útočníka. Útočník nemůže předat paket k ověření skutečné službě SQL Serveru jako klienta, protože by zahrnoval hlavní název služby (SPN) útočníka. Vazba služby způsobuje jednorázové, zanedbatelné náklady, ale neřeší útoky na falšování identity. Vytvoření vazby pro službu nastane, když klientská aplikace nepoužívá šifrování pro připojení k serveru SQL.

Vázání kanálu

Vazba kanálu vytvoří zabezpečený kanál (Schannel) mezi klientem a instancí služby SQL Server. Služba ověřuje pravost klienta tím, že porovnává klientův token vazby kanálu (CBT) specifický pro tento kanál s vlastním CBT. Vazby kanálu řeší jak útoky lákání, tak útoky spoofingu. V důsledku toho však za běhu vznikají vyšší náklady, protože vyžaduje šifrování veškerého datového provozu relace pomocí TLS (Transport Layer Security). Vazba kanálu nastane, když klientská aplikace používá šifrování pro připojení k SQL Serveru bez ohledu na to, zda je šifrování vynuceno klientem nebo serverem.

Varování

SQL Server a poskytovatelé dat Microsoftu pro SQL Server podporují protokol TLS 1.0 a SSL 3.0. Pokud vynucujete jiný protokol (například TLS 1.1 nebo TLS 1.2) provedením změn ve vrstvě SChannel operačního systému, může dojít k selhání připojení k SQL Serveru. Ujistěte se, že máte nejnovější build SQL Serveru pro podporu protokolu TLS 1.1 nebo TLS 1.2. Další informace najdete v tématu https://support.microsoft.com/topic/kb3135244-tls-1-2-support-for-microsoft-sql-server-e4472ef8-90a9-13c1-e4d8-44aad198cdbe.

Podpora operačního systému

Následující odkazy obsahují další informace o tom, jak systém Windows podporuje rozšířenou ochranu:

• integrované ověřování systému Windows s rozšířenou ochranou

• Poradce Microsoftu pro zabezpečení (973811), Rozšířená ochrana pro ověřování

Nastavení

Existují tři nastavení připojení SQL Serveru, která ovlivňují vazbu služby a vazbu kanálu. Nastavení je možné nakonfigurovat pomocí nástroje SQL Server Configuration Manager nebo rozhraní WMI a zobrazit pomocí stránky Nastavení protokolu serveru jako aspekty Správy založené na zásadách.

Vynucení šifrování

Možné hodnoty jsou Zapnuto a Vypnuto. Chcete-li použít vazbu kanálu, Vynucené šifrování musí být nastaveno na Zapnutoa všichni klienti musí šifrovat. Pokud je Vypnuto, zaručuje se pouze vazba služby. Funkce šifrování je součástí protokolů vlastností MSSQLSERVER (karta Příznaky) v SQL Server Configuration Manager.

Rozšířená ochrana

Možné hodnoty jsou Vypnuto, Povolenéa Povinné. Proměnná Extended Protection umožňuje uživatelům nakonfigurovat úroveň rozšířené ochrany pro každou instanci SQL Serveru. rozšířené ochrany je v nástroji SQL Server Configuration Manager na protokoly pro vlastnosti MSSQLSERVER (Advanced Tab).

Pokud je nastavená možnost Vypnuto, rozšířená ochrana je zakázaná. Instance SQL Serveru přijímá připojení z libovolného klienta bez ohledu na to, jestli je klient chráněný nebo ne. vypnuto je kompatibilní se staršími a nepatchovanými operačními systémy, ale je méně zabezpečená. Toto nastavení použijte, pokud klientské operační systémy nepodporují rozšířenou ochranu.

Pokud je tato možnost nastavena na Povoleno, je rozšířená ochrana vyžadována pro připojení z operačních systémů, které podporují rozšířenou ochranu. rozšířená ochrana se ignoruje u připojení z operačních systémů, která nepodporují rozšířenou ochranu. Připojení z nechráněných klientských aplikací spuštěných v chráněných klientských operačních systémech jsou odmítnuta. Toto nastavení je bezpečnější než Vypnuto, ale není to nejbezpečnější. Toto nastavení použijte ve smíšených prostředích; některé operační systémy podporují rozšířenou ochranua jiné ne.

Je-li nastavena na Povinné, jsou přijata pouze připojení z chráněných aplikací v chráněných operačních systémech. Toto nastavení je nejbezpečnější, ale připojení z operačních systémů nebo aplikací, které nepodporují rozšířenou ochranu nebudou moct připojit k SQL Serveru.

Přijaté názvy služeb NTLM

Akceptované hlavní názvy služby NTLM proměnné je potřeba, pokud server zná více než jeden hlavní název služby( SPN). Když se klient pokusí připojit k serveru pomocí platného hlavního názvu služby(SPN), který server nezná, vazba služby selže. Chcete-li se tomuto problému vyhnout, mohou uživatelé zadat několik SPN, které představují server pomocí akceptovaných NTLM SPN. Přijaté SPN NTLM jsou série SPN oddělené středníky. Pokud chcete například povolit názvy hlavních služeb MSSQLSvc/HostName1.Contoso.com a MSSQLSvc/HostName2.Contoso.com, zadejte MSSQLSvc/HostName1.Contoso.com;MSSQLSvc/HostName2.Contoso.com v poli Akceptované názvy hlavních služeb NTLM. Proměnná má maximální délku 2 048 znaků. akceptované hlavní názvy služby NTLM jsou na protokolech pro vlastnosti MSSQLSERVER (pokročilá karta) v nástroji SQL Server Configuration Manager.

Povolení rozšířené ochrany pro databázový stroj

Chcete-li použít rozšířenou ochranu, musí mít server i klient operační systém, který podporuje rozšířenou ochranu a musí být povolen v operačním systému. Další informace o povolení rozšířené ochrany pro operační systém naleznete v tématu Rozšířená ochrana pro ověřování.

I když jsou rozšířená ochrana a NTLMv2 ve výchozím nastavení povolené ve všech podporovaných verzích Windows, rozšířená ochrana není ve výchozím nastavení aktivována pro připojení k SQL Serveru. Uživatelé ho musí ručně povolit v SQL Server Configuration Manager.

Chcete-li povolit rozšířenou ochranu pro připojení SQL Serveru, musí správci nakonfigurovat nastavení v nástroji SQL Server Configuration Manager. To zahrnuje možnosti vazby služeb a vázání kanálu pro zmírnění různých typů útoků pomocí předání ověřování. Podrobné pokyny najdete v dokumentaci k SQL Serveru při konfiguraci rozšířené ochrany.

Po povolení rozšířené ochrany na serverovém počítači povolte rozšířenou ochranupomocí následujícího postupu:

1. V nabídce Start vyberte Všechny programy, přejděte na položku Microsoft SQL Server a potom vyberte SQL Server Configuration Manager.

2. Rozbalte Konfiguraci sítě SQL Servera klikněte pravým tlačítkem myši na Protokoly pro _<_InstanceName*>* a potom vyberte Vlastnosti.

3. na kartě Pokročilá nastavte Rozšířenou Ochranu na odpovídající nastavení jak pro vazbu kanálu, tak pro vazbu služby.

4. Volitelně, pokud více než jeden SPN zná server, nakonfigurujte na kartě Upřesnit pole Akceptované SPN NTLM, jak je uvedeno v části Nastavení.

5. U vazby kanálu na kartě Příznaky nastavte Nutit šifrování na Zapnuto.

6. Restartujte službu databázového stroje.

Konfigurace dalších součástí SQL Serveru

Další informace o konfiguraci služby Reporting Services naleznete v tématu Rozšířená ochrana pro ověřování pomocí služby Reporting Services.

Při použití služby IIS pro přístup k datům služby Analysis Services pomocí připojení HTTP nebo HTTPS může služba Analysis Services využívat rozšířenou ochranu poskytovanou službou IIS. Další informace o tom, jak nakonfigurovat službu IIS tak, aby používala rozšířenou ochranu, naleznete v tématu Konfigurace rozšířené ochrany ve službě IIS 7.5.

Související obsah

• konfigurace sítě serveru
• Konfigurace Klientské Sítě
• Rozšířené ochrany pro ověřování – přehled
• integrované ověřování systému Windows s rozšířenou ochranou