Compartilhar via


Proteção Estendida para Autenticação com o Reporting Services

A Proteção Estendida é um conjunto de melhorias das versões recentes do sistema operacional Microsoft Windows. A Proteção Estendida aprimora a maneira como as credenciais e a autenticação podem ser protegidas através de aplicativos. O recurso em si não oferece proteção diretamente contra ataques específicos, tais como encaminhamento de credenciais, mas oferece uma infraestrutura para aplicativos como o Reporting Services a fim de fiscalizar a Proteção Estendida para Autenticação.

Os principais aprimoramentos de autenticação que fazem parte de proteção estendida são a associação de serviço e a associação de canal. A associação de canal usa um token de associação de canal (CBT) para verificar se o canal estabelecido entre dois terminais não foi comprometido. A associação de serviço usa Nomes de Serviço Principais (SPN) para verificar o destino pretendido dos tokens de autenticação. Para obter mais informações básicas sobre a proteção estendida, consulte Autenticação Integrada do Windows com Proteção Estendida.

SQL Server 2019 (15.x) Reporting Services dá suporte e impõe a Proteção Estendida que foi habilitada no sistema operacional e configurada em Reporting Services. Por padrão, o Reporting Services aceita solicitações que especificam a autenticação Negotiate ou NTLM e, portanto, podem aproveitar o suporte à Proteção Estendida no sistema operacional e os recursos da proteção estendida do Reporting Services.

Importante

Por padrão, a Proteção Estendida não está habilitada no o Windows. Para obter informações sobre como habilitar a Proteção Estendida no Windows, consulte Proteção Estendida para Autenticação. O sistema operacional e a pilha de autenticação de cliente devem suportar a Proteção Estendida de forma que a autenticação seja bem-sucedida. Para sistemas operacionais mais antigos, pode ser necessário instalar mais de uma atualização para um computador completo compatível com a Proteção Estendida. Para obter informações sobre os desenvolvimentos mais recentes da Proteção Estendida, consulte as informações atualizadas do com a Proteção Estendida.

Visão Geral da Proteção Estendida do Reporting Services

SQL Server 2019 (15.x) Reporting Services dá suporte e impõe a proteção estendida que foi habilitada no sistema operacional. Se o sistema operacional não suportar a proteção estendida ou se o recurso não foi ativado no sistema operacional, o recurso de Proteção Estendida do Reporting Services não conseguirá ser autenticado. Reporting Services Proteção Estendida também requer um Certificado SSL. Para obter mais informações, veja Configurar conexões SSL em um Servidor de Relatório do Modo Nativo

Importante

Por padrão, a Proteção Estendida não está habilitada no Reporting Services. O recurso pode ser habilitado por meio da modificação do arquivo de configuração rsreportserver.config ou por meio das APIs WMI para atualização do arquivo de configuração. SQL Server 2019 (15.x)Reporting Services não fornece uma interface do usuário para modificar ou exibir configurações de proteção estendida. Para obter mais informações, consulte a seção de parâmetros de configuração neste tópico.

Problemas que normalmente ocorrem em virtude de alterações nas configurações de proteção estendida ou de parâmetros incorretamente configurados não são expostos com mensagens de erro óbvias nem com janelas de caixa de diálogo. Problemas relacionados à configuração e à compatibilidade de proteção estendida geram falhas de autenticação e erros nos logs de rastreamento do Reporting Services.

Importante

Algumas tecnologias de acesso a dados podem não dar suporte à proteção estendida. Uma tecnologia de acesso a dados é usada para conexão às fontes de dados do SQL Server e ao banco de dados do catálogo do Reporting Services. Se uma tecnologia de acesso a dados não der suporte à proteção estendida, o Reporting Services será afetado das seguintes maneiras:

  • O SQL Server que executa o banco de dados de catálogo do Reporting Services não pode ter a proteção estendida ativada; caso contrário, o servidor de relatório não se conectará com sucesso ao banco de dados de catálogo e gerará erros de autenticação.
  • Os servidores SQL Server usados como fontes de dados de relatórios do Reporting Services não podem ter a proteção estendida habilitada. Caso contrário, as tentativas do servidor de relatório de se conectar à fonte de dados de relatório falharão e gerarão erros de autenticação.

A documentação de uma tecnologia de acesso a dados deve ter informações sobre suporte para proteção estendida.

Atualizar

  • Atualizar um servidor Reporting Services para SQL Server 2019 (15.x) adiciona definições de configuração com valores padrão ao rsreportserver.config arquivo. Se as configurações já estiverem presentes, a instalação do SQL Server 2019 (15.x) as preservará no rsreportserver.config arquivo.

  • Quando as definições de configuração são adicionadas ao rsreportserver.config arquivo de configuração, o comportamento padrão é que o recurso de proteção estendida Reporting Services esteja desativado e você deve habilitar o recurso conforme descrito neste tópico. Para obter mais informações, consulte a seção de parâmetros de configuração neste tópico.

  • O valor padrão da configuração RSWindowsExtendedProtectionLevel é Off.

  • O valor padrão da configuração RSWindowsExtendedProtectionScenario é Proxy.

  • SQL Server 2019 (15.x) Supervisor de Atualização não verifica se o sistema operacional ou a instalação atual do Reporting Services tem o suporte de Proteção Estendida habilitado.

O que a proteção estendida do Reporting Services não contempla

As seguintes áreas de recursos e cenários não têm suporte no recurso de proteção estendida do Reporting Services:

  • Autores de extensões de segurança personalizadas do Reporting Services precisam acrescentar o suporte à proteção estendida às próprias extensões de segurança personalizadas.

  • Componentes de terceiros adicionados ou usados por uma instalação do Reporting Services precisam ser atualizados pelo fornecedor para dar suporte à proteção estendida. Para obter mais informações, entre em contato com o fornecedor externo.

Cenários e recomendações de implantação

Os cenários a seguir ilustram implantações e topologias diferentes e a configuração recomendada para protegê-los com a Proteção Estendida do Reporting Services.

Direto

Este cenário descreve a conexão direta a um servidor de relatórios, por exemplo, um ambiente de intranet.

Cenário Diagrama do cenário Como proteger
Comunicação direta por SSL.

O servidor de relatórios irá impor ao cliente à Associação de Canal do servidor de relatórios.
RS_ExtendedProtection_DirectSSL

1) Aplicativo cliente

2) Servidor de relatórios
A associação de serviço não é necessária porque o canal de SSL será usado para a Associação de Canal.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Direct.
Comunicação direta por HTTP. O servidor de relatórios irá impor ao Cliente à Associação de Serviço do servidor de relatórios. RS_ExtendedProtection_Direct

1) Aplicativo cliente

2) Servidor de relatórios
Não há nenhum Canal de SSL. Portanto, não é possível nenhuma imposição de Associação de Canal.

A associação de serviço pode ser validada, entretanto, ela sozinha não constitui uma defesa completa sem a associação de Canal e a Associação de Serviço e só protegerá contra ameaças básicas.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

Proxy e Balanceamento de Carga da Rede

Aplicativos clientes se conectam a um dispositivo ou software que executa o SSL e transmite as credenciais ao servidor para autenticação, por exemplo, um extranet, Internet ou Intranet Segura. O cliente se conecta a um Proxy ou todos os clientes usam um proxy.

A situação é a mesma quando você usa um dispositivo de Balanceamento de Carga de Rede (NLB).

Cenário Diagrama do cenário Como proteger
Comunicação por HTTP. O servidor de relatórios irá impor ao Cliente à Associação de Serviço do servidor de relatórios. RS_ExtendedProtection_Indirect

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy
Não há nenhum Canal de SSL. Portanto, não é possível nenhuma imposição de Associação de Canal.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

Observe que o servidor de relatório deve ser configurado para saber o nome do servidor proxy para garantir que a associação de serviço seja imposta corretamente.
Comunicação por HTTP.

O servidor de relatórios irá impor ao cliente à Associação de Canal do Proxy e à Associação de Serviço de servidor de relatórios.
RS_ExtendedProtection_Indirect_SSL

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy
O canal SSL com o proxy está disponível. Portanto, a associação de canal com o proxy pode ser imposta.

A Associação de Serviço também pode ser imposta.

O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para ele, com um cabeçalho de host, ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

RSWindowsExtendedProtectionLevel para Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Proxy.
Comunicação indireta de HTTPS com um proxy seguro. O servidor de relatórios irá impor ao cliente à Associação de Canal do Proxy e o à Associação de Serviço de servidor de relatórios. RS_ExtendedProtection_IndirectSSLandHTTPS

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy
O canal SSL com o proxy está disponível. Portanto, a associação de canal com o proxy pode ser imposta.

A Associação de Serviço também pode ser imposta.

O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para ele, com um cabeçalho de host, ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

RSWindowsExtendedProtectionLevel para Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Proxy.

Gateway

Este cenário descreve aplicativos Clientes que se conectam a um dispositivo ou software que realiza SSL e autentica o usuário. Então, o dispositivo ou software personifica o contexto de usuário ou o contexto de um usuário diferente antes de fazer uma solicitação ao servidor de relatórios.

Cenário Diagrama do cenário Como proteger
Comunicação indireta por HTTP.

O Gateway irá impor ao Cliente à associação de canal do Gateway. Há um Gateway para a Associação de Serviço de servidor de relatórios.
RS_ExtendedProtection_Indirect_SSL

1) Aplicativo cliente

2) Servidor de relatórios

3) Dispositivo de gateway
A Associação de Canal do cliente ao servidor de relatórios não é possível porque o gateway personifica um contexto e, portanto, cria um novo token de NTLM.

Não há nenhum SSL do Gateway para o servidor de relatórios. Portanto, a associação de canal não pode ser imposta.

A Associação de Serviço pode ser imposta.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

O dispositivo de Gateway deve ser configurado pelo seu administrador para impor a associação de canal.
Comunicação indireta de HTTPS com um gateway seguro. O Gateway irá impor ao cliente à Associação de Canal do Gateway e o servidor de relatórios irá impor ao Gateway à Associação de Canal do servidor de relatórios. RS_ExtendedProtection_IndirectSSLandHTTPS

1) Aplicativo cliente

2) Servidor de relatórios

3) Dispositivo de gateway
A Associação de Canal do cliente ao servidor de relatórios não é possível porque o gateway personifica um contexto e, portanto, cria um novo token de NTLM.

SSL do Gateway para o servidor de relatório significa que a associação de canal pode ser imposta.

A Associação de Serviço não é obrigatória.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Direct.

O dispositivo de Gateway deve ser configurado pelo seu administrador para impor a associação de canal.

Combinação

Este cenário descreve ambientes de Extranet ou Internet onde o cliente se conecta a um Proxy. Isso é combinado com um ambiente de intranet onde um cliente se conecta a um servidor de relatórios.

Cenário Diagrama do cenário Como proteger
Acesso indireto e direto do cliente ao serviço do servidor de relatórios sem SSL em conexões do cliente para o proxy ou do cliente para o servidor de relatórios. 1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

4) Aplicativo cliente
A Associação de Serviço do cliente para o servidor de relatórios pode ser imposta.

O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para ele, com um cabeçalho de host, ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.
Acesso indireto e direto do cliente com o servidor de relatórios onde o cliente estabelece uma conexão SSL com o proxy ou servidor de relatórios. RS_ExtendedProtection_CombinationSSL

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

4) Aplicativo cliente
A Associação de Canal pode ser usada

O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para o proxy, com um cabeçalho de host ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Proxy.

Configurando a proteção estendida do Reporting Services

O rsreportserver.config arquivo contém os valores de configuração que controlam o comportamento de Reporting Services proteção estendida.

Para obter mais informações sobre como usar e editar o rsreportserver.config arquivo, consulte Arquivo de configuração RSReportServer. As configurações da proteção estendida também podem ser alteradas e inspecionadas com APIs do WMI. Para obter mais informações, veja Método SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting).

Quando validação dos parâmetros de configuração falhar, os tipos de autenticação RSWindowsNTLM, RSWindowsKerberos e RSWindowsNegotiate são desativados no servidor de relatórios.

Parâmetros de configuração para a proteção estendida dos serviços de relatórios

A tabela a seguir fornece informações sobre os parâmetros de configuração que aparecem no rsreportserver.config para proteção estendida.

Configuração Descrição
RSWindowsExtendedProtectionLevel Especifica o grau de imposição da proteção estendida. Os valores válidos são Off, Allow e Require.

O valor padrão é Off.

O valor Off especifica que não há nenhuma verificação de associação de canal nem de associação de serviço.

O valor Allow suporta a proteção estendida mas não a exige. O valor Permitir especifica.

A proteção estendida será imposta para aplicativos clientes executados em sistemas operacionais que suportam a proteção estendida. A maneira como a proteção é imposta é determinada pelo parâmetro RsWindowsExtendedProtectionScenario.

A autenticação será permitida para aplicativos executados em sistemas operacionais que não suportam a proteção estendida.

O valor Require especifica:

A proteção estendida será imposta para aplicativos clientes executados em sistemas operacionais que suportam a proteção estendida.

A autenticação não será permitida para aplicativos em execução em sistemas operacionais que não dão suporte à proteção estendida.
RsWindowsExtendedProtectionScenario Especifica quais formas de proteção estendida serão validadas: associação de canal, associação de serviço ou ambas. Os valores válidos são Any, Proxy e Direct.

O valor padrão é Proxy.

O valor Any especifica:

\- A autenticação Windows NTLM, Kerberos e Negotiate e uma associação de canal não são obrigatórias.

-A Associação de Serviço é imposta.

O valor Proxy especifica:

\- A autenticação Windows NTLM, Kerberos e Negotiate quando um token de associação de canal estiver presente.

-A Associação de Serviço é imposta.

O valor Direct especifica:

- A autenticação Windows NTLM, Kerberos e Negotiate quando um CBT estiver presente, uma conexão SSL com o serviço atual estiver presente e quando o CBT da conexão SSL corresponder ao CBT do token NTLM, Kerberos ou Negotiate.

\- A Associação de Serviço não é imposta.



Observação: essa configuração será ignorada se RsWindowsExtendedProtectionLevel estiver definida OFFcomo .

Entradas de exemplo no arquivo de configuração rsreportserver.config:

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

Associação de Serviço e SPNs incluídos

A associação de serviço usa SPNs (nomes de entidades de serviço) para validar o destino pretendido dos tokens de autenticação. O Reporting Services usa as informações de reserva da URL existente para compilar uma lista de SPNs que são considerados válidos. Usando as informações de reserva de URLs para validação de SPNs e reservas de URL permite que os administradores do sistema a gerenciem ambos a partir de um único local.

A lista de SPNs válidos é atualizada quando o servidor de relatórios é iniciado, quando são alterados os parâmetros de configuração da proteção estendida ou quando o domínio do aplicativo é reciclado.

A lista válida de SPNs é específica para cada aplicativo. Por exemplo, o Gerenciador de Relatórios e o Servidor de Relatórios terão, cada um, uma lista diferente de SPNs válidos calculada.

A lista de SPNs válido calculada para um aplicativo é determinada pelos seguintes fatores:

  • Cada reserva de URL.

  • Cada SPN recuperado do controlador de domínio para a conta de serviço dos serviços de relatórios.

  • Se uma reserva de URL contiver caracteres curinga ('*' ou '+'), o Servidor de Relatórios incluirá cada entrada da lista de hosts.

Fontes de coleta de hosts.

A tabela a seguir lista as possíveis fontes da lista de Hosts.

Tipo da fonte. Descrição
ComputerNameDnsDomain O nome do domínio DNS atribuído ao computador local. Se o computador local for um nó de um cluster, será usado o nome de domínio DNS do servidor virtual de cluster.
ComputerNameDnsFullyQualified O nome DNS totalmente qualificado que identifica exclusivamente o computador local. Esse nome é uma combinação do nome de host do DNS e o nome de domínio do DNS, usando o formato HostName.DomainName. Se o computador local for um nó de um cluster, será usado o nome do DNS totalmente qualificado do servidor virtual de cluster.
ComputerNameDnsHostname O nome do host de DNS do computador local. Se o computador local for um nó de um cluster, será usado o nome de host do DNS do servidor virtual de cluster.
ComputerNameNetBIOS O nome NetBIOS do computador local. Se o computador local for um nó de um cluster, será usado o nome do NetBIOS do servidor virtual de cluster.
ComputerNamePhysicalDnsDomain O nome do domínio DNS atribuído ao computador local. Se o computador local for um nó de um cluster, será usado o nome do computador local e não o nome do servidor virtual de cluster.
ComputerNamePhysicalDnsFullyQualified O nome DNS totalmente qualificado que identifica exclusivamente o computador. Se o computador local for um nó de um cluster, será usado o nome do DNS totalmente qualificado do computador local e não o nome do servidor virtual de cluster.

O nome totalmente qualificado do DNS é uma combinação do nome de host do DNS e o nome de domínio do DNS, usando a forma HostName.DomainName.
ComputerNamePhysicalDnsHostname O nome do host de DNS do computador local. Se o computador local for um nó de um cluster, será usado o nome de host do DNS e não o nome do servidor virtual de cluster.
ComputerNamePhysicalNetBIOS O nome NetBIOS do computador local. Se o computador local for um nó de um cluster, será usado o nome do computador local e não do servidor virtual de cluster.

Para obter mais informações, consulte Registrar um SPN (nome da entidade de serviço) para um servidor de relatório e Sobre reservas e registro de URL (SSRS Configuration Manager).

Consulte Também

Conectar-se ao Mecanismo de Banco de Dados usando a Proteção Estendida Para Visão Geral da AutenticaçãoIntegrada do Windows Autenticação com Proteção Estendida Consultoria de Segurança da Microsoft: proteção estendida para autenticaçãoLog de Rastreamento do Serviço do Servidor de RelatóriosRSReportServer MétodoSetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)