Partilhar via

Proteção Estendida para Autenticação com o Reporting Services

  • Artigo

A Proteção Estendida é um conjunto de melhorias das versões recentes do sistema operacional Windows Microsoft. A Proteção Estendida aprimora a maneira como as credenciais e a autenticação podem ser protegidas através de aplicativos. O recurso em si não oferece proteção diretamente contra ataques específicos, tais como encaminhamento de credenciais, mas oferece uma infraestrutura para aplicativos tais como Reporting Services para fiscalizar a Proteção Estendida para Autenticação.

Os principais aprimoramentos de autenticação que fazem parte de proteção estendida são a associação de serviço e a associação de canal. A associação de canal usa um token de associação de canal (CBT) para verificar se o canal estabelecido entre dois terminais não foi comprometido. A associação de serviço usa Nomes de Serviço Principais (SPN) para verificar o destino pretendido dos tokens de autenticação. Para obter mais informações básicas sobre a proteção estendida, consulte Autenticação Integrada do Windows com Proteção Estendida.

O SQL Server 2012 Reporting Services dá suporte e impõe Proteção Estendida que foi ativada no sistema operacional e configurada no Reporting Services. Por padrão, o Reporting Servicesaceita solicitações que especificam a autenticação Negotiate ou NTLM e, portanto, podem aproveitar o suporte à Proteção Estendida no sistema operacional e os recursos da proteção estendida do Reporting Services.

Observação importanteImportante

Por padrão, a Proteção Estendida não está habilitada no o Windows. Para obter informações sobre como habilitar a Proteção Estendida no Windows, consulte Proteção Estendida para Autenticação. O sistema operacional e a pilha de autenticação de cliente devem suportar a Proteção Estendida de forma que a autenticação seja bem-sucedida. Para sistemas operacionais mais antigos, pode ser necessário instalar mais de uma atualização para um computador completo compatível com a Proteção Estendida. Para obter informações sobre os desenvolvimentos mais recentes da Proteção Estendida, consulte as informações atualizadas do com a Proteção Estendida.

Visão Geral da Proteção Estendida do Reporting Services

O SQL Server 2012 Reporting Services dá suporte e reforça a proteção estendida que foi habilitada no sistema operacional. Se o sistema operacional não der suporte à proteção estendida ou o recurso não tiver sido habilitado no sistema operacional, a proteção estendida do Reporting Services não passará na autenticação. A Proteção Estendida do Reporting Services também requer um Certificado SSL. Para obter mais informações, consulte Configurar conexões SSL em um servidor de relatórios de modo nativo

Observação importanteImportante

Por padrão, o Reporting Services não vem com a Proteção Estendida habilitada. O recurso pode ser habilitado por meio da modificação do arquivo de configuração rsreportserver.config ou por meio das APIs WMI para atualização do arquivo de configuração. O SQL Server 2012 Reporting Services não fornece uma interface do usuário para modificar ou exibir configurações de proteção estendida. Para obter mais informações, consulte a seção de parâmetros de configuração neste tópico.

Problemas que normalmente ocorrem em virtude de alterações nas configurações de proteção estendida ou de parâmetros incorretamente configurados não são expostos com mensagens de erro óbvias nem com janelas de caixa de diálogo. Problemas relacionados à configuração e à compatibilidade de proteção estendida geram falhas de autenticação e erros nos logs de rastreamento do Reporting Services.

Observação importanteImportante

Algumas tecnologias de acesso a dados podem não dar suporte à proteção estendida. Uma tecnologia de acesso a dados é usada para conexão às fontes de dados do SQL Server e ao banco de dados do catálogo do Reporting Services. Se uma tecnologia de acesso a dados não der suporte à proteção estendida, o Reporting Services será afetado das seguintes maneiras:

  • O SQL Server que executa o banco de dados de catálogo Reporting Services não pode ter a proteção estendida ativada; caso contrário, o servidor de relatório não se conectará com sucesso ao banco de dados de catálogo e gerará erros de autenticação.

  • Os servidores SQL Server usados como fontes de dados de relatórios Reporting Services não podem ter a proteção estendida habilitada. Caso contrário, as tentativas do servidor de relatório de se conectar à fonte de dados de relatório falharão e gerarão erros de autenticação.

A documentação de uma tecnologia de acesso a dados deve ter informações sobre suporte para proteção estendida.

Atualizar

  • A atualização de um servidor do Reporting Services para o SQL Server 2012 adiciona parâmetros de configuração com valores padrão para o arquivo rsreportserver.config. Se as configurações já estavam presentes, a instalação do SQL Server 2012 as preservará no arquivo rsreportserver.config.

  • Quando os parâmetros de configuração forem adicionados ao arquivo de configuração rsreportserver.config, o comportamento padrão será que o recurso de proteção estendida do Reporting Services esteja desativado e você deverá habilitar o recurso da forma descrita neste tópico. Para obter mais informações, consulte a seção sobre parâmetros de configuração neste tópico.

  • O valor padrão da configuração RSWindowsExtendedProtectionLevel é Off.

  • O valor padrão da configuração RSWindowsExtendedProtectionScenario é Proxy.

  • O Supervisor de Atualização do SQL Server 2012 não verifica se o suporte à Proteção Estendida do sistema operacional ou da instalação atual do Reporting Services está habilitada.

O que a proteção estendida do Reporting Services não contempla

As seguintes áreas de recursos e cenários não têm suporte no recurso de proteção estendida do Reporting Services:

  • Autores de extensões de segurança personalizadas do Reporting Services devem acrescentar o suporte à proteção estendida à sua extensão de segurança personalizada.

  • Componentes de terceiros adicionados ou usados por uma instalação do Reporting Services devem ser atualizados pelo fornecedor para dar suporte à proteção estendida. Para obter mais informações, entre em contato com o fornecedor externo.

Cenários e recomendações de implantação

Os cenários a seguir ilustram implantações e topologias diferentes e a configuração recomendada para protegê-los com a Proteção Estendida do Reporting Services.

Direto

Este cenário descreve a conexão direta a um servidor de relatórios, por exemplo, um ambiente de intranet.

Cenário

Diagrama do cenário

Como proteger

Comunicação direta por SSL.

O servidor de relatórios irá impor ao cliente à Associação de Canal do servidor de relatórios.

 RS_ExtendedProtection_DirectSSL

1) Aplicativo cliente

2) Servidor de relatórios

  • A associação de serviço não é necessária porque o canal de SSL será usado para a Associação de Canal.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Direct.

Comunicação direta por HTTP. O servidor de relatórios irá impor ao Cliente à Associação de Serviço do servidor de relatórios.

 RS_ExtendedProtection_Direct

1) Aplicativo cliente

2) Servidor de relatórios

  • Não há nenhum Canal de SSL. Portanto, não é possível nenhuma imposição de Associação de Canal.

  • A associação de serviço pode ser validada, entretanto, ela sozinha não constitui uma defesa completa sem a associação de Canal e a Associação de Serviço e só protegerá contra ameaças básicas.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

Proxy e Balanceamento de Carga da Rede

Aplicativos clientes se conectam a um dispositivo ou software que executa o SSL e transmite as credenciais ao servidor para autenticação, por exemplo, um extranet, Internet ou Intranet Segura. O cliente se conecta a um Proxy ou todos os clientes usam um proxy.

A situação é a mesma quando você usa um dispositivo de Balanceamento de Carga de Rede (NLB).

Cenário

Diagrama do cenário

Como proteger

Comunicação por HTTP. O servidor de relatórios irá impor ao cliente à Associação de Serviço do servidor de relatórios.

 RS_ExtendedProtection_Indirect

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

  • Não há nenhum Canal de SSL. Portanto, não é possível nenhuma imposição de Associação de Canal.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

  • O servidor de relatórios deve ser configurado para saber o nome do servidor de proxy para verificar se a associação de serviço é imposta corretamente.

Comunicação por HTTP.

O servidor de relatórios irá impor ao cliente à Associação de Canal do Proxy e à Associação de Serviço de servidor de relatórios.

 RS_ExtendedProtection_Indirect_SSL

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

  • O canal SSL com o proxy está disponível. Portanto, a associação de canal com o proxy pode ser imposta.

  • A Associação de Serviço também pode ser imposta.

  • O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para ele, com um cabeçalho de host, ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

RSWindowsExtendedProtectionLevel para Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Proxy.

Comunicação indireta de HTTPS com um proxy seguro. O servidor de relatórios irá impor ao cliente à Associação de Canal do Proxy e o à Associação de Serviço de servidor de relatórios.

 RS_ExtendedProtection_IndirectSSLandHTTPS

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

  • O canal SSL com o proxy está disponível. Portanto, a associação de canal com o proxy pode ser imposta.

  • A Associação de Serviço também pode ser imposta.

  • O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para ele, com um cabeçalho de host, ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

RSWindowsExtendedProtectionLevel para Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Proxy.

Gateway

Este cenário descreve aplicativos Clientes que se conectam a um dispositivo ou software que realiza SSL e autentica o usuário. Então, o dispositivo ou software personifica o contexto de usuário ou o contexto de um usuário diferente antes de fazer uma solicitação ao servidor de relatórios.

Cenário

Diagrama do cenário

Como proteger

Comunicação indireta por HTTP.

O Gateway irá impor ao Cliente à associação de canal do Gateway. Há um Gateway para a Associação de Serviço de servidor de relatórios.

 RS_ExtendedProtection_Indirect_SSL

1) Aplicativo cliente

2) Servidor de relatórios

3) Dispositivo de gateway

  • A Associação de Canal do cliente ao servidor de relatórios não é possível porque o gateway personifica um contexto e, portanto, cria um novo token de NTLM.

  • Não há nenhum SSL do Gateway para o servidor de relatórios. Portanto, a associação de canal não pode ser imposta.

  • A Associação de Serviço pode ser imposta.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

  • O dispositivo de Gateway deve ser configurado pelo seu administrador para impor a associação de canal.

Comunicação indireta de HTTPS com um gateway seguro. O Gateway irá impor ao cliente à Associação de Canal do Gateway e o servidor de relatórios irá impor ao Gateway à Associação de Canal do servidor de relatórios.

 RS_ExtendedProtection_IndirectSSLandHTTPS

1) Aplicativo cliente

2) Servidor de relatórios

3) Dispositivo de gateway

  • A Associação de Canal do cliente ao servidor de relatórios não é possível porque o gateway personifica um contexto e, portanto, cria um novo token de NTLM.

  • O SSL do Gateway para o servidor de relatórios significa que a associação de canal pode ser imposta.

  • A Associação de Serviço não é obrigatória.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Direct.

  • O dispositivo de Gateway deve ser configurado pelo seu administrador para impor a associação de canal.

Combinação

Este cenário descreve ambientes de Extranet ou Internet onde o cliente se conecta a um Proxy. Isso é combinado com um ambiente de intranet onde um cliente se conecta a um servidor de relatórios.

Cenário

Diagrama do cenário

Como proteger

Acesso indireto e direto do cliente ao serviço do servidor de relatórios sem SSL em conexões do cliente para o proxy ou do cliente para o servidor de relatórios.

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

4) Aplicativo cliente

  • A Associação de Serviço do cliente para o servidor de relatórios pode ser imposta.

  • O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para ele, com um cabeçalho de host, ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Any.

Acesso indireto e direto do cliente com o servidor de relatórios onde o cliente estabelece uma conexão SSL com o proxy ou servidor de relatórios.

 RS_ExtendedProtection_CombinationSSL

1) Aplicativo cliente

2) Servidor de relatórios

3) Proxy

4) Aplicativo cliente

  • A Associação de Canal pode ser usada

  • O nome de Proxy deve ser conhecido pelo servidor de relatórios e o administrador de servidor de relatórios deverá criar uma reserva de URL para o proxy, com um cabeçalho de host ou configurar o nome de Proxy na entrada BackConnectionHostNames do Registro do Windows.

Defina RSWindowsExtendedProtectionLevel como Allow ou Require.

Defina RSWindowsExtendedProtectionScenario como Proxy.

Configurando a proteção estendida do Reporting Services

O arquivo rsreportserver.config contém os valores de configuração que controlam o comportamento da proteção estendida do Reporting Services.

Para obter mais informações sobre como usar e editar o arquivo de configuração do rsreportserver.config, consulte Arquivo de configuração RSReportServer. As configurações da proteção estendida também podem ser alteradas e inspecionadas com APIs do WMI. Para obter mais informações, consulte Método SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting).

Quando validação dos parâmetros de configuração falhar, os tipos de autenticação RSWindowsNTLM, RSWindowsKerberos e RSWindowsNegotiate são desativados no servidor de relatórios.

Parâmetros de configuração para a proteção estendida dos serviços de relatórios

A tabela a seguir fornece informações sobre os parâmetros de configuração que aparecem no rsreportserver.config para proteção estendida.

Configuração

Descrição

RSWindowsExtendedProtectionLevel

Especifica o grau de imposição da proteção estendida. Os valores válidos são Off, Allow e Require.

O valor padrão é Off.

O valor Off especifica que não há nenhuma verificação de associação de canal nem de associação de serviço.

O valor Allow suporta a proteção estendida mas não a exige. O valor Permitir especifica.

  • A proteção estendida será imposta para aplicativos clientes executados em sistemas operacionais que suportam a proteção estendida. A maneira como a proteção é imposta é determinada pelo parâmetro RsWindowsExtendedProtectionScenario.

  • A autenticação será permitida para aplicativos executados em sistemas operacionais que não suportam a proteção estendida.

O valor Require especifica:

  • A proteção estendida será imposta para aplicativos clientes executados em sistemas operacionais que suportam a proteção estendida.

  • A autenticação não será permitida para aplicativos executados em sistemas operacionais que não suportam a proteção estendida.

RsWindowsExtendedProtectionScenario

Especifica que formas de proteção estendida serão validadas: Associação de Canal, Associação de Serviço ou ambas. Os valores válidos são Any, Proxy e Direct.

O valor padrão é Proxy.

O valor Any especifica:

  • A autenticação Windows NTLM, Kerberos e Negotiate e uma associação de canal não são obrigatórias.

  • A Associação de Serviço é imposta.

O valor Proxy especifica:

  • A autenticação Windows NTLM, Kerberos e Negotiate quando um token de associação de canal estiver presente.

  • A Associação de Serviço é imposta.

O valor Direct especifica:

  • A autenticação Windows NTLM, Kerberos e Negotiate quando um CBT estiver presente, uma conexão SSL com o serviço atual estiver presente e quando o CBT da conexão SSL coincidir com o CBT do token NTLM, Kerberos ou Negotiate.

  • A Associação de Serviço não é imposta.

ObservaçãoObservação

Esta configuração será ignorada se RsWindowsExtendedProtectionLevel for definido como OFF.

Entradas de exemplo no arquivo de configuração rsreportserver.config:

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

Associação de Serviço e SPNs incluídos

A associação de serviço usa SPNs (nomes de entidades de serviço) para validar o destino pretendido dos tokens de autenticação. O Reporting Services usa as informações de reserva da URL existente para compilar uma lista de SPNs que são considerados válidos. Usando as informações de reserva de URLs para validação de SPNs e reservas de URL permite que os administradores do sistema a gerenciem ambos a partir de um único local.

A lista de SPNs válidos é atualizada quando o servidor de relatórios é iniciado, quando são alterados os parâmetros de configuração da proteção estendida ou quando o domínio do aplicativo é reciclado.

A lista válida de SPNs é específica para cada aplicativo. Por exemplo, o Gerenciador de Relatórios e o Servidor de Relatórios terão, cada um, uma lista diferente de SPNs válidos calculada.

A lista de SPNs válido calculada para um aplicativo é determinada pelos seguintes fatores:

  • Cada reserva de URL.

  • Cada SPN recuperado do controlador de domínio para a conta de serviço dos serviços de relatórios.

  • Se uma reserva de URL contiver caracteres curinga ('*' ou '+'), o Servidor de Relatórios incluirá cada entrada da lista de hosts.

Fontes de coleta de hosts.

A tabela a seguir lista as possíveis fontes da lista de Hosts.

Tipo da fonte.

Descrição

ComputerNameDnsDomain

O nome do domínio DNS atribuído ao computador local. Se o computador local for um nó de um cluster, será usado o nome de domínio DNS do servidor virtual de cluster.

ComputerNameDnsFullyQualified

O nome DNS totalmente qualificado que identifica exclusivamente o computador local. Esse nome é uma combinação do nome de host do DNS e o nome de domínio do DNS, com o formato HostName.DomainName. Se o computador local for um nó de um cluster, será usado o nome do DNS totalmente qualificado do servidor virtual de cluster.

ComputerNameDnsHostname

o nome do host de DNS do computador local. Se o computador local for um nó de um cluster, será usado o nome de host do DNS do servidor virtual de cluster.

ComputerNameNetBIOS

O nome NetBIOS do computador local. Se o computador local for um nó de um cluster, será usado o nome do NetBIOS do servidor virtual de cluster.

ComputerNamePhysicalDnsDomain

O nome do domínio DNS atribuído ao computador local. Se o computador local for um nó de um cluster, será usado o nome do computador local e não o nome do servidor virtual de cluster.

ComputerNamePhysicalDnsFullyQualified

O nome DNS totalmente qualificado que identifica exclusivamente o computador. Se o computador local for um nó de um cluster, será usado o nome do DNS totalmente qualificado do computador local e não o nome do servidor virtual de cluster.

O nome totalmente qualificado do DNS é uma combinação do nome de host do DNS e do nome de domínio do DNS, com a forma HostName.DomainName.

ComputerNamePhysicalDnsHostname

O nome do host de DNS do computador local. Se o computador local for um nó de um cluster, será usado o nome de host do DNS e não o nome do servidor virtual de cluster.

ComputerNamePhysicalNetBIOS

O nome NetBIOS do computador local. Se o computador local for um nó de um cluster, será usado o nome do computador local e não do servidor virtual de cluster.

À medida que SPNs são adicionados, uma entrada é adicionada ao log de rastreamento, que se assemelha ao seguinte:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Para obter mais informações, consulte Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório e Sobre reservas e registro de URL.

Consulte também

Referência

Método SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)

Conceitos

Conectar-se ao mecanismo de banco de dados usando proteção estendida

Log de rastreamento do serviço Servidor de Relatório

Arquivo de configuração RSReportServer

Outros recursos

Visão geral sobre a Proteção Estendida para Autenticação

Autenticação Integrada do Windows com Proteção Estendida

Microsoft Security Advisory: Proteção estendida para autenticação