Veritabanı Altyapısı genişletilmiş koruma kullanarak bağlanma
SQL Serverdestekleyen Genişletilmiş koruma ile başlayan SQL Server 2008 R2.Genişletilmiş Kimlik doğrulama için koruma işletim sistemi tarafından uygulanan ağ bileşenlerinin bir özelliktir.Genişletilmiş koruma Windows Server 2008 R2 ve Windows 7'de desteklenir.Extended Protection is included in service packs for older Microsoft operating systems.SQL Server is more secure when connections are made using Extended Protection.
Önemli |
---|
Windows etkinleştirme Genişletilmiş koruma varsayılan olarak.Nasıl etkinleştirileceği hakkında bilgi için Genişletilmiş koruma Bkz: Windows'da, Kimlik doğrulaması için genişletilmiş koruma. |
Genişletilmiş koruma tarafından tam olarak desteklenen SQL Server Native Client, SQL Server 2008 R2.Destek Genişletilmiş koruma diğer SQL Server istemci sağlayıcıları şu anda desteklenmemektedir.
Genişletilmiş koruma açıklaması
Genişletilmiş koruma hizmet bağlama ve kanal bağlama kimlik doğrulaması geçiş saldırının engellenmesine yardımcı olmak için kullanır.Kimlik doğrulama geçiş saldırının, ntlm kimlik doğrulaması gerçekleştiren bir istemci olarak (örneğin, Windows Gezgini, Microsoft Outlook, bir.net SqlClient uygulama vb.), bir saldırganın (örneğin, kötü niyetli CIFS dosya sunucu) bağlanır.Saldırgan, geçici istemci ve bir hizmet için kimlik bilgileri doğrulaması için istemcinin kimlik bilgileri bilgilerini kullanır (örneğin, bir örnek , Veritabanı Altyapısı service).
Bu saldırının iki çeşidi vardır:
Luring bir saldırıda, saldırganın yazılıp IETF'ye bağlanmak için istemci lured.
Bilgi Sızdırma bir saldırıda, istemcinin geçerli bir bağlantı kapsamdaki hizmet, ancak olan unaware biri veya her ikisi de dns ve IP yönlendirme bağlantısı için saldırganın bunun yerine yeniden yönlendirmek için poisoned.
SQL Serverdestekler hizmet bağlama ve kanal bağlama üzerinde bu saldırıların azaltılmasına yardımcı olmak için SQL Server örnekleri.
Hizmet bağlama
Bağlama adreslerini imzalı hizmet asıl adı (spn) göndermek bir istemci isteyerek saldırıları luring hizmet SQL Server bağlanmak için İstemci ağa hizmet.kimlik doğrulaması yanıtı bir parçası olarak, spn olarak alınan hizmet doğrular paket kendi spn eşleşir.Bir istemci bir saldırganın bağlanmak için lured, istemci saldırganın imzalı spn dahil edilir.Saldırgan için gerçek kimliğini doğrulamak için paket geçiş yapamazsınız SQL Server olarak hizmet istemci, çünkü bunu saldırgan spn dahilHizmet bağlama çeker tek -saat, ihmal edilebilir maliyet, ancak değil adres Sızdırma saldırılarından korunmaya yardımcı.
Kanal bağlama
Kanal bağlama örnek ile bir istemci arasında güvenli kanal (Schannel) kurar SQL Server hizmet.Hizmet istemci güvenilirliğini istemcinin kanal bağlama belirteci (cbt) ile kendi cbt bu kanal için belirli karşılaştırarak doğrular.Kanal bağlama luring ve bilgi sızdırma saldırılarına giderir.Aktarım Katmanı Güvenliği (tls) gerektirdiği için ancak, bunun maliyeti, daha büyük bir çalışma zamanı çeker şifreleme tüm oturum trafiği.
İşletim sistemi desteği
Nasıl Windows destekler hakkında daha fazla bilgi aşağıdaki bağlantılar sağlar Genişletilmiş koruma:
Ayarları
Üç SQL Server bağlantı ayarlarını etkileyen hizmet bağlama ve kanal bağlama.Ayarları kullanılarak yapılandırılabilir SQL Server Configuration Manager ile WMI kullanarak ve göre görüntülenen kullanarak Server iletişim kuralı ayarları ilke tabanlı yönetimi model.
Şifrelemesini zorla
Olası değerler şunlardır: , ve Off.Kanal bağlama kullanmak için Zorla şifreleme olmalıdır küme için üzerinde, ve tüm istemciler şifrelemek için zorlanır.Öyleyse Off, yalnızca hizmet bağlama garanti.Şifrelemesini zorla açık iletişim kuralları için mssqlserver özellikleri (bayraklar sekmesi) , SQL Server Yapılandırma Yöneticisi.
Genişletilmiş koruma
Olası değerler şunlardır: Off, izin verilen, ve gerekli.The Extended Protection variable lets users configure the Extended Protection level for each SQL Server instance. Extended Protection is on the Protocols for MSSQLSERVER Properties (Advanced Tab) in SQL Server Configuration Manager.
Zaman küme için Off, Genişletilmiş koruma devre dışı bırakılır.örnek , SQL Server Kabul olup istemci korunur ne olursa olsun herhangi bir istemciden gelen bağlantılar veya değil.Kapalı düzeltme eki yüklenmemiş ve daha eski işletim sistemleriyle uyumlu olsa da, daha az güvenli olmasıdır.istemci işletim sistemleri genişletilmiş koruma desteği bildiğinizde, bu ayarı kullanın.
Zaman küme için izin verilen, Genişletilmiş koruma bağlantılarını destekleyen işletim sistemleri için gerekli olan Genişletilmiş koruma.Genişletilmiş koruma bağlantılarını destekleyen işletim sistemleri için göz ardı Genişletilmiş koruma.Korumalı istemci işletim sistemlerinde çalışan korumasız istemci uygulamalarından gelen bağlantıları reddedilir.Bu ayar daha güvenli Off, ancak en güvenli ayar değildir.Burada bazı işletim sistemleri desteği karma ortamlarda, bu ayarı kullanın Genişletilmiş koruma ve bazı yapın.
Zaman küme için gerekli, yalnızca korumalı işletim sistemlerinde korumalı uygulamalarından gelen bağlantıları kabul edildiği.Bu ayar en güvenli bağlantıları ama işletim sistemleri veya destekleyen uygulamalar ise Genişletilmiş koruma bağlanmak mümkün olmayacak SQL Server.
Kabul edilen ntlm SPN'ler
The Accepted NTLM SPNs variable is needed when a server is known by more than one SPN.Bir istemci için sunucu bilmediği geçerli bir spn kullanarak sunucuya girişiminde bulunduğunda, hizmet bağlama başarısız olur.Bu sorunu önlemek için kullanıcıların sunucu kullanarak temsil eden birkaç SPN'ler belirtebilirsiniz ntlm SPN'ler kabul.ntlm SPN'ler kabul olan bir dizi SPN'ler benim noktalı virgülle ayrılmış.Örneğin, SPN MSSQLSvc izin vermek için / HostName1.Contoso.com ve MSSQLSvc / HostName2.Contoso.com, MSSQLSvc/HostName1.Contoso.com; yazınMSSQLSvc/HostName2.Contoso.com, ntlm SPN'ler kabul kutusu.En çok 2.048 karakter uzunluğunu değişken yok.ntlm SPN'ler kabul açık iletişim kuralları için mssqlserver özellikleri (Gelişmiş sekmesi) , SQL Server Yapılandırma Yöneticisi.
Veritabanı Altyapısı için genişletilmiş koruma etkinleştirme
Kullanmak için Genişletilmiş koruma, hem sunucu hem de istemci işletim sistemi destekleyen olmalıdır Genişletilmiş koruma, ve Genişletilmiş koruma işletim sistemi üzerinde etkinleştirilmiş olması gerekir.Etkinleştirme hakkında daha fazla bilgi için Genişletilmiş koruma işletim sistemi için bkz: Kimlik doğrulaması için genişletilmiş koruma.
SQL Serverdestekleyen Genişletilmiş koruma ile başlayan SQL Server 2008 R2.Genişletilmiş koruma bazı eski sürümleri için SQL Server oluşturulacak bulunan gelecekteki güncelleştirmeleri.Etkinleştirme sonra Genişletilmiş koruma sunucu bilgisayarda aşağıdaki adımları etkinleştir kullanmak Genişletilmiş koruma , SQL Server 2008 R2:
Üzerinde Başlat menüsünden seçin Tüm Programlar, üzerine Microsoft sql Server ve i sql Server Configuration Manager.
Genişletme sql Server Network Configuration, farenin sağ düğmesiyle tıklayın iletişim kuralları için <ÖrnekAdı>ve i Özellikler.
Her iki kanal bağlama ve bağlama, on hizmet Gelişmiş sekmesinde, küme Genişletilmiş koruma uygun kümeting.
İsteğe bağlı olarak, ne zaman bir sunucuda birden fazla spn tarafından üzerinde bilinen bir Gelişmiş Yapılandırma sekmesini ntlm SPN'ler kabul alan "Ayarlar" konusunda açıklandığı gibi bölümüne geçebilirsiniz.
Kanal bağlama, on bayrakları sekmesinde, küme Zorla şifreleme için ,.
Yeniden Veritabanı Altyapısı hizmet.
Diğer sql Server bileşenlerini yapılandırma
Nasıl yapılandırılacağı hakkında daha fazla bilgi için Reporting Services, bkz: Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma.
Erişmek için IIS kullanırken Analysis Services bir http veya HTTPs bağlantısı kullanarak veri Analysis Services olanaklarından Genişletilmiş Koruma'nın sağladığı IIS.Genişletilmiş koruma kullanmak için IIS yapılandırma hakkında daha fazla bilgi için bkz: Yapılandırma IIS 7. 5'de genişletilmiş koruma.