Události
SQL ve společnosti FabCon Vegas
31. 3. 23 - 2. 4. 23
Největší událost učení SQL, Fabric a Power BI. 31. března – 2. dubna. Pomocí kódu FABINSIDER uložte $400.
Zaregistrovat se ještě dnesPřipojení k databázovému stroji s rozšířenou ochranou
platí pro:
SQL Server
SQL Server podporuje rozšířenou ochranu počínaje SQL Serverem 2008 R2 (10.50.x).
Rozšířená ochrana pomáhá zabránit útokům předávání autentizace tím, že zajišťuje, aby klient věděl, ke které službě se připojuje.
rozšířená ochrana je funkce síťových komponent implementovaných operačním systémem. rozšířená ochrana je podporována v systémech Windows 7 a Windows Server 2008 R2. rozšířená ochrana je součástí aktualizací Service Pack pro starší operační systémy Microsoftu.
SQL Server je bezpečnější při vytváření připojení pomocí Extended Protection.
Extended Protection používá vazbu služby a vazbu kanálu k zamezení útoku typu relay na ověřování. Při útoku přes předávací ověřování se klient, který může provádět ověřování NTLM (například Průzkumník Windows, Microsoft Outlook, aplikace .NET SqlClient atd.), připojuje k útočníkovi (například škodlivý souborový server CIFS). Útočník používá přihlašovací údaje klienta k maskování jako klienta a ověření ve službě (například instanci databázového stroje).
Existují dvě varianty tohoto útoku:
V klamavém útoku je klient nalákán, aby se dobrovolně připojil k útočníkovi.
V útoku typu spoofing se klient snaží připojit k platné službě, ale netuší, že DNS i směrování IP mohou být pozměněny tak, aby přesměrovaly připojení k útočníkovi.
SQL Server podporuje vazbu služeb a vazbu kanálů, které pomáhají omezit tyto útoky na instance SQL Serveru.
Svázání služby předchází lákavým útokům tím, že požaduje, aby klient odeslal podepsaný hlavní název služby (SPN) pro službu SQL Server, ke které se klient hodlá připojit. V rámci odpovědi na ověření služba ověří, že SPN (hlavní název služby) přijatý v paketu odpovídá jejímu vlastnímu SPN. Pokud je klient nalákán k připojení k útočníkovi, zahrnuje podepsané SPN útočníka. Útočník nemůže předat paket k ověření skutečné službě SQL Serveru jako klienta, protože by zahrnoval hlavní název služby (SPN) útočníka. Vazba služby způsobuje jednorázové, zanedbatelné náklady, ale neřeší útoky na falšování identity. Vytvoření vazby pro službu nastane, když klientská aplikace nepoužívá šifrování pro připojení k serveru SQL.
Vazba kanálu vytvoří zabezpečený kanál (Schannel) mezi klientem a instancí služby SQL Server. Služba ověřuje pravost klienta tím, že porovnává klientův token pro vazbu kanálu (CBT), který je specifický pro daný kanál, se svým vlastním CBT. Protokoly pro vázání kanálů řeší jak útoky typu lákání, tak útoky podvržení. V důsledku toho však za běhu vznikají vyšší náklady, protože vyžaduje šifrování veškerého datového provozu relace pomocí TLS (Transport Layer Security). Vazba kanálu nastane, když klientská aplikace používá šifrování pro připojení k SQL Serveru bez ohledu na to, zda je šifrování vynuceno klientem nebo serverem.
Upozornění
SQL Server a poskytovatelé dat Microsoftu pro SQL Server podporují protokol TLS 1.0 a SSL 3.0. Pokud vynucujete jiný protokol (například TLS 1.1 nebo TLS 1.2) provedením změn ve vrstvě SChannel operačního systému, může dojít k selhání připojení k SQL Serveru. Ujistěte se, že máte nejnovější build SQL Serveru pro podporu protokolu TLS 1.1 nebo TLS 1.2. Další informace najdete v tématu https://support.microsoft.com/topic/kb3135244-tls-1-2-support-for-microsoft-sql-server-e4472ef8-90a9-13c1-e4d8-44aad198cdbe.
Následující odkazy obsahují další informace o tom, jak systém Windows podporuje rozšířenou ochranu:
Existují tři nastavení připojení SQL Serveru, která ovlivňují vazbu služby a vazbu kanálu. Nastavení je možné nakonfigurovat pomocí nástroje SQL Server Configuration Manager nebo rozhraní WMI a zobrazit pomocí aspektu Nastavení protokolu serveru
Možné hodnoty jsou Zapnuto a Vypnuto. Chcete-li použít vazbu kanálu, Vynucené šifrování musí být nastaveno na Zapnuto a všichni klienti musí šifrovat. Pokud je Vypnuto, je zaručena pouze vazba služby. Funkce šifrování je součástí protokolů vlastností MSSQLSERVER (karta Příznaky) v SQL Server Configuration Manager.
Možné hodnoty jsou Vypnuto, Povolenéa Povinné. Proměnná
Pokud je nastavená možnost Vypnuto, rozšířená ochrana je zakázaná. Instance SQL Serveru přijímá připojení z libovolného klienta bez ohledu na to, jestli je klient chráněný nebo ne. vypnuto je kompatibilní se staršími a nepatchovanými operačními systémy, ale je méně zabezpečená. Toto nastavení použijte, pokud klientské operační systémy nepodporují rozšířenou ochranu.
Pokud je tato možnost nastavena na Povoleno, je rozšířená ochrana vyžadována pro připojení z operačních systémů, které podporují rozšířenou ochranu. rozšířená ochrana se ignoruje u připojení z operačních systémů, která nepodporují rozšířenou ochranu. Připojení z nechráněných klientských aplikací spuštěných v chráněných klientských operačních systémech jsou odmítnuta. Toto nastavení je bezpečnější než Vypnuto, ale není to nejbezpečnější. Toto nastavení použijte ve smíšených prostředích; některé operační systémy podporují rozšířenou ochranua jiné ne.
Je-li nastavena na Povinné, jsou přijata pouze připojení z chráněných aplikací v chráněných operačních systémech. Toto nastavení je nejbezpečnější, ale připojení z operačních systémů nebo aplikací, které nepodporují rozšířenou ochranu nebudou moct připojit k SQL Serveru.
Akceptované hlavní názvy služby NTLM proměnné je potřeba, pokud server zná více než jeden hlavní název služby( SPN). Když se klient pokusí připojit k serveru pomocí platného hlavního názvu služby(SPN), který server nezná, vazba služby selže. Chcete-li se tomuto problému vyhnout, mohou uživatelé zadat několik SPN, které představují server pomocí akceptovaných NTLM SPN. Přijaté SPN NTLM jsou série SPN oddělené středníky. Pokud chcete například povolit názvy hlavních služeb MSSQLSvc/HostName1.Contoso.com a MSSQLSvc/HostName2.Contoso.com, zadejte MSSQLSvc/HostName1.Contoso.com;MSSQLSvc/HostName2.Contoso.com v poli Akceptované názvy hlavních služeb NTLM. Proměnná má maximální délku 2 048 znaků. Akceptované hlavní názvy služby NTLM jsou na Protokolech pro vlastnosti MSSQLSERVER (karta Upřesnit) v nástroji SQL Server Configuration Manager.
Chcete-li použít rozšířenou ochranu, musí mít server i klient operační systém, který podporuje rozšířenou ochranu a musí být povolen v operačním systému. Další informace o povolení rozšířené ochrany pro operační systém naleznete v tématu Rozšířená ochrana pro ověřování.
I když jsou rozšířená ochrana a NTLMv2 ve výchozím nastavení povolené ve všech podporovaných verzích Windows, rozšířená ochrana není ve výchozím nastavení aktivována pro připojení k SQL Serveru. Uživatelé ho musí ručně povolit v SQL Server Configuration Manager.
Chcete-li povolit rozšířenou ochranu pro připojení SQL Serveru, musí správci nakonfigurovat nastavení v nástroji SQL Server Configuration Manager. To zahrnuje možnosti vazby služeb a vázání kanálu pro zmírnění různých typů útoků pomocí předání ověřování. Podrobné pokyny najdete v dokumentaci k SQL Serveru při konfiguraci rozšířené ochrany.
Po povolení rozšířené ochrany na serverovém počítači povolte rozšířenou ochranupomocí následujícího postupu:
V nabídce Start vyberte Všechny programy, přejděte na položku Microsoft SQL Server a potom vyberte SQL Server Configuration Manager.
Rozbalte Konfiguraci sítě SQL Servera klikněte pravým tlačítkem myši na Protokoly pro _<_InstanceName*>* a potom vyberte Vlastnosti.
na kartě Pokročilá nastavte Rozšířenou Ochranu na odpovídající nastavení jak pro vazbu kanálu, tak pro vazbu služby.
Když je znám server více než jedním SPN, lze volitelně na záložce Upřesnit nakonfigurovat pole Akceptované SPN NTLM, jak je popsáno v části Nastavení.
U vazby kanálu na kartě Příznaky nastavte Vynutit šifrování na Zapnuto.
Restartujte službu databázového stroje.
Další informace o konfiguraci služby Reporting Services naleznete v tématu Rozšířená ochrana pro ověřování pomocí služby Reporting Services.
Při použití služby IIS pro přístup k datům služby Analysis Services pomocí připojení HTTP nebo HTTPS může služba Analysis Services využívat rozšířenou ochranu poskytovanou službou IIS. Další informace o tom, jak nakonfigurovat službu IIS tak, aby používala rozšířenou ochranu, naleznete v tématu Konfigurace rozšířené ochrany ve službě IIS 7.5.
Poznámka: autor vytvořil tento článek s pomocí umělé inteligence. Další informace
Další materiály
Školení
Postup výuky
Implementace zabezpečeného prostředí pro databázovou službu - Training
Implementace zabezpečeného prostředí pro databázovou službu
Certifikace
Předvedení základů zabezpečení dat, správy životního cyklu, zabezpečení informací a dodržování předpisů za účelem ochrany nasazení Microsoftu 365