Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL Server
SQL Server admite la protección ampliada a partir de SQL Server 2008 R2 (10.50.x).
La protección ampliada ayuda a evitar ataques de retransmisión de autenticación asegurándose de que el cliente conoce el servicio al que se conecta.
Protección ampliada es una característica de los componentes de red implementada por el sistema operativo. Laprotección ampliada se admite en Windows 7 y Windows Server 2008 R2. La protección ampliada se incluye en los Service Pack para sistemas operativos Microsoft más antiguos.
SQL Server es más seguro cuando las conexiones se realizan con Extended Protection.
Descripción de la protección ampliada
Laprotección ampliada usa el enlace de servicio y el enlace de canal para ayudar a evitar un ataque de retransmisión de autenticación. En un ataque de retransmisión de autenticación, un cliente que puede realizar la autenticación NTLM (por ejemplo, el Explorador de Windows, Microsoft Outlook, una aplicación .NET SqlClient, etc.) se conecta a un atacante (por ejemplo, un servidor de archivos CIFS malintencionado). El atacante usa las credenciales del cliente para enmascarar como cliente y autenticarse en un servicio (por ejemplo, una instancia del motor de base de datos).
Hay dos variaciones de este ataque:
En un ataque de engaño, el cliente es atraído para conectarse voluntariamente al atacante.
En un ataque de spoofing, el cliente pretende conectarse a un servicio válido, pero no es consciente de que tanto el DNS como el enrutamiento IP están envenenados para redirigir la conexión al atacante.
SQL Server admite el enlace de servicio y el enlace de canal para ayudar a reducir estos ataques en sesiones de SQL Server.
Vinculación de servicio
El enlace de servicio soluciona los ataques por señuelo exigiendo que un cliente envíe un nombre principal de servicio (SPN) firmado del servicio de SQL Server al que el cliente pretende conectarse. Como parte de la respuesta de la autenticación, el servicio valida que el SPN recibido en el paquete coincida con su propio SPN. Si un cliente es atraído para conectarse a un atacante, el cliente incluye el SPN firmado del atacante. El atacante no puede retransmitir el paquete para autenticarse en el servicio de SQL Server real como cliente porque incluiría el SPN del atacante. El enlace de servicio incurre en un costo único y insignificante, pero no aborda los ataques de suplantación de identidad. El enlace de servicio se produce cuando una aplicación cliente no usa cifrado para conectarse a SQL Server.
Vinculación de canal
El enlace de canal establece un canal seguro (Schannel) entre un cliente y una instancia del servicio de SQL Server. El servicio comprueba la autenticidad del cliente comparando el token de enlace de canal (CBT) del cliente específico de ese canal con su propio CBT. El enlace de canal trata tanto los ataques de suplantación como los de atracción. Sin embargo, incurre en un mayor costo en tiempo de ejecución porque requiere cifrado de seguridad de la capa de transporte (TLS) de todo el tráfico de sesión. El enlace de canal se produce cuando una aplicación cliente usa el cifrado para conectarse a SQL Server, independientemente de si el cifrado lo fuerza el cliente o el servidor.
Advertencia
Los proveedores de datos SQL Server y Microsoft para SQL Server admiten TLS 1.0 y SSL 3.0. Si fuerza un protocolo diferente (como por ejemplo, TLS 1.1 o TLS 1.2) realizando cambios en la capa SChannel del sistema operativo, las conexiones a SQL Server podrían no funcionar como es debido. Asegúrese de que tiene la compilación más reciente de SQL Server para garantizar la compatibilidad con TLS 1.1 o TLS 1.2. Para obtener más información, consulte Compatibilidad de TLS 1.2 con Microsoft SQL Server.
Compatibilidad con el sistema operativo
Los siguientes vínculos proporcionan más información acerca del modo en que Windows admite la protección ampliada:
Configuración
Hay tres opciones de configuración de la conexión de SQL Server que afectan al enlace de servicio y al enlace de canal. La configuración se puede configurar mediante el Administrador de configuración de SQL Server o WMI y se puede ver mediante la faceta Configuración del protocolo de servidor de administración basada en directivas.
Forzar el cifrado
Los valores posibles son Activado y Desactivado. Para usar el enlace de canal, Force Encryption debe establecerse en Activado y todos los clientes deben cifrar. Si está desactivado, solo se garantiza la vinculación de servicio. Forzar cifrado está en Propiedades de Protocolos de MSSQLSERVER (pestaña Marcas) en el Administrador de configuración de SQL Server.
protección ampliada
Los valores posibles son Desactivado, Permitidoy Requerido. La variable Protección ampliada permite a los usuarios configurar el nivel de protección ampliada de cada instancia de SQL Server. Protección ampliada está en Propiedades de Protocolos de MSSQLSERVER (pestaña Avanzadas) en el Administrador de configuración de SQL Server.
Cuando se establece en Desactivado, Protección ampliada se deshabilita. La instancia de SQL Server aceptará las conexiones de cualquier cliente independientemente de que esté o no protegido. Off es compatible con los sistemas operativos antiguos y sin revisión, pero es menos seguro. Use esta configuración cuando los sistemas operativos cliente no admitan la protección ampliada.
Cuando se establece en Permitido, la protección ampliada se requiere para las conexiones de los sistemas operativos que admiten la protección ampliada. Protección ampliada se omite para las conexiones de sistemas operativos que no admiten la protección ampliada. Se rechazan las conexiones de aplicaciones cliente no protegidas que se ejecutan en sistemas operativos cliente protegidos. Esta configuración es más segura que Desactivado, pero no es la más segura. Use esta configuración en entornos mixtos; algunos sistemas operativos admiten protección ampliada y otros no.
Cuando se establece en Requerido, solo se aceptan las conexiones de las aplicaciones protegidas en sistemas operativos protegidos. Esta configuración es la más segura, pero las conexiones desde sistemas operativos o aplicaciones que no admiten protección ampliada no podrán conectarse a SQL Server.
Se aceptan SPN NTLM
La variable SPNS DE NTLM aceptada es necesaria cuando más de un SPN conoce un servidor. Cuando un cliente intenta conectarse al servidor mediante un SPN válido que el servidor no conoce, se produce un error en el enlace de servicio. Para evitar este problema, los usuarios pueden especificar varios SPN que representan el servidor mediante los SPN NTLM aceptados. Los SPN NTLM aceptados son una serie de SPN separados por punto y coma. Por ejemplo, para permitir los SPN MSSQLSvc/ nombreDeHost1.Contoso.com y MSSQLSvc/ nombreDeHost2.Contoso.com, escriba MSSQLSvc/nombreDeHost1 .Contoso.com; MSSQLSvc/nombreDeHost2.Contoso.com en el cuadro Se aceptan SPN NTLM . La variable tiene una longitud máxima de 2.048 caracteres. Se aceptan SPN NTLM está en Propiedades de Protocolos de MSSQLSERVER (pestaña Avanzadas) en el Administrador de configuración de SQL Server.
Habilitación de la protección ampliada para el motor de base de datos
Para usar la protección ampliada, tanto el servidor como el cliente deben tener un sistema operativo compatible con la protección ampliada y deben estar habilitados en el sistema operativo. Para obtener más información acerca de cómo habilitar la protección ampliada para el sistema operativo, vea Protección ampliada para la autenticación.
Aunque la protección ampliada y NTLMv2 están habilitadas de forma predeterminada en todas las versiones compatibles de Windows, la protección ampliada no está habilitada de forma predeterminada para las conexiones de SQL Server. Los usuarios deben habilitarlo manualmente en el Administrador de configuración de SQL Server.
Para habilitar la protección ampliada para las conexiones de SQL Server, los administradores deben configurar las opciones en el Administrador de configuración de SQL Server. Esto incluye opciones de enlace de servicio y enlace de canal para mitigar varios tipos de ataques de retransmisión de autenticación. Para obtener instrucciones detalladas, consulte la documentación de SQL Server sobre cómo configurar la protección ampliada.
Después de habilitar la protección ampliada en el equipo servidor, siga estos pasos para volver a habilitar la protección ampliadaen el motor de base de datos:
En el menú Inicio , elija Todos los programas, seleccione Microsoft SQL Server y, a continuación, seleccione Administrador de configuración de SQL Server.
Expanda Configuración de red de SQL Server, a continuación, haga clic con el botón derecho en Protocolos para _<_InstanceName*>*, y a continuación, seleccione Propiedades.
en la pestaña Opciones avanzadas , establezca Protección ampliada en la configuración adecuada para el enlace de canal y el enlace de servicio.
Opcionalmente, cuando más de un SPN conoce un servidor, en la pestaña Opciones avanzadas, configura el campo SPN de NTLM aceptados , tal como se describe en la sección "Configuración".
Para el enlace de canal, en la pestaña Marcas , establezca Forzar cifrado en Activado.
Reinicie el servicio de Motor de base de datos.
Configuración de otros componentes de SQL Server
Para obtener más información sobre cómo configurar Reporting Services, consulte Protección ampliada para la autenticación con Reporting Services.
Al usar IIS para acceder a los datos de Analysis Services mediante una conexión HTTP o HTTPS, Analysis Services puede aprovechar la protección ampliada proporcionada por IIS. Para obtener más información acerca de cómo configurar IIS para utilizar la protección ampliada, vea el tema que trata cómo configurar la protección ampliada en IIS 7.5.