Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
Fontos
SQL Server Native Client (SNAC) nem kerül szállításra a következőkkel:
- SQL Server 2022 (16.x) és újabb verziók
- AZ SQL Server Management Studio 19- és újabb verziói
Az SQL Server natív ügyfele (SQLNCLI vagy SQLNCLI11) és az örökölt Microsoft OLE DB Provider for SQL Server (SQLOLEDB) nem ajánlott az új alkalmazásfejlesztéshez.
Új projektek esetén használja az alábbi illesztőprogramok egyikét:
Az SQL Server adatbázismotor (2012–2019) egyik összetevőjeként szállított SQLNCLI esetében tekintse meg az alábbi támogatási életciklus-kivételt.
Az SQL Server mindig titkosítja a bejelentkezéshez társított hálózati csomagokat. Ha a rendszer indításakor nem hozott létre tanúsítványt a kiszolgálón, az SQL Server létrehoz egy önaláírt tanúsítványt, amely a bejelentkezési csomagok titkosítására szolgál.
Az önaláírt tanúsítványok nem garantálják a biztonságot. A titkosított kézfogás az NT LAN Manager (NTLM) rendszeren alapul. A biztonságos kapcsolat érdekében egy ellenőrizhető tanúsítványt kell kiépítenie az SQL Serveren. A Transport Security Layer (TLS) csak tanúsítványellenőrzéssel tehető biztonságossá.
Az alkalmazások az összes hálózati forgalom titkosítását is kérhetik kapcsolati sztringszavak vagy kapcsolati tulajdonságok használatával. A kulcsszavak az ODBC és az OLE DB titkosítása, ha egy szolgáltatói sztringet IDbInitialize::Initializehasznál az ADO és az OLE DB inicializálási sztringjének IDataInitializehasználatakor az ADO-hoz vagy az OLE DB-hez. Ezt az SQL Server Configuration Manager is konfigurálhatja a Force Protocol Encryption beállítással, valamint az ügyfél titkosított kapcsolatok kérésére való konfigurálásával. Alapértelmezés szerint a kapcsolat összes hálózati forgalmának titkosításához tanúsítványt kell kiépíteni a kiszolgálón. Ha úgy állítja be az ügyfelet, hogy megbízhatónak minősítse a tanúsítványt a kiszolgálón, sebezhetővé válik a középen belüli támadások ellen. Ha egy ellenőrizhető tanúsítványt helyez üzembe a kiszolgálón, győződjön meg arról, hogy módosítja a tanúsítvány FALSEmegbízhatóságával kapcsolatos ügyfélbeállításokat.
A kapcsolati sztring kulcsszavakról további információt a Kapcsolati sztring kulcsszavak használata az SQL Server natív ügyféllel című témakörben talál.
Ha engedélyezni szeretné a titkosítás használatát, ha egy tanúsítvány nincs kiépítve a kiszolgálón, az SQL Server Configuration Manager a Force Protocol Encryption és a Megbízhatósági kiszolgáló tanúsítványbeállításainak beállítására is használható. Ebben az esetben a titkosítás önaláírt kiszolgálói tanúsítványt használ ellenőrzés nélkül, ha a kiszolgálón nem lett kiépítve ellenőrizhető tanúsítvány.
Az alkalmazások a kulcsszót vagy a TrustServerCertificate hozzá tartozó kapcsolatattribútumot is használhatják a titkosítás biztosításához. Az alkalmazásbeállítások soha nem csökkentik az SQL Server Ügyfélkonfiguráció-kezelő által beállított biztonsági szintet, de megerősíthetik azt. Ha például a Force Protocol Encryption nincs beállítva az ügyfélhez, előfordulhat, hogy egy alkalmazás maga kéri a titkosítást. Annak érdekében, hogy a titkosítást akkor is garantálni tudja, ha egy kiszolgálótanúsítvány nincs kiépítve, előfordulhat, hogy egy alkalmazás titkosítást és TrustServerCertificate. Ha TrustServerCertificate azonban nincs engedélyezve az ügyfélkonfigurációban, akkor is szükség van egy kiépített kiszolgálótanúsítványra. Az alábbi táblázat az összes esetet ismerteti:
| Protokolltitkosítási ügyfél beállítása | Megbízhatósági kiszolgáló tanúsítványának ügyfélbeállítása | Kapcsolati karakterlánc/kapcsolatattribútum Adatok titkosítása/titkosításának használata | Kapcsolati sztring/kapcsolatattribútum Megbízhatósági kiszolgáló tanúsítványa | Eredmény |
|---|---|---|---|---|
| Nem | Nincs adat. | Nem (alapértelmezett) | Figyelmen kívül hagyva | Nem történik titkosítás. |
| Nem | Nincs adat. | Igen | Nem (alapértelmezett) | A titkosítás csak akkor történik meg, ha van ellenőrizhető kiszolgálói tanúsítvány, ellenkező esetben a csatlakozási kísérlet sikertelen lesz. |
| Nem | Nincs adat. | Igen | Igen | A titkosítás mindig megtörténik, de használhat önaláírt kiszolgálói tanúsítványt. |
| Igen | Nem | Figyelmen kívül hagyva | Figyelmen kívül hagyva | A titkosítás csak akkor történik meg, ha van ellenőrizhető kiszolgálói tanúsítvány, ellenkező esetben a csatlakozási kísérlet sikertelen lesz. |
| Igen | Igen | Nem (alapértelmezett) | Figyelmen kívül hagyva | A titkosítás mindig megtörténik, de használhat önaláírt kiszolgálói tanúsítványt. |
| Igen | Igen | Igen | Nem (alapértelmezett) | A titkosítás csak akkor történik meg, ha van ellenőrizhető kiszolgálói tanúsítvány, ellenkező esetben a csatlakozási kísérlet sikertelen lesz. |
| Igen | Igen | Igen | Igen | A titkosítás mindig megtörténik, de használhat önaláírt kiszolgálói tanúsítványt. |
Figyelmeztetés
Az előző táblázat csak útmutatót nyújt a rendszer viselkedéséről különböző konfigurációk esetén. A biztonságos kapcsolat érdekében győződjön meg arról, hogy az ügyfélnek és a kiszolgálónak is titkosításra van szüksége. Győződjön meg arról is, hogy a kiszolgáló rendelkezik ellenőrizhető tanúsítvánnyal, és hogy az TrustServerCertificate ügyfélen a beállítás értéke a következőre van állítva FALSE: .
SQL Server natív ügyféloldali OLE DB-szolgáltató
Az SQL Server natív ügyféloldali OLE DB-szolgáltatója az adatforrás inicializálási tulajdonságának SSPROP_INIT_TRUST_SERVER_CERTIFICATE hozzáadásával érvényesítés nélkül támogatja a titkosítást, amely a DBPROPSET_SQLSERVERDBINIT tulajdonságkészletben van implementálva. Emellett hozzáadtunk egy új kapcsolati sztring kulcsszót TrustServerCertificateis. Elfogad vagy yesno értékeket, no ez az alapértelmezett érték. Szolgáltatásösszetevők használatakor az alapértelmezett értékeket true fogadja el vagy false fogadja false el.
A tulajdonságkészlet fejlesztéseiről további információt az DBPROPSET_SQLSERVERDBINITInicializálási és engedélyezési tulajdonságok (natív ügyfél OLE DB-szolgáltató) című témakörben talál.
SQL Server natív ügyfél ODBC-illesztőprogramja
Az SQL Server natív ügyfél ODBC-illesztője az SQLSetConnectAttr és az SQLGetConnectAttr függvények kiegészítése révén érvényesítés nélkül támogatja a titkosítást.
SQL_COPT_SS_TRUST_SERVER_CERTIFICATE a rendszer hozzáadta az elfogadáshoz SQL_TRUST_SERVER_CERTIFICATE_YES , vagy SQL_TRUST_SERVER_CERTIFICATE_NOaz alapértelmezett értékként SQL_TRUST_SERVER_CERTIFICATE_NO . Emellett hozzáadtunk egy új kapcsolati sztring kulcsszót TrustServerCertificateis. Elfogad vagy yesno értékeket, no ez az alapértelmezett érték.