Hubungkan ke mesin database dengan Extended Protection

Berlaku untuk:SQL Server

Extended Protection membantu mencegah serangan relai autentikasi dengan memastikan klien mengetahui layanan yang terhubung dengannya.

Extended Protection adalah fitur komponen jaringan yang diterapkan oleh sistem operasi. Extended Protection didukung di Windows.

SQL Server lebih aman ketika koneksi dibuat menggunakan Extended Protection.

Deskripsi Perlindungan yang Diperluas

Extended Protection menggunakan pengikatan layanan dan pengikatan saluran untuk membantu mencegah serangan relai autentikasi. Dalam serangan relai autentikasi, klien yang dapat melakukan autentikasi NTLM (misalnya, Windows Explorer, Microsoft Outlook, aplikasi .NET SqlClient, dll.), terhubung ke penyerang (misalnya, server file CIFS berbahaya). Penyerang menggunakan kredensial klien untuk menyamar sebagai klien dan mengautentikasi ke dalam layanan (misalnya, instance Mesin Basis Data).

Ada dua variasi serangan ini:

• Dalam serangan yang memikat, klien terpikat untuk terhubung secara sukarela ke penyerang.

• Dalam serangan spoofing, pengguna berniat untuk terhubung ke layanan yang sah tetapi tidak menyadari bahwa DNS atau perutean IP atau keduanya telah diubah secara jahat untuk mengalihkan koneksi ke penyerang.

SQL Server mendukung pengikatan layanan dan pengikatan saluran untuk membantu mengurangi serangan ini pada instans SQL Server.

Pengikatan layanan

Alamat pengikatan layanan memikat serangan dengan mengharuskan klien mengirim nama prinsipal layanan (SPN) yang ditandatangani dari layanan SQL Server yang ingin disambungkan klien. Sebagai bagian dari respons autentikasi, layanan memvalidasi bahwa SPN yang diterima dalam paket cocok dengan SPN-nya sendiri. Jika klien terpikat untuk terhubung ke penyerang, klien menyertakan SPN yang ditandatangani penyerang. Penyerang tidak dapat menyampaikan paket untuk mengautentikasi ke layanan SQL Server nyata sebagai klien karena akan menyertakan SPN penyerang. Biaya pengikatan layanan hanya dikenakan satu kali dan sangat kecil, tetapi tidak dapat mencegah serangan penipuan identitas (spoofing). Pengikatan Layanan terjadi ketika aplikasi klien tidak menggunakan enkripsi untuk menyambungkan ke SQL Server.

Pengikatan saluran

Pengikatan saluran menetapkan saluran aman (Schannel) antara klien dan instans layanan SQL Server. Layanan ini memverifikasi keaslian klien dengan membandingkan token pengikatan saluran klien (CBT) khusus untuk saluran tersebut dengan CBT-nya sendiri. Pengikatan saluran mengatasi serangan iming-iming dan spoofing. Namun, terdapat biaya pemrosesan runtime yang lebih besar karena semua lalu lintas sesi memerlukan enkripsi melalui Transport Layer Security (TLS). Pengikatan Saluran terjadi ketika aplikasi klien menggunakan enkripsi untuk terhubung ke SQL Server, terlepas dari apakah enkripsi diberlakukan oleh klien atau oleh server.

Peringatan

Penyedia data SQL Server dan Microsoft untuk SQL Server mendukung TLS 1.0 dan SSL 3.0. Jika Anda menerapkan protokol yang berbeda (seperti TLS 1.1 atau TLS 1.2) dengan membuat perubahan pada lapisan SChannel sistem operasi, koneksi Anda ke SQL Server mungkin gagal. Pastikan Anda memiliki build terbaru SQL Server untuk Mendukung TLS 1.1 atau TLS 1.2. Untuk informasi selengkapnya, lihat Dukungan TLS 1.2 untuk Microsoft SQL Server.

Dukungan sistem operasi

Tautan berikut ini menyediakan informasi selengkapnya tentang bagaimana Windows mendukung Extended Protection:

• Autentikasi Windows Terintegrasi dengan Perlindungan yang Diperluas
• Pemberitahuan Keamanan Microsoft (973811), Perlindungan Ekstensi untuk Otentikasi

Dukungan driver

Satu-satunya driver yang mendukung Extended Protection adalah berbasis Windows

• Microsoft ODBC Driver untuk SQL Server (hanya di Windows)
• Driver Microsoft OLE DB untuk SQL Server
• System.Data.SqlClient (dalam .NET Framework di Windows)
• Microsoft.Data.SqlClient (di Windows)

Pengaturan

Ada tiga pengaturan koneksi SQL Server yang memengaruhi pengikatan layanan dan pengikatan saluran. Pengaturan dapat dikonfigurasi menggunakan Pengelola Konfigurasi SQL Server atau WMI dan dilihat menggunakan faset Pengaturan Protokol Server Manajemen Berbasis Kebijakan.

Enkripsi Wajib

Nilai yang mungkin adalah Aktif dan Nonaktif. Untuk menggunakan pengikatan saluran, Force Encryption harus diatur ke On, dan semua klien harus mengenkripsi. Jika Nonaktif, maka hanya pengikatan layanan yang dijamin. Enkripsi Paksa ada di Protokol untuk Properti MSSQLSERVER (Tab Flags) di Pengelola Konfigurasi SQL Server.

Perlindungan yang Diperluas

Nilai yang mungkin adalah Nonaktif, Diizinkan, dan Diperlukan. Variabel Extended Protection memungkinkan pengguna mengonfigurasi tingkat Extended Protection untuk setiap instans SQL Server. Extended Protection ada di Protokol untuk Properti MSSQLSERVER (Tab Tingkat Lanjut) di Pengelola Konfigurasi SQL Server.

Saat diatur ke Nonaktif, Perlindungan Ekstensi dinonaktifkan. Instans SQL Server menerima koneksi dari klien mana pun terlepas dari apakah klien dilindungi atau tidak. Off kompatibel dengan sistem operasi versi lama dan yang belum diperbarui, tetapi kurang aman. Gunakan pengaturan ini saat sistem operasi klien tidak mendukung perlindungan yang diperluas.

Ketika diatur ke Diizinkan, Perlindungan yang Diperluas diperlukan untuk koneksi dari sistem operasi yang mendukung Perlindungan yang Diperpanjang. Extended Protection diabaikan untuk koneksi dari sistem operasi yang tidak mendukung Extended Protection. Koneksi dari aplikasi klien yang tidak terlindungi yang berjalan pada sistem operasi klien yang dilindungi ditolak. Pengaturan ini lebih aman daripada Nonaktif, tetapi bukan yang paling aman. Gunakan pengaturan ini di lingkungan campuran; beberapa sistem operasi mendukung Extended Protection, dan yang lain tidak.

Saat diatur ke Diperlukan, hanya koneksi dari aplikasi yang dilindungi pada sistem operasi yang dilindungi yang diterima. Pengaturan ini adalah yang paling aman, tetapi koneksi dari sistem operasi atau aplikasi yang tidak mendukung Extended Protection tidak akan dapat terhubung ke SQL Server.

SPN NTLM yang diakui

Variabel SPN NTLM yang Diterima diperlukan ketika lebih dari satu SPN mengenali server. Ketika klien mencoba menyambungkan ke server menggunakan SPN valid yang tidak diketahui server, pengikatan layanan gagal. Untuk menghindari masalah ini, pengguna dapat menentukan beberapa SPN yang mewakili server menggunakan SPN NTLM yang Diterima. SPN NTLM yang Diterima adalah serangkaian SPN yang dipisahkan oleh titik koma. Misalnya, untuk mengizinkan SPN MSSQLSvc/ HostName1.Contoso.com dan MSSQLSvc/ HostName2.Contoso.com, ketik MSSQLSvc/HostName1.Contoso.com; MSSQLSvc/HostName2.Contoso.com dalam kotak SPN NTLM yang Diterima. Variabel memiliki panjang maksimum 2.048 karakter. SPN NTLM yang diterima ada pada Protokol untuk Properti MSSQLSERVER (Tab Tingkat Lanjut) di Pengelola Konfigurasi SQL Server.

Mengaktifkan Extended Protection untuk mesin database

Untuk menggunakan Extended Protection, server dan klien harus memiliki sistem operasi yang mendukung Extended Protection dan harus diaktifkan pada sistem operasi. Untuk informasi selengkapnya tentang cara mengaktifkan Extended Protection untuk sistem operasi, lihat Perlindungan diperpanjang untuk Autentikasi.

Meskipun Extended Protection dan NTLMv2 diaktifkan secara default di semua versi Windows yang didukung, Extended Protection tidak diaktifkan secara default untuk koneksi SQL Server. Pengguna harus mengaktifkannya secara manual di SQL Server Configuration Manager.

Untuk mengaktifkan Extended Protection untuk koneksi SQL Server, administrator harus mengonfigurasi pengaturan di SQL Server Configuration Manager. Ini termasuk opsi untuk pengikatan layanan dan pengikatan saluran untuk mengurangi berbagai jenis serangan relai autentikasi. Untuk instruksi terperinci, lihat dokumentasi SQL Server tentang mengonfigurasi Extended Protection.

Setelah mengaktifkan Extended Protection pada komputer server, gunakan langkah-langkah berikut untuk mengaktifkan Extended Protection:

1. Pada menu Mulai , pilih Semua Program, arahkan ke Microsoft SQL Server lalu pilih SQL Server Configuration Manager.

2. PerluasKonfigurasi Jaringan SQL Server , lalu klik kanan Protokol untuk __InstanceName**, lalu pilih Properti .

3. pada tab Tingkat Lanjut , atur Extended Protection ke pengaturan yang sesuai untuk pengikatan saluran dan pengikatan layanan.

4. Secara opsional, ketika lebih dari satu SPN mengetahui sebuah server, pada tab lanjutan, konfigurasikan bidang SPN NTLM yang Diterima seperti yang dijelaskan di bagian "Pengaturan".

5. Untuk pengikatan saluran, pada tab Bendera , atur Paksa Enkripsi ke Aktif.

6. Mulai ulang layanan Mesin Database.

Mengonfigurasi komponen SQL Server lainnya

Untuk informasi selengkapnya tentang cara mengonfigurasi Reporting Services, lihat Perlindungan yang diperluas untuk autentikasi dengan Reporting Services.

Saat menggunakan IIS untuk mengakses data Analysis Services menggunakan koneksi HTTP atau HTTPS, Analysis Services dapat memanfaatkan Extended Protection yang disediakan oleh IIS. Untuk informasi selengkapnya tentang cara mengonfigurasi IIS untuk menggunakan Extended Protection, lihat Mengonfigurasi Extended Protection di IIS 7.5.

Konten terkait

• Konfigurasi jaringan server
• Konfigurasi jaringan klien
• Perlindungan yang Diperluas untuk Gambaran Umum Autentikasi
• Autentikasi Windows Terintegrasi dengan Perlindungan yang Diperluas