Bagikan melalui


Sambungkan ke Mesin Database Menggunakan Perlindungan Yang Diperluas

Berlaku untuk: SQL Server

SQL Server mendukung Extended Protection yang dimulai dengan SQL Server 2008 R2 (10.50.x). Extended Protection for Authentication adalah fitur komponen jaringan yang diterapkan oleh sistem operasi. Extended Protection didukung di Windows 7 dan Windows Server 2008 R2. Extended Protection disertakan dalam paket layanan untuk sistem operasi Microsoft yang lebih lama. SQL Server lebih aman ketika koneksi dibuat menggunakan Extended Protection.

Penting

Windows tidak memfungsikan Perlindungan Diperpanjang secara default. Untuk informasi tentang cara mengaktifkan Extended Protection di Windows, lihat Extended Protection untuk Autentikasi.

Deskripsi Perlindungan yang Diperluas

Extended Protection menggunakan pengikatan layanan dan pengikatan saluran untuk membantu mencegah serangan relai autentikasi. Dalam serangan relai autentikasi, klien yang dapat melakukan autentikasi NTLM (misalnya, Windows Explorer, Microsoft Outlook, aplikasi .NET SqlClient, dll.), terhubung ke penyerang (misalnya, server file CIFS berbahaya). Penyerang menggunakan kredensial klien untuk menyatukan sebagai klien dan mengautentikasi ke layanan (misalnya, instans layanan Mesin Database).

Ada dua variasi serangan ini:

  • Dalam serangan yang memikat, klien dipikat untuk secara sukarela terhubung ke penyerang.

  • Dalam serangan spoofing, klien berniat untuk terhubung ke layanan yang valid, tetapi tidak menyadari bahwa satu atau kedua perutean DNS dan IP diracuni untuk mengalihkan koneksi ke penyerang sebagai gantinya.

SQL Server mendukung pengikatan layanan dan pengikatan saluran untuk membantu mengurangi serangan ini pada instans SQL Server.

Pengikatan Layanan

Alamat pengikatan layanan memikat serangan dengan mengharuskan klien mengirim nama prinsipal layanan (SPN) yang ditandatangani dari layanan SQL Server yang ingin disambungkan klien. Sebagai bagian dari respons autentikasi, layanan memvalidasi bahwa SPN yang diterima dalam paket cocok dengan SPN-nya sendiri. Jika klien terpikat untuk terhubung ke penyerang, klien akan menyertakan SPN penyerang yang ditandatangani. Penyerang tidak dapat menyampaikan paket untuk mengautentikasi ke layanan SQL Server nyata sebagai klien, karena akan menyertakan SPN penyerang. Pengikatan layanan menimbulkan biaya satu kali yang dapat diabaikan, tetapi tidak mengatasi serangan spoofing. Pengikatan Layanan terjadi ketika aplikasi klien tidak menggunakan enkripsi untuk menyambungkan ke SQL Server.

Pengikatan Saluran

Pengikatan saluran menetapkan saluran aman (Schannel) antara klien dan instans layanan SQL Server. Layanan ini memverifikasi keaslian klien dengan membandingkan token pengikatan saluran klien (CBT) khusus untuk saluran tersebut, dengan CBT-nya sendiri. Alamat pengikatan saluran baik serangan iming-iming maupun spoofing. Namun, biaya runtime yang lebih besar, karena memerlukan enkripsi Transport Layer Security (TLS) dari semua lalu lintas sesi. Pengikatan Saluran terjadi ketika aplikasi klien menggunakan enkripsi untuk terhubung ke SQL Server, terlepas dari apakah enkripsi diberlakukan oleh klien atau oleh server.

Peringatan

Penyedia data SQL Server dan Microsoft untuk SQL Server mendukung TLS 1.0 dan SSL 3.0. Jika Anda menerapkan protokol yang berbeda (seperti TLS 1.1 atau TLS 1.2) dengan membuat perubahan pada lapisan SChannel sistem operasi, koneksi Anda ke SQL Server mungkin gagal. Pastikan Anda memiliki build terbaru SQL Server untuk Mendukung TLS 1.1 atau TLS 1.2. Untuk informasi selengkapnya, lihat https://support.microsoft.com/topic/kb3135244-tls-1-2-support-for-microsoft-sql-server-e4472ef8-90a9-13c1-e4d8-44aad198cdbe .

Dukungan Sistem Operasi

Tautan berikut ini menyediakan informasi selengkapnya tentang bagaimana Windows mendukung Extended Protection:

Pengaturan

Ada tiga pengaturan koneksi SQL Server yang memengaruhi pengikatan layanan dan pengikatan saluran. Pengaturan dapat dikonfigurasi dengan menggunakan Pengelola Konfigurasi SQL Server, atau dengan menggunakan WMI, dan dapat dengan dilihat dengan menggunakan faset Pengaturan Protokol Server dari Manajemen Berbasis Kebijakan.

  • Enkripsi Paksa

    Nilai yang mungkin adalah Aktif dan Nonaktif. Untuk menggunakan pengikatan saluran, Enkripsi Paksa harus diatur ke Aktif, dan semua klien akan dipaksa untuk mengenkripsi. Jika Nonaktif, hanya pengikatan layanan yang dijamin. Enkripsi Paksa ada di Protokol untuk Properti MSSQLSERVER (Tab Bendera) di Pengelola Konfigurasi SQL Server.

  • Perlindungan yang Diperluas

    Nilai yang mungkin adalah Nonaktif, Diizinkan, dan Diperlukan. Variabel Extended Protection memungkinkan pengguna mengonfigurasi tingkat Extended Protection untuk setiap instans SQL Server. Extended Protection ada di Protokol untuk Properti MSSQLSERVER (Tab Tingkat Lanjut) di Pengelola Konfigurasi SQL Server.

    • Saat diatur ke Nonaktif, Perlindungan Diperpanjang dinonaktifkan. Instans SQL Server akan menerima koneksi dari klien mana pun terlepas dari apakah klien dilindungi atau tidak. Off kompatibel dengan sistem operasi yang lebih lama dan belum dikirim, tetapi kurang aman. Gunakan pengaturan ini ketika Anda tahu bahwa sistem operasi klien tidak mendukung perlindungan yang diperluas.

    • Ketika diatur ke Diizinkan, Perlindungan yang Diperluas diperlukan untuk koneksi dari sistem operasi yang mendukung Perlindungan yang Diperpanjang. Extended Protection diabaikan untuk koneksi dari sistem operasi yang tidak mendukung Extended Protection. Koneksi dari aplikasi klien yang tidak terlindungi yang berjalan pada sistem operasi klien yang dilindungi ditolak. Pengaturan ini lebih aman daripada Nonaktif, tetapi bukan pengaturan yang paling aman. Gunakan pengaturan ini di lingkungan campuran, di mana beberapa sistem operasi mendukung Extended Protection dan beberapa tidak.

    • Saat diatur ke Diperlukan, hanya koneksi dari aplikasi yang dilindungi pada sistem operasi yang dilindungi yang diterima. Pengaturan ini adalah yang paling aman tetapi koneksi dari sistem operasi atau aplikasi yang tidak mendukung Extended Protection tidak akan dapat terhubung ke SQL Server.

  • SPN NTLM yang diterima

    Variabel SPN NTLM yang Diterima diperlukan ketika server diketahui oleh lebih dari satu SPN. Ketika klien mencoba menyambungkan ke server dengan menggunakan SPN valid yang tidak diketahui server, pengikatan layanan akan gagal. Untuk menghindari masalah ini, pengguna dapat menentukan beberapa SPN yang mewakili server dengan menggunakan SPN NTLM yang Diterima. SPN NTLM yang diterima adalah serangkaian SPN yang memisahkan titik koma saya. Misalnya, untuk mengizinkan SPN MSSQLSvc/ HostName1.Contoso.com dan MSSQLSvc/ HostName2.Contoso.com, ketik MSSQLSvc/HostName1.Contoso.com; MSSQLSvc/HostName2.Contoso.com dalam kotak SPN NTLM yang Diterima. Variabel memiliki panjang maksimum 2.048 karakter. SPN NTLM yang diterima ada di Protokol untuk Properti MSSQLSERVER (Tab Tingkat Lanjut) di Pengelola Konfigurasi SQL Server.

Mengaktifkan Perlindungan yang Diperluas untuk Mesin Database

Untuk menggunakan Extended Protection, server dan klien harus memiliki sistem operasi yang mendukung Extended Protection, dan Extended Protection harus diaktifkan pada sistem operasi. Untuk informasi selengkapnya tentang cara mengaktifkan Extended Protection untuk sistem operasi, lihat Perlindungan diperpanjang untuk Autentikasi.

SQL Server mendukung Extended Protection yang dimulai dengan SQL Server 2008 R2 (10.50.x). Extended Protection untuk beberapa versi SQL Server sebelumnya akan tersedia di pembaruan mendatang. Setelah mengaktifkan Extended Protection pada komputer server, gunakan langkah-langkah berikut untuk mengaktifkan Extended Protection:

  1. Pada menu Mulai, pilih Semua Program, arahkan ke Microsoft SQL Server lalu klik Pengelola Konfigurasi SQL Server.

  2. Perluas Konfigurasi Jaringan SQL Server, lalu klik kanan Protokol untuk _<_InstanceName**>, lalu klik Properti.

  3. Untuk pengikatan saluran dan pengikatan layanan, pada tab Tingkat Lanjut , atur Perlindungan diperpanjang ke pengaturan yang sesuai.

  4. Secara opsional, ketika server dikenal oleh lebih dari satu SPN, pada tab Tingkat Lanjut konfigurasikan bidang SPN NTLM yang Diterima seperti yang dijelaskan di bagian "Pengaturan".

  5. Untuk pengikatan saluran, pada tab Bendera , atur Paksa Enkripsi ke Aktif.

  6. Mulai ulang layanan Mesin Database.

Mengonfigurasi Komponen SQL Server Lainnya

Untuk informasi selengkapnya tentang cara mengonfigurasi Reporting Services, lihat Extended Protection for Authentication dengan Reporting Services.

Saat menggunakan IIS untuk mengakses data Analysis Services menggunakan koneksi HTTP atau HTTPs, Analysis Services dapat memanfaatkan Extended Protection yang disediakan oleh IIS. Untuk informasi selengkapnya tentang cara mengonfigurasi IIS untuk menggunakan Extended Protection, lihat Mengonfigurasi Extended Protection di IIS 7.5.

Lihat Juga

Konfigurasi Jaringan Server
Konfigurasi Jaringan Klien
Perlindungan yang Diperluas untuk Gambaran Umum Autentikasi
Autentikasi Windows Terintegrasi dengan Perlindungan yang Diperluas