Sambungkan ke Mesin Database Menggunakan Perlindungan Yang Diperluas
Berlaku untuk:
SQL Server
SQL Server mendukung Extended Protection yang dimulai dengan SQL Server 2008 R2 (10.50.x). Extended Protection for Authentication adalah fitur komponen jaringan yang diterapkan oleh sistem operasi. Extended Protection didukung di Windows 7 dan Windows Server 2008 R2. Extended Protection disertakan dalam paket layanan untuk sistem operasi Microsoft yang lebih lama. SQL Server lebih aman saat koneksi dibuat menggunakan Extended Protection.
Penting
Windows tidak memfungsikan Perlindungan Diperpanjang secara default. Untuk informasi tentang cara mengaktifkan Extended Protection di Windows, lihat Extended Protection for Authentication.
Deskripsi Perlindungan yang Diperluas
Extended Protection menggunakan pengikatan layanan dan pengikatan saluran untuk membantu mencegah serangan relai autentikasi. Dalam serangan relai autentikasi, klien yang dapat melakukan autentikasi NTLM (misalnya, Windows Explorer, Microsoft Outlook, aplikasi .NET SqlClient, dll.), terhubung ke penyerang (misalnya, server file CIFS berbahaya). Penyerang menggunakan kredensial klien untuk menyanggah sebagai klien dan mengautentikasi ke layanan (misalnya, instans layanan Mesin Database).
Ada dua variasi serangan ini:
Dalam serangan iming-iming, klien dipikat untuk secara sukarela terhubung dengan penyerang.
Dalam serangan spoofing, klien berniat untuk terhubung ke layanan yang valid, tetapi tidak menyadari bahwa salah satu atau kedua perutean DNS dan IP diracuni untuk mengalihkan koneksi ke penyerang sebagai gantinya.
SQL Server mendukung pengikatan layanan dan pengikatan saluran untuk membantu mengurangi serangan ini pada instans SQL Server.
Pengikatan Layanan
Alamat pengikatan layanan memikat serangan dengan mengharuskan klien untuk mengirim nama perwakilan layanan (SPN) yang ditandatangani dari layanan SQL Server yang ingin disambungkan oleh klien. Sebagai bagian dari respons autentikasi, layanan memvalidasi bahwa SPN yang diterima dalam paket cocok dengan SPN-nya sendiri. Jika klien terpikat untuk terhubung ke penyerang, klien akan menyertakan SPN penyerang yang ditandatangani. Penyerang tidak dapat menyampaikan paket untuk mengautentikasi ke layanan SQL Server nyata sebagai klien, karena akan mencakup SPN penyerang. Pengikatan layanan menimbulkan biaya satu kali yang dapat diabaikan, tetapi tidak mengatasi serangan spoofing. Pengikatan Layanan terjadi ketika aplikasi klien tidak menggunakan enkripsi untuk terhubung ke SQL Server.
Pengikatan Saluran
Pengikatan saluran menetapkan saluran aman (Schannel) antara klien dan instans layanan SQL Server. Layanan memverifikasi keaslian klien dengan membandingkan token pengikatan saluran (CBT) klien khusus untuk saluran tersebut, dengan CBT-nya sendiri. Alamat pengikatan saluran memancing dan melakukan spoofing serangan. Namun, biaya runtime yang lebih besar, karena memerlukan enkripsi Transport Layer Security (TLS) dari semua lalu lintas sesi. Pengikatan Saluran terjadi ketika aplikasi klien menggunakan enkripsi untuk terhubung ke SQL Server, terlepas dari apakah enkripsi diberlakukan oleh klien atau oleh server.
Peringatan
SQL Server dan penyedia data Microsoft untuk SQL Server mendukung TLS 1.0 dan SSL 3.0. Jika Anda menerapkan protokol yang berbeda (seperti TLS 1.1 atau TLS 1.2) dengan membuat perubahan pada lapisan SChannel sistem operasi, koneksi Anda ke SQL Server mungkin gagal. Pastikan Anda memiliki build terbaru SQL Server untuk Mendukung TLS 1.1 atau TLS 1.2. Untuk informasi selengkapnya, lihat https://support.microsoft.com/topic/kb3135244-tls-1-2-support-for-microsoft-sql-server-e4472ef8-90a9-13c1-e4d8-44aad198cdbe.
Dukungan Sistem Operasi
Tautan berikut ini menyediakan informasi selengkapnya tentang cara Windows mendukung Extended Protection:
Autentikasi Windows Terintegrasi dengan Perlindungan yang Diperluas
Microsoft Security Advisory (973811), Extended Protection for Authentication
Pengaturan
Ada tiga pengaturan koneksi SQL Server yang memengaruhi pengikatan layanan dan pengikatan saluran. Pengaturan dapat dikonfigurasi dengan menggunakan Pengelola Konfigurasi SQL Server, atau dengan menggunakan WMI, dan dapat dengan dilihat dengan menggunakan faset Pengaturan Protokol Server dari Manajemen Berbasis Kebijakan.
Paksa Enkripsi
Nilai yang mungkin aktif dan nonaktif. Untuk menggunakan pengikatan saluran, Enkripsi Paksa harus diatur ke Aktif, dan semua klien akan dipaksa untuk mengenkripsi. Jika Nonaktif, hanya pengikatan layanan yang dijamin. Enkripsi Paksa ada di Protokol untuk Properti MSSQLSERVER (Tab Bendera) di Pengelola Konfigurasi SQL Server.
Perlindungan yang Diperluas
Nilai yang mungkin Adalah Nonaktif, Diizinkan, dan Diperlukan. Variabel Extended Protection memungkinkan pengguna mengonfigurasi tingkat Extended Protection untuk setiap instans SQL Server. Extended Protection ada di Protokol untuk Properti MSSQLSERVER (Tab Tingkat Lanjut) di Pengelola Konfigurasi SQL Server.
Saat diatur ke Nonaktif, Perlindungan Diperpanjang dinonaktifkan. Instans SQL Server akan menerima koneksi dari klien mana pun terlepas dari apakah klien dilindungi atau tidak. Off kompatibel dengan sistem operasi yang lebih lama dan tidak dikirim, tetapi kurang aman. Gunakan pengaturan ini ketika Anda tahu bahwa sistem operasi klien tidak mendukung perlindungan yang diperpanjang.
Ketika diatur ke Diizinkan, Extended Protection diperlukan untuk koneksi dari sistem operasi yang mendukung Extended Protection. Extended Protection diabaikan untuk koneksi dari sistem operasi yang tidak mendukung Extended Protection. Koneksi dari aplikasi klien yang tidak terlindungi yang berjalan pada sistem operasi klien yang dilindungi ditolak. Pengaturan ini lebih aman daripada Nonaktif, tetapi bukan pengaturan yang paling aman. Gunakan pengaturan ini di lingkungan campuran, di mana beberapa sistem operasi mendukung Extended Protection dan beberapa tidak.
Ketika diatur ke Diperlukan, hanya koneksi dari aplikasi yang dilindungi pada sistem operasi yang dilindungi yang diterima. Pengaturan ini adalah koneksi yang paling aman tetapi dari sistem operasi atau aplikasi yang tidak mendukung Extended Protection tidak akan dapat terhubung ke SQL Server.
SPN NTLM yang diterima
Variabel SPN NTLM yang Diterima diperlukan ketika server diketahui oleh lebih dari satu SPN. Ketika klien mencoba menyambungkan ke server dengan menggunakan SPN yang valid yang tidak diketahui server, pengikatan layanan akan gagal. Untuk menghindari masalah ini, pengguna dapat menentukan beberapa SPN yang mewakili server dengan menggunakan SPN NTLM yang Diterima. SPN NTLM yang diterima adalah serangkaian SPN yang dipisahkan titik koma saya. Misalnya, untuk mengizinkan SPN MSSQLSvc/ HostName1.Contoso.com dan MSSQLSvc/ HostName2.Contoso.com, ketik MSSQLSvc/HostName1.Contoso.com; MSSQLSvc/HostName2.Contoso.com dalam kotak SPN NTLM yang Diterima . Variabel memiliki panjang maksimum 2.048 karakter. SPN NTLM yang diterima ada di Protokol untuk Properti MSSQLSERVER (Tab Tingkat Lanjut) di Pengelola Konfigurasi SQL Server.
Mengaktifkan Perlindungan Yang Diperluas untuk Mesin Database
Untuk menggunakan Extended Protection, server dan klien harus memiliki sistem operasi yang mendukung Extended Protection, dan Extended Protection harus diaktifkan pada sistem operasi. Untuk informasi selengkapnya tentang cara mengaktifkan Extended Protection untuk sistem operasi, lihat Extended Protection for Authentication.
SQL Server mendukung Extended Protection yang dimulai dengan SQL Server 2008 R2 (10.50.x). Extended Protection untuk beberapa versi SQL Server yang lebih lama akan tersedia di pembaruan mendatang. Setelah mengaktifkan Extended Protection di komputer server, gunakan langkah-langkah berikut untuk mengaktifkan Extended Protection:
Pada menu Mulai, pilih Semua Program, arahkan ke Microsoft SQL Server lalu klik Pengelola Konfigurasi SQL Server.
Perluas SQL Server Konfigurasi Jaringan, lalu klik kanan Protokol untuk _<_InstanceName**>, lalu klik Properti.
Untuk pengikatan saluran dan pengikatan layanan, pada tab Tingkat Lanjut , atur Perlindungan diperpanjang ke pengaturan yang sesuai.
Secara opsional, ketika server dikenal oleh lebih dari satu SPN, pada tab Tingkat Lanjutkonfigurasikan bidang SPN NTLM yang Diterima seperti yang dijelaskan di bagian "Pengaturan".
Untuk pengikatan saluran, pada tab Bendera , atur Paksa Enkripsi ke Aktif.
Mulai ulang layanan Mesin Database.
Mengonfigurasi Komponen SQL Server Lainnya
Untuk informasi selengkapnya tentang cara mengonfigurasi Reporting Services, lihat Extended Protection for Authentication dengan Reporting Services.
Saat menggunakan IIS untuk mengakses data Analysis Services menggunakan koneksi HTTP atau HTTPs, Analysis Services dapat memanfaatkan Extended Protection yang disediakan oleh IIS. Untuk informasi selengkapnya tentang cara mengonfigurasi IIS untuk menggunakan Extended Protection, lihat Mengonfigurasi Extended Protection di IIS 7.5.
Lihat juga
Konfigurasi Jaringan Server
Konfigurasi Jaringan Klien
Proteksi Yang Diperluas untuk Gambaran Umum Autentikasi
Autentikasi Windows Terintegrasi dengan Perlindungan yang Diperluas
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk