Bagikan melalui


Perlindungan yang diperluas untuk autentikasi dengan Reporting Services

Extended Protection adalah serangkaian penyempurnaan untuk versi terbaru sistem operasi Microsoft Windows. Perlindungan yang diperluas meningkatkan bagaimana aplikasi dapat melindungi kredensial dan autentikasi. Fitur itu sendiri tidak secara langsung memberikan perlindungan terhadap serangan tertentu seperti penerusan kredensial, tetapi menyediakan infrastruktur untuk aplikasi seperti Reporting Services untuk memberlakukan Perlindungan Diperpanjang untuk Autentikasi.

Peningkatan autentikasi utama yang merupakan bagian dari perlindungan yang diperluas adalah pengikatan layanan dan pengikatan saluran. Pengikatan saluran menggunakan token pengikatan saluran (CBT), untuk memverifikasi bahwa saluran yang dibuat di antara dua titik akhir tidak disusupi. Pengikatan layanan menggunakan Nama Perwakilan Layanan (SPN) untuk memvalidasi tujuan token autentikasi yang dimaksudkan. Untuk informasi latar belakang selengkapnya tentang perlindungan yang diperluas, lihat Autentikasi Windows terintegrasi dengan perlindungan yang diperluas.

SQL Server Reporting Services (SSRS) mendukung dan memberlakukan Extended Protection yang diaktifkan dalam sistem operasi dan dikonfigurasi di Reporting Services. Secara default, Reporting Services menerima permintaan yang menentukan autentikasi Negosiasi atau NTLM dan karenanya dapat memperoleh manfaat dari dukungan Extended Protection dalam sistem operasi dan fitur perlindungan yang diperluas Reporting Services.

Penting

Secara default, Windows tidak mengaktifkan Extended Protection. Untuk informasi tentang cara mengaktifkan Extended Protection di Windows, lihat Perlindungan yang diperluas untuk autentikasi. Sistem operasi dan tumpukan autentikasi klien harus mendukung Extended Protection sehingga autentikasi berhasil. Untuk sistem operasi yang lebih lama, Anda mungkin perlu menginstal lebih dari satu pembaruan untuk komputer siap Perlindungan yang Diperpanjang yang lengkap. Untuk informasi tentang perkembangan terbaru dengan Extended Protection, lihat informasi terbaru dengan perlindungan yang diperluas.

Gambaran umum perlindungan yang diperluas Reporting Services

SSRS mendukung dan memberlakukan perlindungan yang diperluas yang diaktifkan dalam sistem operasi. Jika sistem operasi tidak mendukung perlindungan yang diperluas atau fitur dalam sistem operasi tidak diaktifkan, fitur perlindungan yang diperluas Reporting Services gagal autentikasi. Reporting Services Extended Protection juga memerlukan Sertifikat TLS/SSL. Untuk informasi selengkapnya, lihat Mengonfigurasi koneksi TLS di server laporan mode asli

Penting

Secara default, Reporting Services tidak mengaktifkan Extended Protection. Fitur ini dapat diaktifkan dengan memodifikasi file konfigurasi rsreportserver.config atau dengan menggunakan API WMI untuk memperbarui file konfigurasi. SSRS tidak menyediakan antarmuka pengguna untuk memodifikasi atau melihat pengaturan perlindungan yang diperluas. Untuk informasi selengkapnya, lihat bagian pengaturan konfigurasi dalam topik ini.

Masalah umum yang terjadi karena perubahan pengaturan perlindungan yang diperluas atau pengaturan yang salah dikonfigurasi tidak diekspos dengan pesan kesalahan atau jendela dialog yang jelas. Masalah yang terkait dengan konfigurasi dan kompatibilitas perlindungan yang diperluas mengakibatkan kegagalan dan kesalahan autentikasi dalam log pelacakan Reporting Services.

Penting

Beberapa teknologi akses data mungkin tidak mendukung perlindungan yang diperluas. Teknologi akses data digunakan untuk menyambungkan ke sumber data SQL Server dan ke database katalog Reporting Services. Kegagalan teknologi akses data untuk mendukung perlindungan yang diperluas berdampak pada Reporting Services dengan cara berikut:

  • SQL Server yang menjalankan database katalog Reporting Services tidak dapat mengaktifkan perlindungan yang diperluas atau server laporan tidak akan berhasil tersambung ke database katalog dan mengembalikan kesalahan autentikasi.
  • Instans SQL Server yang digunakan sebagai sumber data laporan Reporting Services tidak dapat mengaktifkan perlindungan yang diperluas atau mencoba server laporan untuk menyambungkan ke sumber data laporan akan gagal dan mengembalikan kesalahan autentikasi.

Dokumentasi untuk teknologi akses data harus memiliki informasi tentang dukungan untuk perlindungan yang diperpanjang.

Mutakhirkan

  • Meningkatkan server Reporting Services ke SQL Server 2016 menambahkan pengaturan konfigurasi dengan nilai default ke file rsreportserver.config . Jika pengaturan sudah ada, penginstalan SQL Server 2016 mempertahankannya dalam file rsreportserver.config .

  • Ketika pengaturan konfigurasi ditambahkan ke file konfigurasi rsreportserver.config , perilaku defaultnya adalah agar fitur perlindungan yang diperluas Reporting Services tidak aktif, dan Anda harus mengaktifkan fitur seperti yang dijelaskan dalam artikel ini. Untuk informasi selengkapnya, lihat bagian pengaturan konfigurasi di artikel ini.

  • Nilai default untuk pengaturan RSWindowsExtendedProtectionLevel adalah Off.

  • Nilai default untuk pengaturan RSWindowsExtendedProtectionScenario adalah Proxy.

  • Konsultan Peningkatan tidak memverifikasi bahwa sistem operasi atau penginstalan Reporting Services saat ini dengan dukungan Extended Protection diaktifkan.

Perlindungan yang diperluas Layanan Pelaporan apa yang tidak mencakup

Fitur perlindungan yang diperluas Reporting Services tidak mendukung area dan skenario fitur berikut:

  • Penulis ekstensi keamanan kustom Reporting Services harus menambahkan dukungan untuk perlindungan yang diperluas ke ekstensi keamanan kustom mereka.

  • Vendor pihak ketiga harus memperbarui komponen pihak ketiga yang ditambahkan atau digunakan oleh penginstalan Reporting Services untuk mendukung perlindungan yang diperluas. Untuk informasi selengkapnya, hubungi vendor pihak ketiga.

Skenario dan rekomendasi penyebaran

Skenario berikut menggambarkan berbagai penyebaran dan topologi dan konfigurasi yang direkomendasikan untuk mengamankannya dengan Reporting Services Extended Protection.

Langsung

Skenario ini menjelaskan langsung menyambungkan ke server laporan, misalnya, lingkungan intranet.

Skenario Diagram Skenario Cara mengamankan
Komunikasi TLS langsung.

Server laporan memberlakukan klien untuk melaporkan Pengikatan Saluran server.
Diagram yang menunjukkan komunikasi TLS langsung.

1) Aplikasi klien

2) Server laporan
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Direct.



-Pengikatan Layanan tidak diperlukan karena saluran TLS digunakan untuk Pengikatan Saluran.
Komunikasi HTTP langsung. Server laporan memberlakukan Klien untuk melaporkan Pengikatan Layanan server. Diagram yang memperlihatkan komunikasi HTTP.

1) Aplikasi klien

2) Server laporan
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Any.



-Tidak ada Saluran TLS oleh karena itu tidak ada penegakan Pengikatan Saluran yang dimungkinkan.

-Pengikatan Layanan dapat divalidasi, namun, itu bukan pertahanan lengkap tanpa pengikatan Saluran dan Pengikatan Layanan sendiri hanya melindungi dari ancaman dasar.

Proksi dan penyeimbangan beban jaringan

Aplikasi klien terhubung ke perangkat atau perangkat lunak yang melakukan TLS dan meneruskan kredensial ke server untuk autentikasi, misalnya, ekstranet, Internet, atau Intranet Aman. Klien terhubung ke Proksi atau semua klien menggunakan proksi.

Situasinya sama ketika Anda menggunakan perangkat Network Load Balancing (NLB).

Skenario Diagram Skenario Cara mengamankan
Komunikasi HTTP. Server laporan memberlakukan klien untuk melaporkan Pengikatan Layanan server. Diagram yang memperlihatkan komunikasi HTTP tidak langsung.

1) Aplikasi klien

2) Server laporan

3) Proksi
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Any.



-Tidak ada Saluran TLS oleh karena itu tidak ada penegakan Pengikatan Saluran yang dimungkinkan.

-Server laporan harus dikonfigurasi untuk mengetahui nama server proksi untuk memastikan bahwa pengikatan layanan diberlakukan dengan benar.
Komunikasi HTTP.

Server laporan memberlakukan klien ke Pengikatan Saluran Proksi dan klien untuk melaporkan Pengikatan Layanan server.
Diagram yang memperlihatkan komunikasi SSL tidak langsung.

1) Aplikasi klien

2) Server laporan

3) Proksi
Mengeset
RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Proxy.



Saluran -TLS ke proksi tersedia oleh karena itu pengikatan saluran ke proksi dapat diberlakukan.

-Pengikatan Layanan juga dapat diberlakukan.

-Nama proksi harus diketahui oleh server laporan dan administrator server laporan harus membuat reservasi URL untuk itu, dengan header host atau mengonfigurasi nama Proksi di entri BackConnectionHostNamesregistri Windows .
Komunikasi HTTPS tidak langsung dengan proksi aman. Server laporan memberlakukan klien untuk mem-proxy Pengikatan Saluran dan Klien untuk melaporkan Pengikatan Layanan server. Diagram yang memperlihatkan komunikasi HTTPS tidak langsung dengan proksi aman.

1) Aplikasi klien

2) Server laporan

3) Proksi
Mengeset
RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Proxy.



Saluran -TLS ke proksi tersedia oleh karena itu pengikatan saluran ke proksi dapat diberlakukan.

-Pengikatan Layanan juga dapat diberlakukan.

-Nama proksi harus diketahui oleh server laporan dan administrator server laporan harus membuat reservasi URL untuk itu, dengan header host atau mengonfigurasi nama Proksi di entri BackConnectionHostNamesregistri Windows .

Gateway

Skenario ini menjelaskan aplikasi Klien yang terhubung ke perangkat atau perangkat lunak yang melakukan TLS dan mengautentikasi pengguna. Kemudian perangkat atau perangkat lunak meniru konteks pengguna atau konteks pengguna yang berbeda sebelum membuat permintaan ke server laporan.

Skenario Diagram Skenario Cara mengamankan
Komunikasi HTTP tidak langsung.

Gateway memberlakukan pengikatan saluran Klien ke Gateway. Ada Gateway untuk melaporkan Pengikatan Layanan server.
Diagram yang memperlihatkan komunikasi SSL tidak langsung.

1) Aplikasi klien

2) Server laporan

3) Perangkat gateway
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Any.



-Pengikatan Saluran dari klien ke server laporan tidak dimungkinkan karena gateway meniru konteks dan oleh karena itu membuat token NTLM baru.

-Tidak ada TLS dari Gateway untuk melaporkan server oleh karena itu pengikatan saluran tidak dapat diberlakukan.

-Pengikatan Layanan dapat diberlakukan.

-Administrator Anda harus mengonfigurasi perangkat Gateway untuk menerapkan pengikatan saluran.
Komunikasi HTTPS tidak langsung dengan Gateway Aman. Gateway memberlakukan Pengikatan Saluran Klien ke Gateway dan server laporan memberlakukan Gateway untuk melaporkan Pengikatan Saluran server. Diagram yang memperlihatkan komunikasi HTTPS tidak langsung dengan Gateway Aman.

1) Aplikasi klien

2) Server laporan

3) Perangkat gateway
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Direct.



-Pengikatan Saluran dari klien ke server laporan tidak dimungkinkan karena gateway meniru konteks dan oleh karena itu membuat token NTLM baru.

-TLS dari Gateway ke server laporan berarti pengikatan saluran dapat diberlakukan.

-Pengikatan Layanan tidak diperlukan.

-Administrator Anda harus mengonfigurasi perangkat Gateway untuk menerapkan pengikatan saluran.

Kombinasi

Skenario ini menjelaskan lingkungan Extranet atau Internet tempat klien menyambungkan Proksi dalam kombinasi dengan lingkungan intranet tempat klien terhubung ke server laporan.

Skenario Diagram Skenario Cara mengamankan
Akses tidak langsung dan langsung dari klien ke layanan server laporan tanpa TLS pada salah satu klien ke proksi atau klien untuk melaporkan koneksi server. 1) Aplikasi klien

2) Server laporan

3) Proksi

4) Aplikasi klien
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Any.



-Pengikatan Layanan dari klien ke server laporan dapat diberlakukan.

-Nama proksi harus diketahui oleh server laporan dan administrator server laporan harus membuat reservasi URL untuk itu, dengan header host atau mengonfigurasi nama Proksi di entri BackConnectionHostNamesregistri Windows .
Akses tidak langsung dan langsung dari klien ke server laporan tempat klien membuat koneksi TLS ke proksi atau server laporan. Diagram yang memperlihatkan akses tidak langsung dan langsung dari klien ke server laporan.

1) Aplikasi klien

2) Server laporan

3) Proksi

4) Aplikasi klien
Atur RSWindowsExtendedProtectionLevel ke Allow atau Require.

Atur RSWindowsExtendedProtectionScenario ke Proxy.



-Pengikatan Saluran dapat digunakan

-Nama proksi harus diketahui oleh server laporan dan administrator server laporan harus membuat reservasi URL untuk proksi, dengan header host atau mengonfigurasi nama Proksi di entri BackConnectionHostNamesregistri Windows .

Mengonfigurasi perlindungan yang diperluas Reporting Services

File rsreportserver.config berisi nilai konfigurasi yang mengontrol perilaku perlindungan yang diperluas Reporting Services.

Untuk informasi selengkapnya tentang cara menggunakan dan mengedit file rsreportserver.config , lihat file konfigurasi RsReportServer.config. Pengaturan perlindungan yang diperluas juga dapat diubah dan diperiksa dengan menggunakan API WMI. Untuk informasi selengkapnya, lihat Metode SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting).

Ketika validasi pengaturan konfigurasi gagal, jenis RSWindowsNTLMautentikasi , RSWindowsKerberos dan RSWindowsNegotiate dinonaktifkan di server laporan.

Pengaturan konfigurasi untuk perlindungan yang diperluas Reporting Services

Tabel berikut ini menyediakan informasi tentang pengaturan konfigurasi yang muncul di rsreportserver.config untuk perlindungan yang diperluas.

Pengaturan Deskripsi
RSWindowsExtendedProtectionLevel Menentukan tingkat penegakan perlindungan yang diperluas. Nilai yang valid adalah:

Off:Default. Menentukan tidak ada pengikatan saluran atau verifikasi pengikatan layanan.

Allow mendukung perlindungan yang diperluas tetapi tidak memerlukannya. Menentukan:

-Perlindungan yang diperluas diberlakukan untuk aplikasi klien yang berjalan pada sistem operasi yang mendukung perlindungan yang diperluas. Bagaimana perlindungan diberlakukan ditentukan oleh pengaturan RsWindowsExtendedProtectionScenario

-Autentikasi diizinkan untuk aplikasi yang berjalan pada sistem operasi yang tidak mendukung perlindungan yang diperpanjang.

Require menentukan:

-Perlindungan yang diperluas diberlakukan untuk aplikasi klien yang berjalan pada sistem operasi yang mendukung perlindungan yang diperluas.

-Autentikasi tidak diizinkan untuk aplikasi yang berjalan pada sistem operasi yang tidak mendukung perlindungan yang diperpanjang.
RsWindowsExtendedProtectionScenario Menentukan bentuk perlindungan yang diperluas yang divalidasi: Pengikatan saluran, Pengikatan Layanan, atau keduanya. Nilai yang valid adalah:

Proxy:Default. Menentukan:

-Windows NTLM, Kerberos, dan Negosiasikan autentikasi ketika token pengikatan saluran ada.

-Pengikatan Layanan diberlakukan.

Any Menentukan:

-Windows NTLM, Kerberos, dan Negosiasikan autentikasi dan pengikatan saluran tidak diperlukan.

-Pengikatan layanan diberlakukan.

Direct Menentukan:

-Windows NTLM, Kerberos, dan Negosiasikan autentikasi ketika CBT ada, koneksi TLS ke layanan saat ini ada, dan CBT untuk koneksi TLS cocok dengan CBT dari NTLM, Kerberos atau token negosiasi.

-Pengikatan Layanan tidak diberlakukan.



Catatan: RsWindowsExtendedProtectionScenario Pengaturan diabaikan jika RsWindowsExtendedProtectionLevel diatur ke OFF.

Contoh entri dalam file konfigurasi rsreportserver.config :

<Authentication>  
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>  
</Authentication>  

Pengikatan layanan dan SPN yang disertakan

Pengikatan layanan menggunakan Nama Perwakilan Layanan atau SPN untuk memvalidasi tujuan token autentikasi yang dimaksudkan. Reporting Services menggunakan informasi reservasi URL yang ada untuk membuat daftar SPN yang dianggap valid. Informasi reservasi URL untuk validasi reservasi SPN dan URL memungkinkan administrator sistem mengelola keduanya dari satu lokasi.

Daftar SPN yang valid diperbarui ketika salah satu tindakan berikut terjadi:

  • Server laporan dimulai.
  • Pengaturan konfigurasi untuk perlindungan yang diperluas diubah.
  • Domain aplikasi didaur ulang.

Daftar SPN yang valid khusus untuk setiap aplikasi. Misalnya, Manajer Laporan dan Server Laporan masing-masing memiliki daftar SPN valid yang berbeda yang dihitung.

Faktor-faktor berikut menentukan SPN valid yang dihitung untuk aplikasi:

  • Setiap reservasi URL.

  • Setiap SPN yang diambil dari pengendali domain untuk akun layanan untuk Reporting Services.

  • Jika reservasi URL menyertakan karakter kartubebas ('*' atau '+'), maka Server Laporan menambahkan setiap entri dari koleksi host.

Sumber koleksi host.

Tabel berikut mencantumkan sumber potensial untuk koleksi Host.

Jenis sumber Deskripsi
ComputerNameDnsDomain Nama domain DNS yang ditetapkan ke komputer lokal. Jika komputer lokal adalah simpul dalam kluster, nama domain DNS server virtual kluster digunakan.
ComputerNameDnsFullyQualified Nama DNS yang sepenuhnya memenuhi syarat yang secara unik mengidentifikasi komputer lokal. Nama ini adalah kombinasi dari nama host DNS dan nama domain DNS, yang menggunakan formulir HostName.DomainName. Jika komputer lokal adalah simpul dalam kluster, nama DNS yang sepenuhnya memenuhi syarat dari server virtual kluster digunakan.
ComputerNameDnsHostname Nama host DNS komputer lokal. Jika komputer lokal adalah simpul dalam kluster, nama host DNS server virtual kluster digunakan.
ComputerNameNetBIOS Nama NetBIOS komputer lokal. Jika komputer lokal adalah simpul dalam kluster, nama NetBIOS dari server virtual kluster digunakan.
ComputerNamePhysicalDnsDomain Nama domain DNS yang ditetapkan ke komputer lokal. Jika komputer lokal adalah simpul dalam kluster, nama domain DNS komputer lokal digunakan, bukan nama server virtual kluster.
ComputerNamePhysicalDnsFullyQualified Nama DNS yang sepenuhnya memenuhi syarat yang mengidentifikasi komputer secara unik. Jika komputer lokal adalah simpul dalam kluster, nama DNS komputer lokal yang sepenuhnya memenuhi syarat, digunakan bukan nama server virtual kluster.

Nama DNS yang sepenuhnya memenuhi syarat adalah kombinasi dari nama host DNS dan nama domain DNS, yang menggunakan formulir HostName.DomainName.
ComputerNamePhysicalDnsHostname Nama host DNS komputer lokal. Jika komputer lokal adalah simpul dalam kluster, nama host DNS komputer lokal digunakan, bukan nama server virtual kluster.
ComputerNamePhysicalNetBIOS Nama NetBIOS komputer lokal. Jika komputer lokal adalah simpul dalam kluster, sumber ini adalah nama NetBIOS komputer lokal, bukan nama server virtual kluster.

Untuk informasi selengkapnya, lihat Mendaftarkan nama perwakilan layanan (SPN) untuk server laporan dan Tentang reservasi dan pendaftaran URL (Manajer Konfigurasi Server Laporan).