Genişletilmiş Koruma ile veritabanı altyapısına bağlanma

Şunlar için geçerlidir: SQL Server

Genişletilmiş Koruma, istemcinin bağlandığı hizmeti bildiğinden emin olarak kimlik doğrulama geçişi saldırılarını önlemeye yardımcı olur.

Genişletilmiş Koruma, işletim sistemi tarafından uygulanan ağ bileşenlerinin bir özelliğidir. Genişletilmiş Koruma , Windows'ta desteklenir.

SQL Server, Genişletilmiş Korumakullanılarak bağlantılar yapıldığında daha güvenlidir.

Genişletilmiş Koruma açıklaması

Genişletilmiş Koruma, kimlik doğrulama geçişi saldırısını önlemeye yardımcı olmak için hizmet bağlama ve kanal bağlamayı kullanır. Kimlik doğrulama geçişi saldırısında, NTLM kimlik doğrulaması gerçekleştirebilen bir istemci (örneğin, Windows Gezgini, Microsoft Outlook, bir .NET SqlClient uygulaması vb.), bir saldırgana (örneğin, kötü amaçlı bir CIFS dosya sunucusu) bağlanır. Saldırgan, istemci olarak maske uygulamak ve bir hizmette (örneğin, Veritabanı Altyapısı örneği) kimlik doğrulaması yapmak için istemcinin kimlik bilgilerini kullanır.

Bu saldırının iki varyasyonu vardır:

• Bir ayartma saldırısında, istemci gönüllü olarak saldırgana bağlanmaya teşvik edilir.

• Kimlik sahtekarlığına uğrayan bir saldırıda istemci geçerli bir hizmete bağlanmayı amaçlıyor ancak bunun yerine bağlantıyı saldırgana yönlendirmek için dns ve IP yönlendirmelerinden birinin veya her ikisinin zehirlendiğinin farkında değil.

SQL Server, SQL Server örneklerine yönelik bu saldırıları azaltmaya yardımcı olmak için hizmet bağlamayı ve kanal bağlamayı destekler.

Hizmet Bağlantısı

Hizmet bağlama, istemcinin bağlanmayı hedeflediği SQL Server hizmetinin imzalı hizmet asıl adını (SPN) göndermesini zorunlu kılarak, aldatıcı saldırıları engeller. Kimlik doğrulama yanıtının bir parçası olarak hizmet, pakette alınan SPN'nin kendi SPN'siyle eşleşdiğini doğrular. Bir istemci bir saldırgana bağlanmak için kandırılırsa, istemci saldırganın imzalı SPN'sini içerir. Saldırganın SPN'sini içereceğinden, saldırgan gerçek SQL Server hizmetine istemci olarak kimlik doğrulaması için paketi aktaramaz. Hizmet bağlama, tek seferlik ve göz ardı edilebilir bir maliyete neden olur ama kimlik sahtekarlığı saldırılarını engellemez. Hizmet Bağlama, bir istemci uygulaması SQL Server'a bağlanmak için şifreleme kullanmadığında oluşur.

Kanal bağlama

Kanal bağlama, istemci ile SQL Server hizmetinin bir örneği arasında güvenli bir kanal (Schannel) oluşturur. Hizmet, istemcinin kanala özgü bağlama belirtecini (CBT) kendi CBT'si ile karşılaştırarak istemcinin orijinalliğini doğrular. Kanal bağlama, hem tuzağa düşürme hem de kimlik sahtekarlığı saldırılarını engeller. Ancak, tüm oturum trafiğinin Aktarım Katmanı Güvenliği (TLS) şifrelemesini gerektirdiğinden daha büyük bir çalışma zamanı maliyetine neden olur. Kanal Bağlama, istemci uygulaması SQL Server'a bağlanmak için şifreleme kullandığında, şifrelemenin istemci tarafından mı yoksa sunucu tarafından mı uygulandığından bağımsız olarak gerçekleşir.

Uyarı

SQL Server için SQL Server ve Microsoft veri sağlayıcıları TLS 1.0 ve SSL 3.0'ı destekler. İşletim sistemi SChannel katmanında değişiklik yaparak farklı bir protokolü (TLS 1.1 veya TLS 1.2 gibi) zorlarsanız, SQL Server bağlantılarınız başarısız olabilir. TLS 1.1 veya TLS 1.2'yi Desteklemek için SQL Server'ın en son derlemesine sahip olduğunuzdan emin olun. Daha fazla bilgi için bkz. Microsoft SQL Server için TLS 1.2 desteği.

İşletim sistemi desteği

Aşağıdaki bağlantılar, Windows'un Genişletilmiş Korumanasıl desteklediği hakkında daha fazla bilgi sağlar:

• Genişletilmiş Koruma ile Tümleşik Windows Kimlik Doğrulaması
• Microsoft Güvenlik Danışmanlığı (973811), Kimlik Doğrulaması için Genişletilmiş Koruma

Ayarlar

Hizmet bağlamasını ve kanal bağlamasını etkileyen üç SQL Server bağlantı ayarı vardır. Ayarlar SQL Server Configuration Manager veya WMI kullanılarak yapılandırılabilir ve İlke Tabanlı Yönetimin Sunucu Protokolü Ayarları kullanılarak görüntülenebilir.

Şifrelemeyi Zorla

Olası değerler Açık, ve Kapalı,. Kanal bağlamayı kullanmak için, Şifrelemeyi Zorla seçeneği Açık olarak ayarlanmalıdır ve tüm istemcilerin şifreleme yapması gerekir. Kapalı ise yalnızca hizmet bağlaması garanti edilir. Şifrelemeyi Zorla, SQL Server Configuration Manager'daki MSSQLSERVER Özellikleri (Bayraklar Sekmesi) için Protokolleri'ndedir.

Genişletilmiş Koruma

Olası değerler Kapalı, İzin Verilenve Gerekli. Genişletilmiş Koruma değişkeni, kullanıcıların her SQL Server örneği için Genişletilmiş Koruma düzeyini yapılandırmasına olanak tanır. Genişletilmiş Koruma, SQL Server Configuration Manager'da MSSQLSERVER Özellikleri'nin Protokoller (Gelişmiş Sekme) kısmındadır.

Kapalıolarak ayarlandığında Genişletilmiş Koruma devre dışı bırakılır. SQL Server örneği, istemcinin korunup korunmadığına bakılmaksızın herhangi bir istemciden gelen bağlantıları kabul eder. Off, eski ve eşleşmeyen işletim sistemleriyle uyumludur ancak daha az güvenlidir. İstemci işletim sistemleri genişletilmiş korumayı desteklemediğinde bu ayarı kullanın.

İzin Verilen olarak ayarlandığında, Genişletilmiş Koruma destekleyen işletim sistemlerinden gelen bağlantılar için Genişletilmiş Koruma gereklidir. Genişletilmiş Koruma, Genişletilmiş Korumadesteklemeyen işletim sistemlerinden gelen bağlantılar için yoksayılır. Korumalı istemci işletim sistemlerinde çalışan korumasız istemci uygulamalarından gelen bağlantılar reddedilir. Bu ayar Kapalı'den daha güvenlidir, ancak en güvenli ayar değildir. Bu ayarı karma ortamlarda kullanın; bazı işletim sistemleri Genişletilmiş Korumadesteklerken diğerleri desteklemez.

Gerekliolarak ayarlandığında, yalnızca korumalı işletim sistemleri üzerindeki korumalı uygulamalardan gelen bağlantılar kabul edilir. Bu ayar en güvenli ayardır, ancak Genişletilmiş Koruma desteklemeyen işletim sistemlerinden veya uygulamalardan gelen bağlantılar SQL Server'a bağlanamaz.

Kabul Edilen NTLM SPN'leri

Kabul Edilen NTLM SPN'leri değişkeni, bir sunucuyu birden fazla SPN tanıdığında gereklidir. İstemci, sunucunun bilmediği geçerli bir SPN kullanarak sunucuya bağlanmaya çalıştığında, hizmet bağlama başarısız olur. Bu sorunu önlemek için, kullanıcılar Kabul Edilen NTLM SPN'lerinikullanarak sunucuyu temsil eden birkaç SPN belirtebilir. Kabul Edilmiş NTLM SPN'leri noktalı virgülle ayrılmış bir dizi SPN'dir. Örneğin, MSSQLSvc/HostName1.Contoso.com ve MSSQLSvc/HostName2.Contoso.comSPN'lerine izin vermek için, MSSQLSvc/HostName1.Contoso.com;MSSQLSvc/HostName2.Contoso.com ifadelerini Kabul Edilen NTLM SPN'leri kutusuna yazın. Değişkenin uzunluğu en fazla 2.048 karakterdir. Kabul Edilmiş NTLM Hizmet Prensibi Adları (SPN'ler), SQL Server Configuration Manager'da MSSQLSERVER Özellikleri için Protokoller (Gelişmiş Sekme) bölümünde bulunur.

Veritabanı altyapısı için Genişletilmiş Koruma'yı etkinleştirme

Genişletilmiş Korumakullanmak için hem sunucunun hem de istemcinin Genişletilmiş Koruma destekleyen bir işletim sistemi olması ve işletim sisteminde etkinleştirilmesi gerekir. İşletim sistemi için Genişletilmiş Koruma etkinleştirme hakkında daha fazla bilgi için bkz.Kimlik Doğrulaması için Genişletilmiş Koruma .

Genişletilmiş Koruma ve NTLMv2 Windows'un tüm desteklenen sürümlerinde varsayılan olarak etkin olsa da, SQL Server bağlantıları için Genişletilmiş Koruma varsayılan olarak etkinleştirilmez. Kullanıcıların SQL Server Configuration Manager'nde el ile etkinleştirmesi gerekir.

SQL Server bağlantıları için Genişletilmiş Koruma etkinleştirmek için, yöneticilerin sql server configuration managerayarlarını yapılandırmaları gerekir. Bu, çeşitli kimlik doğrulama geçişi saldırılarını azaltmak için hizmet bağlama ve kanal bağlama seçeneklerini içerir. Ayrıntılı yönergeler için Genişletilmiş Korumayapılandırmaya ilişkin SQL Server belgelerine bakın.

Sunucu bilgisayarda Genişletilmiş Koruma etkinleştirdikten sonra, Genişletilmiş Korumaetkinleştirmek için aşağıdaki adımları kullanın:

1. Başlat menüsünde, Tüm Programlar'i seçin, Microsoft SQL Server üzerine gelin ve ardından SQL Server Configuration Manager'ı seçin.

2. SQL Server Ağ Yapılandırması'u genişletin, ardından __InstanceName** için Protokolleri'ne sağ tıklayın veÖzellikler'i seçin.

3. Gelişmiş sekmesinde, Genişletilmiş Koruma hem kanal bağlaması hem de hizmet bağlaması için uygun ayara ayarlayın.

4. Bir sunucuyu birden fazla SPN tanıdığında, isteğe bağlı olarak, Gelişmiş sekmesindeki Kabul Edilen NTLM SPN'leri alanını "Ayarlar" bölümünde açıklandığı gibi yapılandırın.

5. Kanal bağlaması için, Bayraklar sekmesinde Şifrelemeyi Zorla seçeneğini Açıkolarak ayarlayın.

6. Veritabanı Altyapısı hizmetini yeniden başlatın.

Diğer SQL Server bileşenlerini yapılandırma

Reporting Services'i yapılandırma hakkında daha fazla bilgi için bkz. Reporting Services ile kimlik doğrulaması için genişletilmiş koruma.

HTTP veya HTTPS bağlantısı kullanarak Analysis Services verilerine erişmek için IIS kullanırken, Analysis Services IIS tarafından sağlanan Genişletilmiş Koruma'nın avantajlarından yararlanabilir. IIS'yi Genişletilmiş Koruma kullanacak şekilde yapılandırma hakkında daha fazla bilgi için bkz. IIS 7.5'te Genişletilmiş Koruma yapılandırma.

İlgili içerik

• Sunucu ağ yapılandırması
• İstemci ağ yapılandırması
• Kimlik Doğrulaması için Genişletilmiş Koruma'ya Genel Bakış
• Genişletilmiş Koruma ile Tümleşik Windows Kimlik Doğrulaması