Tehdidi ve güvenlik açığı azalmayı (Reporting Services)
Bu konu, teknikleri ve stratejileri, Reporting Services Dağıtım tehditleri azaltmak için açıklar.
Genel Bakış
rapor sunucusu dış içerik ve uygulama verilerini saklayan durum bilgisi olmayan bir sunucudur.Bir büyük tehditlere karşı bir rapor sunucusu yetkisiz erişim veya izinsiz olarak yükleme, rapor sunucusu veritabanı ve yapılandırma dosyaları.Raporların nasıl oluşturacağınız ve içerik yayımlamak için iznine sahip kişileri daha az belirgin ama eşit olarak önemli bir tehdit olduğu bir rapor sunucusu.Bir sunucu bilgisayara tam güvende çalışacak derleme rapor tanımları var.Rapor tanımı sunucuda çalıştırılan diğer özel derlemeler içerir.Bu kod kötü amaçlı kod içeriyorsa, raporda veya özel bir derleme çalışır rapor sunucusu raporu isteyen kullanıcının kimlik bilgileri altında bilgisayar.İnce tehditlere gizli veri yanlışlıkla gösterir bir rapor tasarımı ile tahakkuk.Çalışan bir parametre olarak bir çalışan kimliği kullanan rapor çalışıyorsa, söz konusu rasgele bir kimlik bir rapor URL'ye ekleyerek başka bir çalışan hakkındaki bilgileri görüntülemek için olmaması gerekir.Son olarak, rapor kuruluşunuzdaki dağıtım yöntemleri göz önünde bulundurun.Sizin yapılandırdığınız bir rapor sunucusu kuruluşunun dışına raporları teslim etme olasılığını en aza indirmek için.Dosya sistemi izinleri de kullanabilirsiniz ve kullanıcılar yalnızca yetkili emin olmak için rapor sunucusu izinlerini raporu açabilirsiniz.
Ek tehditlere ve nasıl bir gerçek yararlanma risklerini en aza indirebilirsiniz Bu konu aşağıdaki bölümlerde açıklanmaktadır.
Rapor sunucusunda bir saldırı Azaltıcı
Aşağıdaki tabloda, tehditler ve azaltıcı etkenlerine karşı tutumu sunucu bileşenleri ve yapılandırma ayarlarını açıklar.
Özellik veya işlem |
Tehdit |
Azaltıcı Etkenler |
---|---|---|
Yapılandırma ayarları, Web.config ve rapor sunucusu bilgisayarındaki uygulama yapılandırma dosyalarında depolanır. |
Saldırgan bilgisayara erişim, bir şifresiz veya korunmayan yapılandırma dosyasını bulun ve dosyayı kurcalayamazlar. |
Dosyanın izinlerini ayarlayın.Varsayılan olarak, izinler içinReporting ServicesKur sırasında oluşturulan güvenlik grupları |
Rapor sunucusu Web hizmet, TCP/IP bağlantıları üzerinden gönderilen isteğe bağlı isteklerini işler. |
Bir saldırgan, bir aşağıdaki formların alan hizmet reddi saldırısı başlatmak: Bir hedef sunucuda birden çok kimliği doğrulanmamış isteklerin yönlendirilir. Eksik istekleri yönlendirilmiş bir hedef sunucuda ancak hiçbir zaman tamamlandı. İstekleri aşırı derecede büyüktür; saldırgan, bir isteği başlatan ve büyük bir yük sunucuya gönderir. |
rapor sunucusu bazı bir hizmet reddi saldırısı etkilerini en aza iki dakika içinde tüm kimliği doğrulanmamış isteklerin bırakır.İki dakika aralığı sabittir; kısaltmak olamaz. Saldırı rapor sunucu karşıya yükleme işlemleri esas, azaltma değerimaxRequestLengthöğe Machine.yapılandırma dosyası.Varsayılan olarak, ASP.NET sunucu uygulaması için yüklenen öğeleri megabayt (MB) sınırını yerleştirir.Unutmayın, değerini düşürmekmaxRequestLengtholması gereken geçici bir ölçü birimi.Genellikle, (örneğin, modelleri) büyük dosyaları karşıya değerini önceki değerine geri değiştirmeniz gerekir.Hakkında daha fazla bilgi içinmaxRequestLengthReporting Services'i yükleme için bkz:Rapor ve anlık görüntü boyutu sınırları. |
Reporting Services sağlayan genişletilebilir bir mimari destekleyen dağıtmak üçüncü taraf veri işleme, işleme ve teslim uzantısı.Ayrıca dağıtmak özel sorgu tasarımcıları.Uzantıları, tam güven çalıştırmanız gerekir. |
Bir saldırganın kötü amaçlı kod özel bir uzantı içerir. |
Yalnızca kullanıcı ya da güvenilir kuruluşlar uzantılarını kullanın. |
Azaltıcı tehditler tanımları raporlar ve rapor modelleri
Aşağıdaki tabloda, tehditler ve rapor tanımları ve model dosyaları Azaltıcı açıklar.
Özellik veya işlem |
Tehdit |
Azaltıcı Etkenler |
---|---|---|
Yayımlama raporları, modelleri ve rapor sunucusu paylaşılan veri kaynakları. Raporlar ve modeller bağlanın ve dış veri kaynaklarına sorgu. |
Raporları, modelleri ve paylaşılan veri kaynakları yayınlama işlemi sırasında alamıyor. Yoldaki harici bir bilgisayar için olan istekleri alamıyor. |
Güvenli, şifrelenmiş kanal, örneğin, SSL/TLS/IPSec bağlantısı için kullanın.Bir kanalı korumak için şifreleme teknolojileri kullanılmalıdır. Kanal güvenlik altına göndermeden önce kullanıcılara bildirin. |
kimlik bilgileri doğrulaması belirteçleri veya kimlik bilgileri bilgilerini uzak bilgisayara ve veri kaynaklarına bağlanmak için kullanılır. |
kimlik doğrulaması verileri, bir isteği işlerken alamıyor. |
Güvenli, şifreli kanal kullanın. Kanal değil güvenli ise kullanıcı bildirin. En az bir izin ilkesini izleyin.Verileri Özet Tablo raporunda kullanılan veri kaynağı salt okunur izinleri gerektirir. |
Rapor URL'ler, tarayıcı penceresinin Adres çubuğuna parametre değerlerini gösterir. |
Bir rapor, gizli verileri içerir, ile üzerinde parametre değerleri URL üzerinde eklemeyin.Örneğin, bir çalışan kimliği parametreli bir raporda, kullanıcı bir rasgele çalışan numarası, diğer kullanıcılar için tasarlanmış verileri görüntülemek için URL ekleyebilirsiniz. |
Son dağıtım, bir rapor yayımlamadan önce denetimi URL adresini denetlemek için mi parametre değerleri yerine rasgele değerleri. Raporlarınızı tasarlarken, parametrelerini ayarlama ile ilgili bir izin yok olduğunu unutmayın.Birkaç olası bir azaltıcı etken vardır:
|
Veri içeren raporlar ve modeller kaynak bilgi ve sorgular. |
Veri hakkında bilgi disclosing kaynak veya saldırgan yararlanılabilir iç bilgileri yapısı sağlar. |
Önce bir rapor modeli değiştirmek için bir kullanıcı izin vererek küme öğe kullanıcının Model Tasarımcısı'nda görmek istediğiniz modeli öğelere erişimi kısıtlamak için güvenlik modeli. Dosya izinlerini ayarlayın.Dosyaları .rdl, .rds, .smdl, .ds, .dsv ve .smgl dosyalarını içerir. Varsayılan olarak, kullanıcı klasöründe saklanan yerel kullanıcı grupları ve işletim sistemi Windows XP ise yerel bilgisayarda tanımlı hesapları için veya sonraki bir sürümü dosyalarıdır. |
Rapor, veri tanımlarını ve paylaşılan veri kaynak s içeren kaynak bağlantı dizeleri.Bir bağlantıda kimlik bilgileri eklemek mümkündür dize. |
Saldırgan, rapor dosyaları ele, veritabanı bağlantı dizeleri saklanan veritabanı kimlik bilgileri erişimi. |
Bağlantı dizesi ayrı ayrı kimlik bilgileri depolar.Şifrelemek ve bir kullanıcı hesabı ve parolayı depolamak için veri kaynağı özellik sayfalarında depolanan kimlik bilgileri bilgilerini seçeneğini kullanabilirsiniz. |
İsteğe bağlı raporlar ve modeller işlenir. Rapor başvuru veya özel derlemeler içerir. Raporları, özel rapor öğeleri veya diğer denetimleri içerebilir.Özel rapor öğe denetimleri tam güven gerektirir. |
Bir saldırgan, kullanıcı açıklarını rasgele kod kullanıcının izinleriyle çalıştırmak için Visual Basic kodu veya veritabanı sorguları katıştırılmış bir raporu çalıştırmak için convinces. Bir rapor ya da üzerinde oynama yapılmış modeli çalışan arabellek taşması neden, bir sunucu veya fotoğraflarının kilitlenme. |
Raporlar ve modeller yayımlamak için izni olan kullanıcıların sayısını sınırlayın. Yalnızca kimliği doğrulanmış kullanıcıların dosyaları karşıya yüklemek için izniniz olduğundan emin olun. Emin raporlar yazar kullanıcılar oluşturma komut dosyaları SQL ekleme, komut dosyası ekleme ve HTML ekleme saldırıları dayanacak anlamak Yalnızca yüklemek veya raporlar ve modeller güvendiğiniz kişilerden yayımlayın. Yalnızca yüklemek veya özel bir rapor kullanın öğe güvendiğiniz kişilerden denetimi. Özel bir derleme başvuru geçerli olduğunu doğrulamak için yüklemeden önce dosyalarını gözden geçirin. Kötü niyetli kullanıcılar tarafından yazılamıyorsa, derleme dosya izinlerini küme. |
Bir rapor ya da Rapor Tasarımcısı önizleme sekmesinde modelinde Önizleme, yazar kimlik bilgileri bilgilerini kullanarak alınan önbelleğe alınan verileri oluşturur. |
Diğer kullanıcılar bilgisayarda bir rapor yazar Raporu önizlemede görüntüleme izinli değil başka göreceğiniz rapor verilerini görüntülemek mümkün olabilir. |
Raporlar, rapor tasarımını tamamlanırken bir sınama sunucusuna veya konumuna dağıtın. |
Genel tehditler ve güvenlik açıkları azaltmak için adımlar
Bir rapor sunucusu dağıtım genel güvenliğini artırmak için aşağıdaki en iyi uygulama önerileri uygulayın:
Yüzey saldırı alanını azaltmak için kullanılmayan özellikleri devre dışı bırakın.Daha fazla bilgi için bkz:Nasıl Yapılır: Hizmetleri özellikleri, açık veya kapalı raporlaması'nı açma.
SSL için rapor sunucusu bağlantıları kullanın.Daha fazla bilgi için bkz:Bir rapor sunucusu, Güvenli Yuva Katmanı (SSL) bağlantıları için yapılandırma.
Hassas veya gizli raporları, sınırlı bir erişilebilir klasörler klasör hiyerarşisinde en dalları klasörlere yerleştirerek güçlü izin ilkeleri destekleyen bir klasör sıradüzeni oluşturma küme kullanıcı.Raporları, modelleri, paylaşılan veri kaynakları ve bir rapor sunucusunda yayımlama kaynakları, klasörler ve rapor sunucusu sitesindeki belirli öğeleri oluşturduğunuz Rol atamaları ile güvenli.Klasör sıradüzeni tam olarak kullanıcı tanımlı olduğu için size bu grupların birlikte klasör hiyerarşisi oluşturmak için benzer kullanıcı erişim izinleri olan tüm öğeleri değil.Daha fazla bilgi için bkz:Klasörlerin güvenliğini sağlama.
İsteğe bağlı raporlar tam güvende çalışacak derlenmiş derlemelere olduğunu anlamak bir rapor sunucusu raporu açan kullanıcının kimlik bilgileri altında.Rapor kullanıcıların yönetici kimlik bilgileri kullanılarak yerel veya etki alanı ve daha sonra kötü amaçlı komut dosyası içeren bir rapor açın, yönetici izinlerine sahip farkında olmadan, komut dosyası çalışır.Raporları görüntülerken en az ayrıcalık hesaplarını kullanmalarını sağlayın.Daha fazla bilgi için bkz:Tümleşik güvenlik ve ayrıcalık yükselmesine izin.
Verileri alınır ve diğer Özet Tablo raporunda kullanılan nasıl anlaşılır.gizli veri raporundaki modelleri veri olarak kullanmayı kaynak güvenlik filtreleri uygulamak ve öğe güvenlik modeli.Daha fazla bilgi için bkz:Öğretici: Rapor modeli maddelere güvenlik filtrelerini uygulama.
Raporu nasıl dağıtıldığı anlayın.Rapor işleme ve oluşturulan bir raporu göndermeden otomatikleştirmek için güçlü teknikler abonelik ve teslim özellikleri olan, ancak yetkisiz erişimi önlemek için ağ klasörleri paylaşım izni ve e-posta dağıtımı kısıtlamak gerekip gerekmediğini belirlemek için rapor sunucusu e-posta yapılandırma ayarlarını değerlendirmek monitör isteyeceksiniz.Daha fazla bilgi için bkz:Rapor dağıtım denetleme.
See Also