• Статья

Расширенная защита для проверки подлинности служб Reporting Services

Расширенная защита — это набор усовершенствований, внесенных в последние версии операционной системы MicrosoftWindows. С помощью расширенной защиты приложения могут лучше защищать учетные данные и проверку подлинности. Сама эта функция не обеспечивает защиту от определенных атак, например, таких как переадресация учетных данных, однако она предоставляет таким приложениям, как службы Службы Reporting Services, инфраструктуру для ввода в действие расширенной защиты проверки подлинности.

Основными улучшениями процесса проверки подлинности, которые входят в расширенную защиту, являются привязка службы и привязка канала. Для привязки канала используется токен привязки канала (CBT), позволяющий удостовериться в целостности канала, установленного между двумя конечными точками. При привязке службы для проверки пункта назначения токенов проверки подлинности используются имена участников-служб (SPN). Дополнительные сведения о расширенной защите см. в разделе Интегрированная проверка подлинности Windows с расширенной защитой.

SQL Server 2008 R2 Службы Reporting Servicesподдерживает и вводит в действие расширенную защиту, которая была включена в операционной системе и настроена в службах Службы Reporting Services. По умолчанию Службы Reporting Services принимает запросы, в которых указана проверка подлинности Negotiate или NTLM, что позволяет ему пользоваться поддержкой расширенной защиты в операционной системе и функциями расширенной защиты в службах Службы Reporting Services.

Важное примечаниеВажно!

По умолчанию расширенная защита в Windows отключена. Дополнительные сведения о включении расширенной защиты в Windows см. в разделе Расширенная защита для проверки подлинности. Для успешного прохождения проверки подлинности и операционная система, и стек проверки подлинности клиента должны поддерживать расширенную защиту. При использовании старых операционных систем для реализации на компьютере расширенной защиты может потребоваться установка нескольких обновлений. Сведения о последних изменениях, внесенных в расширенную защиту, см. в статье Новые сведения о расширенной защите.

Общие сведения о расширенной защите служб Reporting Services

Службы SQL Server 2008 R2 Службы Reporting Services поддерживает и вводит в действие расширенную защиту, включенную в операционной системе. Если операционная система не поддерживает расширенную защиту или если эта функция в операционной системе отключена, то функция расширенной защиты служб Службы Reporting Services не сможет провести проверку подлинности. Для расширенной защиты служб Службы Reporting Services также требуется сертификат SSL. Дополнительные сведения см. в разделе Настройка сервера отчетов для соединений по протоколу SSL

Важное примечаниеВажно!

По умолчанию в службах Службы Reporting Services расширенная защита отключена. Эту функцию можно включить, изменив файл конфигурации rsreportserver.config или обновив этот файл с помощью средств WMI API. SQL Server 2008 R2 Службы Reporting Services не предоставляет пользовательского интерфейса для изменения или просмотра настроек расширенной защиты. Дополнительные сведения см. в разделе с описанием параметров конфигурации в этой главе.

Обычные проблемы, возникающие из-за изменений параметров расширенной защиты или неверно заданных настроек, не сопровождаются понятными сообщениями об ошибках или диалоговыми окнами. Проблемы, связанные с конфигурацией расширенной защиты и совместимостью, ведут к возникновению сбоев при проверке подлинности и ошибок в журналах трассировки служб Службы Reporting Services. Дополнительные сведения об устранении неполадок и проверке расширенной защиты служб Службы Reporting Services см. в разделе Устранение неполадок расширенной защиты (службы Reporting Services)

Важное примечаниеВажно!

На момент выхода SQL Server 2008 R2 в клиент Microsoft SQL не была добавлена поддержка расширенной защиты. Клиент SQL используется для подключения к источникам данных SQL Server и базе данных каталога служб Службы Reporting Services. Это ограничение в клиенте SQL влияет на службах Службы Reporting Services следующим образом:

На SQL Server, на котором расположен каталог базы данных служб Службы Reporting Services, нельзя включать расширенную защиту, в противном случае сервер отчетов не сможет подключиться к каталогу базы данных и будет возвращать ошибки проверки подлинности.

Ни на одном из серверов SQL Server, которые используются в качестве источников данных для отчетов служб Службы Reporting Services, нельзя включать расширенную защиту, поскольку в случае ее включения попытки сервера отчетов подключиться к источнику данных для отчета завершатся неудачей и будут возвращены ошибки проверки подлинности. Возможным решением является переключение источников данных служб Службы Reporting Services на использование собственных поставщиков, а не клиента SQL. Например, настройте источники данных для драйвера ODBC, после чего следует использовать собственный клиент SQL, который поддерживает расширенную защиту.

Обновление

  • При обновлении сервера служб Службы Reporting Services до версии SQL Server 2008 R2 в файл rsreportserver.config добавляются параметры конфигурации со значениями по умолчанию. Если настройки уже имелись, то при установке SQL Server 2008 R2 они будут сохранены в файле rsreportserver.config.

  • При добавлении параметров конфигурации в файл конфигурации rsreportserver.config по умолчанию функция расширенной защиты служб Службы Reporting Services отключена. Ее необходимо включить, следуя описанной в этой главе процедуре. Дополнительные сведения см. в разделе с описанием параметров конфигурации в этой главе.

  • Значение по умолчанию для параметра RSWindowsExtendedProtectionLevel равно Off.

  • Значение по умолчанию для параметра RSWindowsExtendedProtectionScenario равно Proxy.

  • Помощник по обновлению SQL Server 2008 R2 не проверяет, включена ли расширенная защита в операционной системе или текущей установке служб Службы Reporting Services.

Какие службы Reporting Services не охватываются расширенной защитой

Следующие области и варианты не поддерживаются функцией расширенной защиты Службы Reporting Services:

  • Авторы  настраиваемых модулей безопасности служб Службы Reporting Services должны добавлять поддержку расширенной защиты в свои модули.

  • Сторонние компоненты, добавленные в установку Службы Reporting Servicesили используемые ей, должны быть обновлены их поставщиками для обеспечения поддержки расширенной защиты. Обратитесь к сторонним поставщикам за дополнительными сведениями.

Рекомендации и варианты развертывания

Описанные далее варианты иллюстрируют разные развертывания и топологии, а также рекомендуемые конфигурации для их защиты с помощью расширенной защиты служб Службы Reporting Services.

Прямой доступ

В этом сценарии описывается прямое соединение с сервером отчетов, например, в среде интрасети.

Сценарий

Диаграмма сценария

Инструкции по защите

Прямая связь по SSL.

Сервер отчетов принудит клиента использовать привязку канала сервера отчетов.

 Прямой доступ по SSL с расширенной защитой

1) Клиентское приложение

2) Сервер отчетов

  • Привязка службы не требуется, поскольку для привязки канала будет использоваться канал SSL.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Direct.

Прямая связь по HTTP. Сервер отчетов принудит клиента использовать привязку службы сервера отчетов.

 Расширенная защита и прямой доступ

1) Клиентское приложение

2) Сервер отчетов

  • Канал SSL отсутствует, поэтому введение в действие привязки канала невозможно.

  • Привязку службы можно проверить, однако такая защита привязки канала является неполной; одна привязка службы защищает только от простых угроз.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Any.

Прокси и распределение сетевой нагрузки

Клиентские приложения подключаются к устройству или программному обеспечению, которое использует SSL и передает учетные данные серверу для проверки подлинности, например, в экстрасети, Интернете или защищенной интрасети. Клиент подключается к прокси или все клиенты используют прокси.

Такая же ситуация складывается при использовании устройства распределения сетевой нагрузки (NLB).

Сценарий

Диаграмма сценария

Инструкции по защите

Связь по HTTP. Сервер отчетов принудит клиента использовать привязку службы сервера отчетов.

 Непрямой доступ к серверу отчетов с расширенной защитой

1) Клиентское приложение

2) Сервер отчетов

3) Прокси

  • Канал SSL отсутствует, поэтому введение в действие привязки канала невозможно.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Any.

  • В настройках сервера отчетов должно быть указано имя прокси-сервера, чтобы сервер отчетов мог правильно вводить в действие привязку службы.

Связь по HTTP.

Сервер отчетов принудит клиента использовать привязку канала прокси и привязку службы сервера отчетов.

 Непрямой доступ по SSL к серверу отчетов с расширенной защитой

1) Клиентское приложение

2) Сервер отчетов

3) Прокси

  • Имеется канал SSL к прокси, поэтому можно ввести в действие привязку канала к прокси.

  • Привязку службы также можно ввести в действие.

  • Сервер отчетов должен знать имя прокси, а администратор сервера отчетов должен либо создать для него резервирование URL-адреса с заголовком узла, либо указать имя прокси в записи реестра Windows BackConnectionHostNames.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Proxy.

Непрямая связь по HTTPS с защищенным прокси. Сервер отчетов принудит клиента использовать привязку канала прокси и привязку службы сервера отчетов.

 Расширенная защита и непрямой доступ по SSL и HTTPS

1) Клиентское приложение

2) Сервер отчетов

3) Прокси

  • Имеется канал SSL к прокси, поэтому можно ввести в действие привязку канала к прокси.

  • Привязку службы также можно ввести в действие.

  • Сервер отчетов должен знать имя прокси, а администратор сервера отчетов должен либо создать для него резервирование URL-адреса с заголовком узла, либо указать имя прокси в записи реестра Windows BackConnectionHostNames.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Proxy.

Шлюз

В этом сценарии клиентское приложение соединяется с устройством или программным обеспечением, использующим SSL и выполняющим проверку подлинности пользователя. Затем устройство или программное обеспечение олицетворяет контекст данного пользователя или контекст другого пользователя перед отправкой запроса серверу отчетов.

Сценарий

Диаграмма сценария

Инструкции по защите

Непрямая связь по HTTP.

Шлюз принудит клиента использовать привязку канала шлюза. На пути к привязке службы сервера отчетов имеется шлюз.

 Непрямой доступ по SSL к серверу отчетов с расширенной защитой

1) Клиентское приложение

2) Сервер отчетов

3) Шлюзовое устройство

  • Привязка канала от клиента к серверу отчетов невозможна, поскольку шлюз олицетворяет контекст, т. е. создает новый токен NTLM.

  • На промежутке от шлюза до сервера отчетов нет SSL, поэтому ввести в действие привязку канала невозможно.

  • Привязку службы ввести в действие можно.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Any.

  • Администратор должен настроить шлюзовое устройство на введение в действие привязки канала.

Непрямая связь по HTTPS с защищенным шлюзом. Шлюз принудит клиента использовать привязку канала шлюза, а сервер отчетов принудит шлюз использовать привязку канала сервера отчетов.

 Расширенная защита и непрямой доступ по SSL и HTTPS

1) Клиентское приложение

2) Сервер отчетов

3) Шлюзовое устройство

  • Привязка канала от клиента к серверу отчетов невозможна, поскольку шлюз олицетворяет контекст, т. е. создает новый токен NTLM.

  • Наличие SSL на промежутке от шлюза до сервера отчетов означает, что можно ввести в действие привязку канала.

  • Привязка службы не требуется.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Direct.

  • Администратор должен настроить шлюзовое устройство на введение в действие привязки канала.

Сочетание

В этом сценарии описывается экстрасеть или Интернет в ситуации, когда клиент устанавливает соединение с прокси. Происходит это в сочетании со средой интрасети, в которой клиент устанавливает соединение с сервером отчетов.

Сценарий

Диаграмма сценария

Инструкции по защите

Непрямой и прямой доступ от клиента к службе сервера отчетов без SSL по каналу между клиентом и прокси или клиентом и сервером отчетов.

 Смешанная среда расширенной защиты

1) Клиентское приложение

2) Сервер отчетов

3) Прокси

4) Клиентское приложение

  • Привязку службы от клиента к серверу отчетов можно ввести в действие.

  • Сервер отчетов должен знать имя прокси, а администратор сервера отчетов должен либо создать для него резервирование URL-адреса с заголовком узла, либо указать имя прокси в записи реестра Windows BackConnectionHostNames.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Any.

Непрямой и прямой доступ от клиента к серверу отчетов, когда клиент устанавливает соединение SSL с прокси или сервером отчетов.

 Расширенная защита в сочетании с SSL

1) Клиентское приложение

2) Сервер отчетов

3) Прокси

4) Клиентское приложение

  • Можно использовать привязку канала.

  • Сервер отчетов должен знать имя прокси, а администратор сервера отчетов должен либо создать для прокси резервирование URL-адреса с заголовком узла, либо указать имя прокси в записи реестра Windows BackConnectionHostNames.

Присвойте параметру RSWindowsExtendedProtectionLevel значение Allow или Require.

Присвойте параметру RSWindowsExtendedProtectionScenario значение Proxy.

Настройка расширенной защиты служб Reporting Services

Файл rsreportserver.config содержит значения конфигурации, управляющие поведением расширенной защиты служб Службы Reporting Services.

Дополнительные сведения об использовании и изменении файла rsreportserver.config см. в разделе Файл конфигурации RSReportServer. Параметры расширенной защиты также можно изменить и просмотреть с помощью средств WMI API. Дополнительные сведения см. в разделе Метод SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting).

Если параметры конфигурации не проходят проверку, на сервере отчетов отключаются типы проверки подлинности RSWindowsNTLM, RSWindowsKerberos и RSWindowsNegotiate.

Параметры конфигурации для расширенной защиты служб Reporting Services

В следующей таблице приведены сведения о параметрах конфигурации, приведенных в файле rsreportserver.config для расширенной защиты.

Параметр

Описание

RSWindowsExtendedProtectionLevel

Указывает степень использования расширенной защиты. Допустимые значения: Off, Allow и Require.

По умолчанию присваивается значение Off.

Значение Off указывает отсутствие проверки привязки канала или привязки службы.

Значение Allow означает поддержку расширенной защиты, при этом она не является обязательной. Значение Allow указывает следующее:

  • Расширенная защита будет действовать для клиентских приложений, работающих в операционных системах, которые поддерживают расширенную защиту. То, как защита вводится в действие, определяется параметром RsWindowsExtendedProtectionScenario.

  • Проверка подлинности будет разрешена для приложений, работающих в операционных системах, которые не поддерживают расширенную защиту.

Значение Require указывает, что:

  • Расширенная защита будет действовать для клиентских приложений, работающих в операционных системах, которые поддерживают расширенную защиту.

  • Проверка подлинности не будет разрешена для приложений, работающих в операционных системах, которые не поддерживают расширенную защиту.

RsWindowsExtendedProtectionScenario

Указывает, какие формы расширенной защиты проверяются: привязка канала, привязка службы или то и другое. Допустимые значения: Any, Proxy и Direct.

По умолчанию присваивается значение Proxy.

Значение Any указывает, что:

  • Проверка подлинности Windows NTLM, Kerberos и Negotiate и привязка канала не требуется.

  • Привязка службы действует.

Значение Proxy указывает, что:

  • Проверка подлинности Windows NTLM, Kerberos и Negotiate при наличии токена привязки канала.

  • Привязка службы действует.

Значение Direct указывает, что:

  • Проверка подлинности Windows NTLM, Kerberos и Negotiate при наличии CBT, соединения SSL с текущей службой и совпадении CBT для соединения SSL с CBT токена NTLM, Kerberos или Negotiate.

  • Привязка службы не действует.

ПримечаниеПримечание
Этот параметр не учитывается, если параметру RsWindowsExtendedProtectionLevel присвоено значение OFF.

Образцы записей из файла конфигурации rsreportserver.config:

<Authentication>
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>

Привязка службы и включенные SPN

Привязка службы использует имена участников-служб или SPN для проверки пункта назначения токенов проверки подлинности. Службы Reporting Services использует существующее резервирование URL-адреса для построения списка SPN, которые считаются допустимыми. Благодаря использованию сведений резервирования URL-адреса для проверки и SPN и резервирования URL-адреса системные администраторы могут управлять обеими проверками из одного места.

Список действующих SPN обновляется при запуске сервера отчетов, при изменении параметров конфигурации расширенной защиты или при очистке домена приложений.

У каждого из приложений — свой список допустимых SPN. Например, диспетчер отчетов и сервер отчетов будут вычислять разные списки допустимых SPN.

Список допустимых SPN, вычисляемый для приложения, определяется следующими факторами:

  • Каждое резервирование URL-адресов.

  • Каждый SPN, полученный от контроллера домена для учетной записи служб Reporting Services.

  • Если в резервировании URL-адреса есть символы-шаблоны («*» или «+»), то сервер отчетов добавит каждую запись из коллекции узлов.

Источники коллекции узлов.

В следующей таблице перечислены потенциальные источники для коллекции узлов.

Тип источника

Описание

ComputerNameDnsDomain

Имя домена DNS, назначенное локальному компьютеру. Если локальный компьютер является узлом или кластером, используется доменное имя DNS виртуального сервера кластера.

ComputerNameDnsFullyQualified

Полное имя DNS, служащее уникальным идентификатором локального компьютера. Это имя является сочетанием имени узла DNS и доменного имени DNS и имеет форму ИмяУзла.ИмяДомена. Если локальный компьютер является узлом или кластером, используется полное имя DNS виртуального сервера кластера.

ComputerNameDnsHostname

Имя узла DNS локального компьютера. Если локальный компьютер является узлом или кластером, используется имя узла DNS виртуального сервера кластера.

ComputerNameNetBIOS

Имя NetBIOS локального компьютера. Если локальный компьютер является узлом или кластером, используется имя NetBIOS виртуального сервера кластера.

ComputerNamePhysicalDnsDomain

Имя домена DNS, назначенное локальному компьютеру. Если локальный компьютер является узлом или кластером, используется доменное имя DNS локального компьютера, а не виртуального сервера кластера.

ComputerNamePhysicalDnsFullyQualified

Полное имя DNS, служащее уникальным идентификатором компьютера. Если локальный компьютер является узлом или кластером, используется полное имя DNS локального компьютера, а не виртуального сервера кластера.

Полное имя DNS является сочетанием имени узла DNS и доменного имени DNS и имеет форму ИмяУзла.ИмяДомена.

ComputerNamePhysicalDnsHostname

Имя узла DNS локального компьютера. Если локальный компьютер является узлом или кластером, используется имя узла DNS локального компьютера, а не виртуального сервера кластера.

ComputerNamePhysicalNetBIOS

Имя NetBIOS локального компьютера. Если локальный компьютер является узлом или кластером, используется имя NetBIOS локального компьютера, а не виртуального сервера кластера.

По мере добавления SPN в журнал трассировки заносится запись, аналогичная следующей:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

Дополнительные сведения см. в разделах Как зарегистрировать имя участника-службы для сервера отчетов и Сведения о резервировании и регистрации URL-адресов (службы Reporting Services).

См. также

Справочник

Метод SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)

Основные понятия

Соединение с компонентом Database Engine с использованием расширенной защиты

Журнал трассировки службы сервера отчетов

Файл конфигурации RSReportServer

Другие ресурсы

Общие сведения о расширенной защите при проверке подлинности

Интегрированная проверка подлинности Windows с расширенной защитой

Советы по безопасности от Microsoft: расширенная защита для проверки подлинности