Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beim Erweiterten Schutz handelt es sich um eine Reihe von Erweiterungen der aktuellen Versionen des Microsoft Windows-Betriebssystems. Erweiterter Schutz verbessert, wie Anmeldeinformationen und Authentifizierung durch Anwendungen geschützt werden können. Das Feature selbst bietet keinen direkten Schutz vor bestimmten Angriffen wie der Weiterleitung von Anmeldeinformationen, sondern stellt eine Infrastruktur für Anwendungen wie Reporting Services bereit, um erweiterten Schutz für die Authentifizierung zu erzwingen.
Die Hauptauthentifizierungserweiterungen, die Teil des erweiterten Schutzes sind, sind Dienstbindung und Kanalbindung. Die Kanalbindung verwendet ein Kanalbindungstoken (CBT), um zu überprüfen, ob der zwischen zwei Endpunkten erstellte Kanal nicht kompromittiert wurde. Dienstbindung überprüft das beabsichtigte Ziel von Authentifizierungstokens mithilfe von Dienstprinzipalnamen (Service Principal Names oder SPN). Weitere Hintergrundinformationen zum erweiterten Schutz finden Sie unter Integrierte Windows-Authentifizierung mit erweitertem Schutz.
SQL Server 2019 (15.x) Reporting Services unterstützt und erzwingt erweiterten Schutz, der im Betriebssystem aktiviert und in Reporting Services konfiguriert wurde. Standardmäßig akzeptieren Reporting Services Anforderungen, die die Aushandlungsauthentifizierung oder NTLM-Authentifizierung angeben und daher im Betriebssystem von der Unterstützung des Erweiterten Schutzes und der erweiterten Schutzfunktionen der Reporting Services profitieren könnten.
Von Bedeutung
Windows aktiviert den erweiterten Schutz nicht standardmäßig. Informationen zum Aktivieren des erweiterten Schutzes in Windows finden Sie unter Erweiterter Schutz für die Authentifizierung. Sowohl das Betriebssystem als auch der Clientauthentifizierungsstapel müssen den erweiterten Schutz unterstützen, damit die Authentifizierung erfolgreich ist. Bei älteren Betriebssystemen müssen Sie möglicherweise mehr als ein Update für einen Computer mit vollständigem erweiterten Schutz installieren. Informationen zu den jüngsten Entwicklungen mit Extended Protection finden Sie unter aktualisierten Informationen mit Extended Protection.
Reporting Services – Übersicht über den erweiterten Schutz
SQL Server 2019 (15.x) Reporting Services unterstützt und erzwingt erweiterten Schutz, der im Betriebssystem aktiviert wurde. Wenn das Betriebssystem keinen erweiterten Schutz unterstützt oder das Feature im Betriebssystem nicht aktiviert wurde, schlägt die erweiterte Reporting Services-Schutzfunktion die Authentifizierung fehl. Der erweiterte Reporting Services-Schutz erfordert auch ein SSL-Zertifikat. Weitere Informationen finden Sie unter Konfigurieren von SSL-Verbindungen auf einem Berichtsserver für den nativen Modus
Von Bedeutung
Reporting Services aktivieren den Erweiterten Schutz nicht standardmäßig. Das Feature kann durch Ändern der rsreportserver.config Konfigurationsdatei oder mithilfe von WMI-APIs zum Aktualisieren der Konfigurationsdatei aktiviert werden. SQL Server 2019 (15.x)Reporting Services stellt keine Benutzeroberfläche zum Ändern oder Anzeigen erweiterter Schutzeinstellungen bereit. Weitere Informationen finden Sie im Abschnitt Konfigurationseinstellungen in diesem Thema.
Häufige Probleme, die aufgrund von Änderungen an erweiterten Schutzeinstellungen oder falsch konfigurierten Einstellungen auftreten, werden nicht mit offensichtlichen Fehlermeldungen oder Dialogfeldfenstern verfügbar gemacht. Probleme mit Bezug auf die Konfiguration und Kompatibilität des Erweiterten Schutzes führen zu Authentifizierungsfehlern und Fehlern in den Ablaufverfolgungsprotokollen der Reporting Services.
Von Bedeutung
Einige Technologien für den Datenzugriff unterstützen möglicherweise nicht den erweiterten Schutz. Für die Verbindung mit SQL Server-Datenquellen und der Reporting Services -Katalogdatenbank wird eine Datenzugriffstechnologie verwendet. Falls die Datenzugriffstechnologie den erweiterten Schutz nicht unterstützt, hat dies die folgenden Auswirkungen die Reporting Services:
- Auf dem SQL Server, auf dem die Reporting Services-Katalogdatenbank ausgeführt wird, kann der erweiterte Schutz nicht aktiviert sein, da der Berichtsserver ansonsten keine Verbindung mit der Katalogdatenbank herstellt und Authentifizierungsfehler zurückgibt.
- SQL-Server, die als Berichtsdatenquellen für Reporting Services verwendet werden, dürfen keinen erweiterten Schutz aktiviert haben, sonst wird der Versuch des Berichtsservers, eine Verbindung zur Berichtsdatenquelle herzustellen, fehlschlagen und Authentifizierungsfehler zurückgeben.
Die Dokumentation einer Datenzugriffstechnologie sollte Informationen zu Unterstützung des erweiterten Schutzes enthalten.
Aktualisierung
Beim Upgrade eines Reporting Services-Servers auf SQL Server 2019 (15.x) werden der Datei Konfigurationseinstellungen mit Standardwerten hinzugefügt
rsreportserver.config. Wenn die Einstellungen bereits vorhanden waren, behält die SQL Server 2019 (15.x)-Installation sie in derrsreportserver.configDatei bei.Wenn die Konfigurationseinstellungen zur
rsreportserver.configKonfigurationsdatei hinzugefügt werden, ist das Standardverhalten, dass das erweiterte Schutzmerkmal für Reporting Services ausgeschaltet ist, und Sie müssen das Merkmal aktivieren, wie in diesem Thema beschrieben. Weitere Informationen finden Sie im Abschnitt Konfigurationseinstellungen in diesem Thema.Der Standardwert für die
RSWindowsExtendedProtectionLevel-Einstellung istOff.Der Standardwert für die
RSWindowsExtendedProtectionScenario-Einstellung istProxy.SQL Server 2019 (15.x) Upgrade Advisor überprüft nicht, ob das Betriebssystem oder die aktuelle Installation von Reporting Services die erweiterte Schutzunterstützung aktiviert hat.
Was der erweiterte Schutz der Reporting Services nicht abdeckt
Die folgenden Featurebereiche und Szenarien werden von der erweiterten Reporting Services-Schutzfunktion nicht unterstützt:
Ersteller*innen von benutzerdefinierten Sicherheitserweiterungen für die Reporting Services müssen ihrer benutzerdefinierten Sicherheitserweiterung Unterstützung für den erweiterten Schutz hinzufügen.
Drittanbieterkomponenten, die einer Reporting Services-Installation hinzugefügt oder verwendet werden, müssen vom Drittanbieter aktualisiert werden, um erweiterten Schutz zu unterstützen. Weitere Informationen erhalten Sie vom Drittanbieter.
Bereitstellungsszenarien und Empfehlungen
Die folgenden Szenarios veranschaulichen verschiedene Bereitstellungen und Topologien sowie die empfohlene Konfiguration, um sie mit dem Erweiterten Schutz der Reporting Services zu sichern.
Direkt
Dieses Szenario beschreibt das direkte Herstellen einer Verbindung mit einem Berichtsserver, z. B. eine Intranetumgebung.
| Szenario | Szenario (Diagramm) | So sichern Sie |
|---|---|---|
| Direkte SSL-Kommunikation. Der Berichtsserver erzwingt die Client-Server-Kanalbindung. |
1) Clientanwendung 2) Berichtsserver |
Die Dienstbindung ist nicht erforderlich, da der SSL-Kanal für die Kanalbindung verwendet wird. Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Direct. |
| direkte HTTP-Kommunikation. Der Berichtsserver zwingt den Client, die Dienstbindung des Berichtsservers zu verwenden. |
1) Clientanwendung 2) Berichtsserver |
Es ist kein SSL-Kanal vorhanden, daher ist keine Durchsetzung der Kanalbindung möglich. Die Dienstbindung kann zwar überprüft werden, jedoch handelt es sich nicht um eine vollständige Verteidigung ohne Kanalbindung, und allein schützt die Dienstbindung nur vor grundlegenden Bedrohungen. Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Any. |
Proxy- und Netzwerklastenausgleich
Clientanwendungen stellen eine Verbindung mit einem Gerät oder einer Software her, das SSL ausführt und die Anmeldeinformationen zur Authentifizierung an den Server übergibt, z. B. ein Extranet, ein Internet oder ein sicheres Intranet. Der Client stellt eine Verbindung mit einem Proxy her, oder alle Clients verwenden einen Proxy.
Die Situation ist identisch, wenn Sie ein Netzwerklastenausgleichsgerät (Network Load Balancing, NLB) verwenden.
| Szenario | Szenario (Diagramm) | So sichern Sie |
|---|---|---|
| HTTP-Kommunikation. Der Berichtsserver erzwingt die Dienstbindung zwischen Client und Server. |
1) Clientanwendung 2) Berichtsserver 3) Proxy |
Es ist kein SSL-Kanal vorhanden, daher ist keine Durchsetzung der Kanalbindung möglich. Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Any.Beachten Sie, dass der Berichtsserver so konfiguriert werden muss, dass der Name des Proxyservers bekannt ist, um sicherzustellen, dass die Dienstbindung ordnungsgemäß erzwungen wird. |
| HTTP-Kommunikation. Der Berichtsserver erzwingt die Client-zu-Proxy-Kanalbindung und die Client-zu-Berichtsserver-Dienstbindung. |
1) Clientanwendung 2) Berichtsserver 3) Proxy |
SSL-Kanal zu Proxy ist verfügbar, daher kann die Kanalbindung an den Proxy erzwungen werden. Die Dienstbindung kann auch erzwungen werden. Der Proxyname muss dem Berichtsserver bekannt sein, und der Berichtsserveradministrator sollte entweder eine URL-Reservierung dafür erstellen, mit einem Hostheader oder den Proxynamen im Windows-Registrierungseintrag BackConnectionHostNameskonfigurieren.RSWindowsExtendedProtectionLevel oder Allow in RequireSetzen Sie RSWindowsExtendedProtectionScenario auf Proxy. |
| Indirekte HTTPS-Kommunikation mit einem sicheren Proxy. Der Berichtsserver wird die Bindung des Clients an den Proxykanal sowie die Dienstbindung des Clients an den Berichtsserver erzwingen. |
1) Clientanwendung 2) Berichtsserver 3) Proxy |
SSL-Kanal zu Proxy ist verfügbar, daher kann die Kanalbindung an den Proxy erzwungen werden. Die Dienstbindung kann auch erzwungen werden. Der Proxyname muss dem Berichtsserver bekannt sein, und der Berichtsserveradministrator sollte entweder eine URL-Reservierung dafür erstellen, mit einem Hostheader oder den Proxynamen im Windows-Registrierungseintrag BackConnectionHostNameskonfigurieren.RSWindowsExtendedProtectionLevel oder Allow in RequireSetzen Sie RSWindowsExtendedProtectionScenario auf Proxy. |
Tor
In diesem Szenario werden Clientanwendungen beschrieben, die eine Verbindung mit einem Gerät oder einer Software herstellen, das SSL ausführt und den Benutzer authentifiziert. Dann führt das Gerät oder die Software einen Identitätswechsel für den Benutzerkontext oder einen anderen Benutzerkontext durch, bevor es eine Anforderung an den Berichtsserver stellt.
| Szenario | Szenario (Diagramm) | So sichern Sie |
|---|---|---|
| indirekte HTTP-Kommunikation. Das Gateway wird die Bindung zwischen dem Client und dem Gateway-Kanal erzwingen. Es gibt ein Gateway zum Melden der Serverdienstbindung. |
1) Clientanwendung 2) Berichtsserver 3) Gatewaygerät |
Die Kanalbindung vom Client zum Berichtsserver ist nicht möglich, da das Gateway einen Kontext imitiert und daher ein neues NTLM-Token erstellt. Es gibt kein SSL vom Gateway zum Berichtsserver, daher kann die Kanalbindung nicht durchgesetzt werden. Dienstbindung kann erzwungen werden. Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Any.Das Gatewaygerät sollte vom Administrator konfiguriert werden, um die Kanalbindung zu erzwingen. |
| Indirekte HTTPS-Kommunikation mit einem sicheren Gateway. Das Gateway erzwingt die Client-zu-Gateway-Kanalbindung, und der Berichtsserver erzwingt die Gateway-zu-Berichtsserver-Kanalbindung. |
1) Clientanwendung 2) Berichtsserver 3) Gatewaygerät |
Die Kanalbindung vom Client zum Berichtsserver ist nicht möglich, da das Gateway einen neuen Kontext simuliert und dadurch ein neues NTLM-Token erstellt. SSL vom Gateway zum Berichtsserver bedeutet, dass kanalbindung erzwungen werden kann. Die Dienstbindung ist nicht erforderlich. Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Direct.Das Gatewaygerät sollte vom Administrator konfiguriert werden, um die Kanalbindung zu erzwingen. |
Kombination
In diesem Szenario werden Extranet- oder Internetumgebungen beschrieben, in denen der Client eine Proxy-Verbindung herstellt. Dies ist in Kombination mit einer Intranetumgebung, in der ein Client eine Verbindung mit dem Berichtsserver herstellt.
| Szenario | Szenario (Diagramm) | So sichern Sie |
|---|---|---|
| Indirekter und direkter Zugriff vom Client auf den Berichtsserverdienst ohne SSL bei den Verbindungen von Client zu Proxy oder Client zu Berichtsserver. | 1) Clientanwendung 2) Berichtsserver 3) Proxy 4) Clientanwendung |
Die Dienstbindung von Client zu Berichtsserver kann erzwungen werden. Der Proxyname muss dem Berichtsserver bekannt sein, und der Berichtsserveradministrator sollte entweder eine URL-Reservierung dafür erstellen, mit einem Hostheader oder den Proxynamen im Windows-Registrierungseintrag BackConnectionHostNameskonfigurieren.Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Any. |
| Indirekter und direkter Zugriff vom Client auf den Berichtsserver, auf dem der Client eine SSL-Verbindung mit dem Proxy- oder Berichtsserver herstellt. |
1) Clientanwendung 2) Berichtsserver 3) Proxy 4) Clientanwendung |
Kanalbindung kann verwendet werden Der Proxyname muss dem Berichtsserver bekannt sein, und der Berichtsserveradministrator sollte entweder eine URL-Reservierung für den Proxy erstellen, mit einem Hostheader oder den Proxynamen im Windows-Registrierungseintrag BackConnectionHostNameskonfigurieren.Legen Sie RSWindowsExtendedProtectionLevel auf Allow oder Require fest.Setzen Sie RSWindowsExtendedProtectionScenario auf Proxy. |
Konfigurieren des erweiterten Schutzes für Reporting Rervices
Die rsreportserver.config Datei enthält die Konfigurationswerte, die das Verhalten des erweiterten Schutzes von Reporting Services steuern.
Weitere Informationen zum Verwenden und Bearbeiten der Datei finden Sie in der rsreportserver.configRSReportServer-Konfigurationsdatei. Die erweiterten Schutzeinstellungen können auch mithilfe von WMI-APIs geändert und überprüft werden. Weitere Informationen finden Sie unter SetExtendedProtectionSettings-Methode (WMI-MSReportServer_ConfigurationSetting).
Wenn die Überprüfung der Konfigurationseinstellungen fehlschlägt, werden die Authentifizierungstypen RSWindowsNTLMRSWindowsKerberos und RSWindowsNegotiate auf dem Berichtsserver deaktiviert.
Konfigurationseinstellungen für den erweiterten Schutz von Reporting Services
In der folgenden Tabelle sind Informationen zu den Konfigurationseinstellungen in der Datei rsreportserver.config für erweiterten Schutz bereitgestellt.
| Konfiguration | BESCHREIBUNG |
|---|---|
RSWindowsExtendedProtectionLevel |
Gibt den Grad der Erzwingung des erweiterten Schutzes an. Gültige Werte sind Off, Allowund Require.Der Standardwert ist Off.Der Wert Off gibt keine Überprüfung der Kanalbindung oder Dienstbindung an.Der Wert Allow unterstützt erweiterten Schutz, erfordert ihn jedoch nicht. Der Wert Allow gibt Folgendes an:Erweiterter Schutz wird für Clientanwendungen erzwungen, die auf Betriebssystemen ausgeführt werden, die erweiterten Schutz unterstützen. Wie der Schutz erzwungen wird, hängt von der Einstellung RsWindowsExtendedProtectionScenarioab.Die Authentifizierung ist für Anwendungen zulässig, die auf Betriebssystemen ausgeführt werden, die keinen erweiterten Schutz unterstützen. Der Wert Require gibt Folgendes an:Erweiterter Schutz wird für Clientanwendungen erzwungen, die auf Betriebssystemen ausgeführt werden, die erweiterten Schutz unterstützen. Für Anwendungen, die auf Betriebssystemen ausgeführt werden, die keinen erweiterten Schutz unterstützen, ist die Authentifizierung nicht zulässig. |
RsWindowsExtendedProtectionScenario |
Gibt an, welche Arten des erweiterten Schutzes überprüft werden: Kanalbindung, Dienstbindung oder beides. Gültige Werte sind Any, Proxyund Direct.Der Standardwert ist Proxy.Der Wert Any gibt Folgendes an:-Windows NTLM, Kerberos und Negotiate-Authentifizierung sowie eine Kanalbindung sind nicht erforderlich. – Dienstbindung wird erzwungen. Der Wert Proxy gibt Folgendes an:– Windows-NTLM-, Kerberos- und Negotiate-Authentifizierung, wenn ein Kanalbindungstoken vorhanden ist. – Dienstbindung wird erzwungen. Der Wert Direct gibt Folgendes an:-Windows NTLM, Kerberos und Negotiate-Authentifizierung, wenn ein CBT vorhanden ist, eine SSL-Verbindung mit dem aktuellen Dienst besteht und das CBT für die SSL-Verbindung mit dem CBT des NTLM-, Kerberos- oder Negotiate-Tokens übereinstimmt. -Dienstbindung wird nicht erzwungen. Hinweis: Diese Einstellung wird ignoriert, wenn RsWindowsExtendedProtectionLevel auf OFF gesetzt ist. |
Beispieleinträge in der rsreportserver.config Konfigurationsdatei:
<Authentication>
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>
Dienstbindung und enthaltene SPNs
Die Dienstbindung nutzt Dienstprinzipalnamen (Service Principal Names oder SPN) zur Überprüfung des beabsichtigten Ziels von Authentifizierungstokens. Reporting Services erstellen mithilfe der vorhandenen URL-Reservierungsinformationen eine Liste von SPNs, die als gültig angesehen werden. Mithilfe der URL-Reservierungsinformationen für die Überprüfung von SPN- und URL-Reservierungen können Systemadministratoren beide von einem einzigen Speicherort aus verwalten.
Die Liste der gültigen SPNs wird aktualisiert, wenn der Berichtsserver gestartet wird, die Konfigurationseinstellungen für erweiterten Schutz geändert werden oder wenn die Anwendungsdomäne wiederverwendet wird.
Für jede Anwendung gibt es eine spezielle gültige Liste der SPNs. Beispielsweise verfügt der Berichts-Manager und der Berichtsserver über eine andere Liste gültiger SPNs.
Die Liste der gültigen SPNs, die für eine Anwendung berechnet werden, wird durch die folgenden Faktoren bestimmt:
Jede URL-Reservierung.
Jeder SPN, der vom Domänencontroller für das Reporting Services-Dienstkonto abgerufen wurde.
Wenn eine URL-Reservierung Platzhalterzeichen ('*' oder '+') enthält, fügt der Report Server jeden Eintrag aus der Hosts-Auflistung hinzu.
Hosts-Auflistungsquellen.
In der folgenden Tabelle sind die potenziellen Quellen für die Hosts-Auflistung aufgeführt.
| Typ der Quelle | BESCHREIBUNG |
|---|---|
| ComputernameDnsDomäne | Der Name der dem lokalen Computer zugewiesenen DNS-Domäne. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der DNS-Domänenname des virtuellen Clusterservers verwendet. |
| ComputernameDnsVollqualifiziert | Der vollqualifizierte DNS-Name, der den lokalen Computer eindeutig identifiziert. Dieser Name ist eine Kombination aus dem DNS-Hostnamen und dem DNS-Domänennamen unter Verwendung des Formulars "HostName". DomainName. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der vollqualifizierte DNS-Domänenname des virtuellen Clusterservers verwendet. |
| ComputernameDnsHostname | Der DNS-Hostname des lokalen Computers. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der DNS-Hostname des virtuellen Clusterservers verwendet. |
| ComputernameNetBIOS | Der NetBIOS-Name des lokalen Computers. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der NetBIOS-Name des virtuellen Clusterservers verwendet. |
| ComputernamePhysischeDnsDomäne | Der Name der dem lokalen Computer zugewiesenen DNS-Domäne. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der DNS-Domänenname des lokalen Computers verwendet, nicht der Name des virtuellen Clusterservers. |
| ComputernamePhysischerDnsVollqualifiziert | Der vollqualifizierte DNS-Name, der den Computer eindeutig identifiziert. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der vollqualifizierte DNS-Name des lokalen Computers verwendet, nicht der Name des virtuellen Clusterservers. Der vollqualifizierte DNS-Name ist eine Kombination aus dem DNS-Hostnamen und dem DNS-Domänennamen unter Verwendung des Formulars "HostName". DomainName. |
| ComputernamePhysischerDnsHostname | Der DNS-Hostname des lokalen Computers. Wenn der lokale Computer ein Knoten in einem Cluster ist, wird der DNS-Hostname des lokalen Computers verwendet, nicht der Name des virtuellen Clusterservers. |
| ComputernamePhysischerNetBIOS | Der NetBIOS-Name des lokalen Computers. Wenn der lokale Computer ein Knoten in einem Cluster ist, ist der NetBIOS-Name des lokalen Computers, nicht der Name des virtuellen Clusterservers. |
Weitere Informationen finden Sie unter Registrieren eines Dienstprinzipalnamens (Service Principal Name, SPN) für einen Berichtsserver und informationen zu URL Reservations and Registration (SSRS Configuration Manager).
Siehe auch
Verbindung mit dem Datenbankmodul unter Verwendung des erweiterten Schutzes herstellenErweiterter Schutz für die Authentifizierung – ÜbersichtIntegrierte Windows-Authentifizierung mit erweitertem SchutzMicrosoft-Sicherheitsberatung: Erweiterter Schutz für die AuthentifizierungBerichtsserver-DienstablaufverfolgungsprotokollRSReportServer-KonfigurationsdateiSetExtendedProtectionSettings-Methode (WMI MSReportServer_ConfigurationSetting)