Protezione estesa per l'autenticazione con Reporting Services
La protezione estesa consiste in un set di miglioramenti apportati alle versioni recenti del sistema operativo Microsoft Windows. La protezione estesa migliora la protezione di credenziali e autenticazione da parte delle applicazioni. La funzionalità non fornisce direttamente la protezione contro attacchi specifici quale l'inoltro delle credenziali, ma rende disponibile un'infrastruttura per le applicazioni, ad esempio Reporting Services, per l'imposizione della protezione estesa per l'autenticazione.
I principali miglioramenti introdotti riguardanti l'autenticazione che fanno parte della protezione estesa sono l'associazione di canale e l'associazione al servizio. Nell'associazione di canale è utilizzato un token CBT (Channel Binding Token) per verificare che il canale stabilito tra due endpoint non sia compromesso. Nell'associazione al servizio sono utilizzati nomi SPN (Service Principal Name) per convalidare la destinazione desiderata dei token di autenticazione. Per informazioni complementari sulla protezione estesa, vedere Integrated Windows Authentication with Extended Protection (autenticazione integrata di Windows con protezione estesa).
SQL Server 2019 (15.x) Reporting Services supporta e applica la protezione estesa abilitata nel sistema operativo e configurata in Reporting Services. Per impostazione predefinita, Reporting Services accetta le richieste che specificano l'autenticazione Negotiate o NTLM ed è pertanto in grado di usufruire del supporto della protezione estesa offerto dal sistema operativo e dalle funzionalità di protezione estesa di Reporting Services.
Importante
Per impostazione predefinita, Windows non abilita la protezione estesa. Per informazioni su come abilitare la protezione estesa in Windows, vedere Protezione estesa per l'autenticazione. Per garantire che l'autenticazione abbia esito positivo, è necessario che il sistema operativo e lo stack di autenticazione del client supportino entrambi la protezione estesa. Per i sistemi operativi meno recenti potrebbe essere necessario installare più aggiornamenti per ottenere un computer in grado di utilizzare appieno la protezione estesa. Per informazioni sugli ultimi sviluppi della protezione estesa, vedere la pagina relativa alle informazioni aggiornate sulla protezione estesa.
Cenni preliminari sulla protezione estesa di Reporting Services
SQL Server 2019 (15.x) Reporting Services supporta e applica la protezione estesa abilitata nel sistema operativo. Se il sistema operativo non supporta la protezione estesa o la funzionalità non è stata abilitata nel sistema operativo, l'autenticazione eseguita dalla funzionalità di protezione estesa di Reporting Services avrà esito negativo. Reporting Services Protezione estesa richiede anche un certificato SSL. Per altre informazioni, vedere Configurare connessioni SSL in un server di report in modalità nativa
Importante
Per impostazione predefinita, Reporting Services non abilita la protezione estesa. La funzionalità può essere attivata modificando il file di configurazione rsreportserver.config
o utilizzando le API di WMI che consentono di aggiornare il file di configurazione. SQL Server 2019 (15.x)Reporting Services non fornisce un'interfaccia utente per modificare o visualizzare le impostazioni di protezione estese. Per altre informazioni, vedere la sezione relativa alle impostazioni di configurazione in questo argomento.
I problemi comuni che si verificano a causa della modifica delle impostazioni relative alla protezione estesa o alla configurazione non corretta delle impostazioni non vengono esposti con messaggi o finestre di dialogo di errore. I problemi correlati alla configurazione e alla compatibilità della protezione estesa causano problemi di autenticazione ed errori nei log di traccia di Reporting Services.
Importante
È possibile che alcune tecnologie di accesso ai dati non supportino la protezione estesa. Per connettersi alle origini dati di SQL Server e al database del catalogo Reporting Services viene usata una tecnologia di accesso ai dati. Un errore della tecnologia di accesso ai dati per supportare la protezione estesa influisce su Reporting Services nei seguenti modi:
- Per l'istanza di SQL Server che esegue il database del catalogo di Reporting Services non è possibile abilitare la protezione estesa. In caso contrario, il server di report non sarà in grado di connettersi al database del catalogo e restituirà errori di autenticazione.
- Per le istanze di SQL Server usate come origini dati di report Reporting Services non è possibile abilitare la protezione estesa. In caso contrario, i tentativi di connessione effettuati dal server di report alle origini dati dei report non riusciranno e verranno restituiti errori di autenticazione.
La documentazione per una tecnologia di accesso ai dati deve disporre di informazioni sul supporto per la protezione estesa.
Aggiornamento
L'aggiornamento di un server di Reporting Services a SQL Server 2019 (15.x) aggiunge le impostazioni di configurazione con valori predefiniti al
rsreportserver.config
file. Se le impostazioni erano già presenti, l'installazione SQL Server 2019 (15.x) li mantiene nelrsreportserver.config
file.Quando le impostazioni di configurazione vengono aggiunte al
rsreportserver.config
file di configurazione, il comportamento predefinito è per la funzionalità di protezione estesa Reporting Services essere disattivata e è necessario abilitare la funzionalità come descritto in questo argomento. Per altre informazioni, vedere la sezione relativa alle impostazioni di configurazione in questo argomento.Il valore predefinito per l'impostazione
RSWindowsExtendedProtectionLevel
èOff
.Il valore predefinito per l'impostazione
RSWindowsExtendedProtectionScenario
èProxy
.SQL Server 2019 (15.x) Upgrade Advisor non verifica che il sistema operativo o l'installazione corrente di Reporting Services abbia abilitato il supporto di Protezione estesa.
Elementi non coperti dalla protezione estesa di Reporting Services
Le aree e gli scenari funzionali seguenti non sono supportati dalla funzionalità di protezione estesa di Reporting Services:
Gli autori di estensioni di sicurezza personalizzate di Reporting Services devono aggiungere il supporto per la protezione estesa all'estensione di sicurezza personalizzata.
Per supportare la protezione estesa, i componenti di terze parti aggiunti o usati da un'installazione di Reporting Services devono essere aggiornati dal fornitore di terze parti. Per ulteriori informazioni, contattare il fornitore di terze parti.
Scenari di distribuzione e indicazioni
Negli scenari seguenti vengono illustrate distribuzioni e topologie diverse, nonché la configurazione consigliata per proteggerle con la protezione estesa di Reporting Services.
Connessione diretta
In questo scenario viene descritta la connessione diretta a un server di report, ad esempio un ambiente Intranet.
Scenario | Diagramma dello scenario | Modalità di protezione |
---|---|---|
Comunicazione SSL diretta. Il server di report imporrà l'associazione di canale dal client al server di report. |
1) Applicazione client 2) Server di report |
L'associazione al servizio non è necessaria perché il canale SSL verrà utilizzato per l'associazione di canale. Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Direct . |
Comunicazione HTTP diretta. Il server di report imporrà l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report |
Non esiste alcun canale SSL, pertanto non è possibile alcuna imposizione dell'associazione di canale. L'associazione al servizio può essere convalidata, ma non rappresenta tuttavia una difesa completa senza l'associazione di canale. Se si utilizza solo l'associazione al servizio si disporrà unicamente di una protezione contro le minacce di base. Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Any . |
Proxy e bilanciamento del carico di rete
Le applicazioni client si connettono a un dispositivo o a un software che esegue SSL e passa le credenziali al server per l'autenticazione, ad esempio in un ambiente Extranet, Internet o in una rete Intranet sicura. Il client si connette a un proxy o a tutti i client che utilizzano un proxy.
La situazione è analoga quando si utilizza un dispositivo per il bilanciamento del carico di rete (NLB).
Scenario | Diagramma dello scenario | Modalità di protezione |
---|---|---|
Comunicazione HTTP. Il server di report imporrà l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report 3) Proxy |
Non esiste alcun canale SSL, pertanto non è possibile alcuna imposizione dell'associazione di canale. Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Any .Si noti che il server di report deve essere configurato per conoscere il nome del server proxy per assicurarsi che l'associazione del servizio sia applicata correttamente. |
Comunicazione HTTP. Il server di report imporrà l'associazione di canale dal client al proxy e l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report 3) Proxy |
Il canale SSL al proxy è disponibile, pertanto l'associazione di canale al proxy può essere imposta. Anche l'associazione al servizio può essere imposta. Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNames del Registro di sistema di Windows.Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Proxy . |
Comunicazione HTTPS indiretta con un proxy sicuro. Il server di report imporrà l'associazione di canale dal client al proxy e l'associazione al servizio dal client al server di report. |
1) Applicazione client 2) Server di report 3) Proxy |
Il canale SSL al proxy è disponibile, pertanto l'associazione di canale al proxy può essere imposta. Anche l'associazione al servizio può essere imposta. Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNames del Registro di sistema di Windows.Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Proxy . |
Gateway
In questo scenario vengono descritte applicazioni client che si connettono a un dispositivo o a un software che esegue SSL e autentica l'utente. Il dispositivo o il software rappresenta quindi il contesto utente o un contesto utente diverso prima di inviare una richiesta al server di report.
Scenario | Diagramma dello scenario | Modalità di protezione |
---|---|---|
Comunicazione HTTP indiretta. Il gateway imporrà l'associazione di canale dal client al gateway. È disponibile un'associazione al servizio dal gateway al server di report. |
1) Applicazione client 2) Server di report 3) Dispositivo del gateway |
Il binding di canale da client a server di report non è possibile perché il gateway rappresenta un contesto e crea pertanto un nuovo token NTLM. Non è disponibile alcun SSL dal gateway al server di report, pertanto l'associazione di canale non può essere imposto. L'associazione al servizio può essere imposta. Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Any .Per imporre il binding di canale, il dispositivo del gateway deve essere configurato dall'amministratore. |
Comunicazione HTTPS indiretta con un gateway sicuro. Il gateway imporrà il binding di canale dal client al gateway e il server di report imporrà il binding di canale dal gateway al server di report. |
1) Applicazione client 2) Server di report 3) Dispositivo del gateway |
Il binding di canale da client a server di report non è possibile perché il gateway rappresenta un contesto e crea pertanto un nuovo token NTLM. SSL dal gateway al server di report significa che l'associazione del canale può essere applicata. L'associazione al servizio non è necessaria. Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Direct .Per imporre il binding di canale, il dispositivo del gateway deve essere configurato dall'amministratore. |
Combinazione
In questo scenario viene descritto un ambiente Extranet o Internet in cui il client si connette a un proxy. Questo in combinazione con un ambiente Intranet in cui un client si connette al server di report.
Scenario | Diagramma dello scenario | Modalità di protezione |
---|---|---|
Accesso indiretto e diretto da client a servizio del server di report senza SSL su una delle connessioni da client a proxy o da client a server di report. | 1) Applicazione client 2) Server di report 3) Proxy 4) Applicazione client |
L'associazione al servizio da client a server di report può essere imposta. Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNames del Registro di sistema di Windows.Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Any . |
Accesso indiretto e diretto da client a server di report in cui il client stabilisce una connessione SSL al proxy o al server di report. |
1) Applicazione client 2) Server di report 3) Proxy 4) Applicazione client |
L'associazione di canale può essere utilizzata Il nome del proxy deve essere noto al server di report e a tale scopo l'amministratore del server di report deve creare una prenotazione di URL per il proxy con un'intestazione host oppure configurare il nome del proxy nella voce BackConnectionHostNames del Registro di sistema di Windows.Impostare RSWindowsExtendedProtectionLevel su Allow o Require .Impostare RSWindowsExtendedProtectionScenario su Proxy . |
Configurazione della protezione estesa di Reporting Services
Il rsreportserver.config
file contiene i valori di configurazione che controllano il comportamento di Reporting Services protezione estesa.
Per altre informazioni sull'uso e la modifica del rsreportserver.config
file, vedere File di configurazione RSReportServer. Le impostazioni relative alla protezione estesa possono inoltre essere modificate e controllate utilizzando le API di WMI. Per altre informazioni, vedere Metodo SetExtendedProtectionSettings (MSReportServer_ConfigurationSetting WMI).
Quando la convalida delle impostazioni di configurazione ha esito negativo, i tipi di autenticazione RSWindowsNTLM
, RSWindowsKerberos
e RSWindowsNegotiate
vengono disabilitati nel server di report.
Impostazioni di configurazione per la protezione estesa di Reporting Services
Nella tabella seguente vengono fornite le informazioni sulle impostazioni di configurazione incluse nel file rsreportserver.config
per la protezione estesa.
Impostazione | Descrizione |
---|---|
RSWindowsExtendedProtectionLevel |
Specifica il grado di imposizione della protezione estesa. I valori validi sono Off , Allow e Require .Il valore predefinito è Off .Il valore Off specifica che non viene eseguita alcuna verifica dell'associazione di canale o dell'associazione al servizio.Il valore Allow indica il supporto della protezione estesa senza tuttavia richiederlo. Il valore Allow specifica quanto segue:La protezione estesa verrà imposta per le applicazioni client in esecuzione nei sistemi operativi che supportano la protezione estesa. La modalità di imposizione della protezione è determinata dall'impostazione RsWindowsExtendedProtectionScenario .L'autenticazione sarà consentita per le applicazioni client in esecuzione nei sistemi operativi che non supportano la protezione estesa. Il valore Require specifica quanto segue:La protezione estesa verrà imposta per le applicazioni client in esecuzione nei sistemi operativi che supportano la protezione estesa. L'autenticazione non sarà consentita per le applicazioni in esecuzione nei sistemi operativi che non supportano la protezione estesa. |
RsWindowsExtendedProtectionScenario |
Specifica i formati di protezione estesa che vengono convalidati: associazione di canale, associazione a servizio o entrambe. I valori validi sono Any , Proxy e Direct .Il valore predefinito è Proxy .Il valore Any specifica quanto segue:\- L'autenticazione NTLM, Kerberos e Negotiate di Windows e l'associazione di canale non sono necessari. \- L'associazione al servizio viene imposta. Il valore Proxy specifica quanto segue:\- Autenticazione NTLM, Kerberos e Negotiate di Windows quando è presente un token di associazione di canale. \- L'associazione al servizio viene imposta. Il valore Direct specifica quanto segue:- Autenticazione NTLM, Kerberos e Negotiate quando è presente un token CBT. È inoltre presente una connessione SSL al servizio corrente e il token CBT per la connessione SSL corrisponde al token CBT del token NTLM, Kerberos o Negotiate. \- L'associazione al servizio non viene imposta. Nota: questa impostazione viene ignorata se RsWindowsExtendedProtectionLevel è impostata su OFF . |
Voci di esempio nel file di configurazione rsreportserver.config
:
<Authentication>
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>
Associazione al servizio e nomi SPN inclusi
L'associazione al servizio utilizza nomi SPN (Service Principal Name) per convalidare la destinazione desiderata dei token di autenticazione. Reporting Services usa le informazioni sulla prenotazione di URL esistenti per compilare un elenco di nomi SPN considerati validi. L'utilizzo delle informazioni sulla prenotazione di URL per la convalida dei nomi SPN e delle prenotazioni di URL consente agli amministratori di sistema di gestire entrambi gli elementi da un'unica posizione.
L'elenco di nomi SPN validi viene aggiornato all'avvio del server di report, al momento della modifica delle impostazioni di configurazione per la protezione estesa o quando viene riciclato il dominio applicazione.
L'elenco di nomi SPN validi è specifico di ogni applicazione. Ad esempio, Gestione report e il server di report necessitano ognuno di un elenco diverso di nomi SPN validi elaborati.
L'elenco di nomi SPN validi elaborati per un'applicazione è determinato dai fattori seguenti:
Ogni prenotazione di URL.
Ogni nome SPN recuperato dal controller di dominio per l'account del servizio Reporting Services.
Se una prenotazione di URL include caratteri jolly ("*" o "+"), il server di report aggiungerà ogni voce dalla raccolta Host.
Origini della raccolta Host.
Nella tabella seguente vengono elencate le origini potenziali per la raccolta Host.
Tipo di origine | Descrizione |
---|---|
ComputerNameDnsDomain | Nome di dominio DNS assegnato al computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome di dominio DNS del server virtuale del cluster. |
ComputerNameDnsFullyQualified | Nome DNS completo che identifica in modo univoco il computer locale. Questo nome è una combinazione del nome host DNS e del nome di dominio DNS nel formato NomeHost.NomeDominio. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome DNS completo del server virtuale del cluster. |
ComputerNameDnsHostname | Nome host DNS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome host DNS del server virtuale del cluster. |
ComputerNameNetBIOS | Nome del NetBIOS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome del NetBIOS del server virtuale del cluster. |
ComputerNamePhysicalDnsDomain | Nome di dominio DNS assegnato al computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome di dominio DNS del computer locale, anziché il nome del server virtuale del cluster. |
ComputerNamePhysicalDnsFullyQualified | Nome DNS completo che identifica in modo univoco il computer. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome DNS completo del computer locale, anziché il nome del server virtuale del cluster. Il nome DNS completo è una combinazione del nome host DNS e del nome di dominio DNS nel formato NomeHost.NomeDominio. |
ComputerNamePhysicalDnsHostname | Nome host DNS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome host DNS del computer locale, anziché il nome del server virtuale del cluster. |
ComputerNamePhysicalNetBIOS | Nome del NetBIOS del computer locale. Se il computer locale è un nodo di un cluster, verrà utilizzato il nome del NetBIOS del computer locale, anziché il nome del server virtuale del cluster. |
Per altre informazioni, vedere Registrare un nome dell'entità servizio (SPN) per un server di reporte informazioni sulle prenotazioni e la registrazione url (SSRS Configuration Manager).
Vedere anche
Connettersi al motore di database usando protezione estesa protezione estesa per l'autenticazione Panoramica dell'autenticazioneintegrata di Windows con avviso di sicurezza Microsoft Protezione estesa: Protezione estesa per l'autenticazione per il log di traccia del servizio reportrsReportServer File SetExtendedProtectionSettings (metodo WMI MSReportServer_ConfigurationSetting)