原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38368737,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38332605

前言:

在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。因为身份验证中包含了地址、密码等信息,如果攻击者拦截了这方面的信息,就会出现授权中继攻击(authentication relay attack),有两种方式可以实现这种攻击,第一种称为:引诱攻击(luring attack),客户端被引诱到攻击者设置的服务器中。第二种称为:欺诈攻击(spoofing attack),也叫中间人攻击,攻击者通过DNS重定向、IP路由等技术拦截客户端和SQL Server之间的信息。

在2009年,微软发布安全报告(Security Advisory 973811),提供了两个机制:service binding(服务绑定) 和 channel binding(通道绑定)。Service-Binding 要求客户端提供已签字的SPN到授权信息中。如果攻击者尝试使用从链接信息中获取的证书或者没有提供已签名的SPN,将不能连接到SQL Server,这个功能对性能影响很少。

Channel binding提供了更高的安全性,但是会有一定的性能影响。通过使用安全传输层协议(Transport Layer Security (TLS)),继承自SSL,可以确保客户端的授权,这种授权使用Channel Binding Token (CBT) ,并且加密。

实现:

1、打开SQL Server配置管理器,在SQL Server网络配置节点,右键实例对应的协议,打开【属性】窗口并选中【高级】标签:

2、如果客户端支持【扩展保护】,选择下图中的:【必须】,否则,选择【允许】:

3、如果SQL Server服务属于某些SPN,把这个名字添加到【接受的NTLM SPN】中,以分号分开:

4、如果想启用Channel Binding Protection,并且强制所有连接加密,可以到【标志】标签中,把【强制加密】设为【是】,如果加密不需要强制,仅Service Binding会开启。

原理:

当在SQL Server配置管理器中启用【扩展保护】,可以选择对支持这种功能的客户端启用,也可以强制所有连接使用,Win 7和Windows Server 2008 R2已经内置了【扩展保护】,要为其他客户端启用,需要安装一个补丁:http://support.microsoft.com/kb/968389

更多:

更详细的信息可以访问:http://msdn.microsoft.com/zh-cn/library/ff487261.aspxhttp://blogs.technet.com/b/srd/archive/2009/12/08/extended-protection-for-authentication.aspx

下一篇:http://blog.csdn.net/dba_huangzj/article/details/38398813

Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击的更多相关文章

  1. Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证

    原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_huan ...

  2. Chapter 1 Securing Your Server and Network(3):使用托管服务帐号

    原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  3. Chapter 1 Securing Your Server and Network(8):停止未使用的服务

    原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  4. Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse

    原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...

  5. Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

    原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...

  6. Chapter 1 Securing Your Server and Network(5):使用SSL加密会话

    原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...

  7. Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

    原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  8. Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

    原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...

  9. Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理

    原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127  ,专题文件夹:http://blog.csdn.net/dba_huang ...

随机推荐

  1. [置顶] Android常用适配器控件

    Android常用适配器控件 列表控件用于显示数据集合,Android不是使用一种类型的控件管理显示和数据,而是将这两项功能分布用列表控件和适配器来实现.列表控件扩展了android.widget.A ...

  2. sort功能使用

    头: #include <algorithm> using namespace std; 1.默认的sort函数是按升序排序.  sort(a,a+n);                / ...

  3. PHP实现插入排序算法

    插入排序(Insertion Sort),是一种较稳定.简单直观的排序算法.插入排序的工作原理,是通过构建有序序列,对于未排序的数据,在有序序列中从后向前扫描,找到合适的位置并将其插入.插入排序,在最 ...

  4. 分布式消息系统Jafka入门指南之二

    分布式消息系统Jafka入门指南之二 作者:chszs,转载需注明.博客主页:http://blog.csdn.net/chszs 三.Jafka的文件夹结构 1.安装tree命令 $ sudo yu ...

  5. 使用 angular directive 和 json 数据 D3 随着标签 donut chart演示样本

    使用angular resource载入中priorityData.json中间json数据,结合D3绘制甜甜圈图.执行index.html其结果见于图.: priorityData.json中jso ...

  6. cocos2d-x 3.1.1 学习笔记[2]Sprite 精灵

    Sprite应该是用到最多的一个类吧.无法想像一个游戏没有精灵将怎样进行愉快的玩耍. Sprite继承于Node 和 TextureProtocol. Sprite是一个2d的图像. Sprite能够 ...

  7. 从零开始学Xamarin.Forms(四) Android 准备步骤(添加第三方Xamarin.Forms.Labs库)

    原文:从零开始学Xamarin.Forms(四) Android 准备步骤(添加第三方Xamarin.Forms.Labs库)  1.安装对应dll     Update-Package Xama ...

  8. [ACM] POJ 3687 Labeling Balls (拓扑排序,反向生成端)

    Labeling Balls Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 10161   Accepted: 2810 D ...

  9. JAVA: httpclient 具体解释——第五章;

    httpclient 具体解释--第一章: httpclient 具体解释--第二章: httpclient 具体解释--第三章: httpclient 具体解释--第四章: httpclient 具 ...

  10. Oracle 阅读器-刚看完表空间回复的详细解释

    (一) 当使用一个控制文件的备份恢复,例如下面的附图.使用备份控制文件恢复位置 watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZGVtb25zb24=/fo ...