原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38368737,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38332605

前言:

在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。因为身份验证中包含了地址、密码等信息,如果攻击者拦截了这方面的信息,就会出现授权中继攻击(authentication relay attack),有两种方式可以实现这种攻击,第一种称为:引诱攻击(luring attack),客户端被引诱到攻击者设置的服务器中。第二种称为:欺诈攻击(spoofing attack),也叫中间人攻击,攻击者通过DNS重定向、IP路由等技术拦截客户端和SQL Server之间的信息。

在2009年,微软发布安全报告(Security Advisory 973811),提供了两个机制:service binding(服务绑定) 和 channel binding(通道绑定)。Service-Binding 要求客户端提供已签字的SPN到授权信息中。如果攻击者尝试使用从链接信息中获取的证书或者没有提供已签名的SPN,将不能连接到SQL Server,这个功能对性能影响很少。

Channel binding提供了更高的安全性,但是会有一定的性能影响。通过使用安全传输层协议(Transport Layer Security (TLS)),继承自SSL,可以确保客户端的授权,这种授权使用Channel Binding Token (CBT) ,并且加密。

实现:

1、打开SQL Server配置管理器,在SQL Server网络配置节点,右键实例对应的协议,打开【属性】窗口并选中【高级】标签:

2、如果客户端支持【扩展保护】,选择下图中的:【必须】,否则,选择【允许】:

3、如果SQL Server服务属于某些SPN,把这个名字添加到【接受的NTLM SPN】中,以分号分开:

4、如果想启用Channel Binding Protection,并且强制所有连接加密,可以到【标志】标签中,把【强制加密】设为【是】,如果加密不需要强制,仅Service Binding会开启。

原理:

当在SQL Server配置管理器中启用【扩展保护】,可以选择对支持这种功能的客户端启用,也可以强制所有连接使用,Win 7和Windows Server 2008 R2已经内置了【扩展保护】,要为其他客户端启用,需要安装一个补丁:http://support.microsoft.com/kb/968389

更多:

更详细的信息可以访问:http://msdn.microsoft.com/zh-cn/library/ff487261.aspxhttp://blogs.technet.com/b/srd/archive/2009/12/08/extended-protection-for-authentication.aspx

下一篇:http://blog.csdn.net/dba_huangzj/article/details/38398813

Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击的更多相关文章

  1. Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证

    原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_huan ...

  2. Chapter 1 Securing Your Server and Network(3):使用托管服务帐号

    原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  3. Chapter 1 Securing Your Server and Network(8):停止未使用的服务

    原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  4. Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse

    原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...

  5. Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

    原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...

  6. Chapter 1 Securing Your Server and Network(5):使用SSL加密会话

    原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...

  7. Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

    原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  8. Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

    原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...

  9. Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理

    原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127  ,专题文件夹:http://blog.csdn.net/dba_huang ...

随机推荐

  1. SendMessage发送自定义消息及消息响应

    控件向父窗体发送自定义消息,父窗体定义处理此消息的函数   效果描述: 指定哪个类添加自定义消息:(当然这个类必须是CmdTarget的子类,不然不能处理消息) 添加消息 实现消息函数:(wParam ...

  2. Winform通用模块之流水号生成

    打算接下来的时间里把自己觉得用起来还比较好用的通用模块,在这里向大家介绍一下,如果你有更好的想法时,也希望你不吝指点. 1.数据库表及存储过程 在介绍这个通用流水号生成的模块前,我们先来看一下其相关的 ...

  3. three.js是JavaScript编写的WebGL第 三方库

    three.js是JavaScript编写的WebGL第 三方库.提供了非常多的3D显示功能.Three.js 是一款运行在浏览器中的 3D 引擎,你可以用它创建各种三维场景,包括了摄影机.光影.材质 ...

  4. IIS架构与HTTP请求处理流程

    IIS架构与HTTP请求处理流程 Windows操作系统中的IIS负责提供互联网服务,一台运行了IIS的计算机可以看成是一台Web服务器. Windows XP SP2 中IIS主版本号为5,Wind ...

  5. mysql sqlserver Oracle字符串连接

    mysql 例mysql> select CONCAT('My', 'S', 'QL'); sqlserver select name+'aa' from student; oracle sel ...

  6. LeetCode——Valid Sudoku

    Determine if a Sudoku is valid, according to: Sudoku Puzzles - The Rules. The Sudoku board could be ...

  7. Tomcat中更改网站根目录和默认页的配置方法

    1.tomcat原来的默认根目录是http://localhost:8080,如果想修改访问的根目录,可以这样: 找到tomcat的server.xml(在conf目录下),找到: <Host ...

  8. osgi实战学习之路:3. osgi分层概念及相互合作demo

    源码下载 分层: modual: 主要作用于包级管理与共享代码 lifecycle: 主要作用于执行期间的模块管理与訪问osgi底层框架 service: 主要作用于多模块之间的相互通信 demo: ...

  9. Red Gate系列之八 SQL Connect 1.1.1.19 Edition 数据库连接及操作工具 完全破解+使用教程

    原文:Red Gate系列之八 SQL Connect 1.1.1.19 Edition 数据库连接及操作工具 完全破解+使用教程 Red Gate系列之八 SQL Connect 1.1.1.19 ...

  10. poj 2586 Y2K Accounting Bug (贪心)

    Y2K Accounting Bug Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 8678   Accepted: 428 ...