Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La protección ampliada es un conjunto de mejoras de las versiones recientes del sistema operativo Microsoft Windows. La protección ampliada mejora el modo en que las aplicaciones pueden proteger las credenciales y la autenticación. La propia característica no proporciona directamente protección contra ataques específicos, como el reenvío de credenciales, pero proporciona una infraestructura para aplicaciones como Reporting Services para aplicar la protección ampliada para la autenticación.
Las principales mejoras de autenticación que forman parte de la protección ampliada son los enlaces de servicio y de canal. El enlace de canal usa un token de enlace de canal (CBT) para comprobar que el canal establecido entre dos puntos finales no fue comprometido. El enlace de servicio usa nombres principales de servicio (SPN) para validar el destino previsto de los tokens de autenticación. Para obtener más información sobre la protección ampliada, consulte Autenticación integrada de Windows con protección ampliada.
SQL Server 2019 (15.x) Reporting Services admite y aplica la protección ampliada habilitada en el sistema operativo y configurada en Reporting Services. De forma predeterminada, Reporting Services acepta solicitudes que especifican la autenticación Negotiate o NTLM y, por tanto, pueden beneficiarse de la compatibilidad de la protección ampliada del sistema operativo y de las características de la protección ampliada de Reporting Services.
Importante
De forma predeterminada, Windows no habilita la protección ampliada. Para obtener información sobre cómo habilitar la protección ampliada en Windows, consulte Protección ampliada para la autenticación. Tanto el sistema operativo como la pila de autenticación de cliente deben ser compatibles con la protección ampliada para la autenticación se realice correctamente. En sistemas operativos más antiguos, quizá deba instalar varias actualizaciones para disponer de un equipo totalmente preparado para la protección ampliada. Para obtener información sobre los desarrollos recientes con protección ampliada, consulte información actualizada con protección ampliada.
Introducción a la protección ampliada de Reporting Services
SQL Server 2019 (15.x) Reporting Services admite y aplica la protección ampliada que se ha habilitado en el sistema operativo. Si el sistema operativo no admite la protección extendida o la funcionalidad en el sistema operativo no se ha habilitado, la funcionalidad de protección extendida de Reporting Services fallará en la autenticación. La protección ampliada de Reporting Services también requiere un certificado SSL. Para obtener más información, vea Configurar conexiones SSL en un servidor de informes en modo nativo.
Importante
De forma predeterminada, Reporting Services no habilita la protección ampliada. La característica se puede habilitar modificando el rsreportserver.config archivo de configuración o usando las API de WMI para actualizar el archivo de configuración. SQL Server 2019 (15.x)Reporting Services no proporciona una interfaz de usuario para modificar o ver la configuración de protección ampliada. Para obtener más información, vea la sección de configuración de este tema.
Los problemas comunes que se producen debido a cambios en la configuración de protección ampliada o a valores configurados incorrectamente no se exponen con mensajes de error obvios o ventanas de diálogo. Los problemas relacionados con la configuración y la compatibilidad de la protección ampliada dan como resultado errores de autenticación y errores en los registros de seguimiento de Reporting Services.
Importante
Algunas tecnologías de acceso a datos pueden no admitir la protección ampliada. Para conectar los orígenes de datos de SQL Server y la base de datos del catálogo de Reporting Services se usa una tecnología de acceso a datos. El hecho de que una tecnología de acceso a datos no admita la protección ampliada afecta a Reporting Services de las maneras siguientes:
- La instancia de SQL Server que ejecuta la base de datos del catálogo de Reporting Services no puede tener habilitada la protección ampliada; de lo contrario, se producirá un error de conexión entre el servidor de informes y la base de datos del catálogo, y se devolverán errores de autenticación.
- Los servidores SQL Server que se usan como orígenes de datos de informes de Reporting Services no pueden tener habilitada la protección ampliada o los intentos del servidor de informes para conectarse al origen de datos del informe producirán errores de autenticación y devolverán errores de autenticación.
La documentación de una tecnología de acceso a datos debe tener información sobre la compatibilidad con la protección ampliada.
Mejora
Al actualizar un servidor de Reporting Services a SQL Server 2019 (15.x), se agregan valores de configuración con valores predeterminados al
rsreportserver.configarchivo. Si la configuración ya estaba presente, la instalación de SQL Server 2019 (15.x) las conservará en elrsreportserver.configarchivo.Cuando se agregan los valores de configuración al
rsreportserver.configarchivo de configuración, el comportamiento predeterminado es que la característica de protección ampliada de Reporting Services esté desactivada y debe habilitar la característica tal como se describe en este tema. Para obtener más información, vea la sección de configuración de este tema.El valor predeterminado del parámetro
RSWindowsExtendedProtectionLevelesOff.El valor predeterminado del parámetro
RSWindowsExtendedProtectionScenarioesProxy.El Asesor de actualizaciones de SQL Server 2019 (15.x) no comprueba que el sistema operativo o la instalación actual de Reporting Services tenga habilitada la compatibilidad con la protección ampliada.
Lo que no cubre la protección ampliada de Reporting Services
Las siguientes áreas de características y escenarios no son compatibles con la característica de protección ampliada de Reporting Services:
Los autores de las extensiones de seguridad personalizada de Reporting Services deben agregar compatibilidad para la protección ampliada a su extensión de seguridad personalizada.
Los componentes de terceros agregados o usados por una instalación de Reporting Services deben actualizarse por el proveedor de terceros para admitir la protección ampliada. Para obtener más información, póngase en contacto con el otro proveedor.
Escenarios de implementación y recomendaciones
En los siguientes escenarios se ilustran las distintas implementaciones y topologías, así como la configuración recomendada para protegerlas con la protección ampliada de Reporting Services.
Directo
Este escenario describe la conexión directa con un servidor de informes, por ejemplo, el entorno de una intranet.
| Escenario | Diagrama del escenario | Protección |
|---|---|---|
| Comunicación SSL directa. El servidor de informes impondrá el enlace de canal entre el cliente y el servidor de informes. |
1) Aplicación cliente 2) Servidor de informes |
La vinculación de servicio no es necesaria porque el canal SSL se utilizará para la vinculación del canal. Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Direct. |
| Comunicación HTTP directa. El servidor de informes obligará a que el cliente utilice la vinculación de servicios con el servidor de informes. |
1) Aplicación cliente 2) Servidor de informes |
No hay ningún canal SSL; por lo tanto, no es posible aplicar la vinculación de canal. El enlace de servicio puede validarse; sin embargo, no es una defensa completa sin el enlace de canal, y solo ofrece protección contra amenazas básicas. Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Any. |
Proxy y Equilibrio de Carga de Red
Las aplicaciones cliente se conectan a un dispositivo o software que realiza SSL y pasan las credenciales al servidor para la autenticación, por ejemplo, una extranet, Internet o Intranet segura. El cliente se conecta a un proxy o todos los clientes usan un proxy.
La situación es la misma cuando se usa un dispositivo de equilibrio de carga de red (NLB).
| Escenario | Diagrama del escenario | Protección |
|---|---|---|
| Comunicación HTTP. El servidor de informes obligará al cliente a la vinculación del servicio del servidor de informes. |
1) Aplicación cliente 2) Servidor de informes 3) Proxy |
No hay ningún canal SSL; por consiguiente, no es posible aplicar la vinculación de canal. Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Any.Tenga en cuenta que el servidor de informes debe configurarse para conocer el nombre del servidor proxy para asegurarse de que el enlace de servicio se aplica correctamente. |
| Comunicación HTTP. El servidor de informes obligará al cliente a utilizar el enlace de canal de proxy y al enlace de servicio para el servidor de informes. |
1) Aplicación cliente 2) Servidor de informes 3) Proxy |
El canal SSL al proxy está disponible, por lo que se puede aplicar la vinculación de canal al proxy. También se puede aplicar el enlace de servicio. El nombre del proxy debe ser conocido por el servidor de informes, y el administrador del servidor de informes debe crear una reserva de direcciones URL para él, con un encabezado de host, o configurar el nombre del Proxy en la entrada del Registro de Windows BackConnectionHostNames.RSWindowsExtendedProtectionLevel a Allow o Require.Establece RSWindowsExtendedProtectionScenario en Proxy. |
| Comunicación HTTPS indirecta con un proxy seguro. El servidor de informes obligará al cliente a usar la vinculación de canal del proxy y la vinculación de servicio del cliente al servidor de informes. |
1) Aplicación cliente 2) Servidor de informes 3) Proxy |
El canal SSL al proxy está disponible, por lo tanto se puede implementar el enlace de canal al proxy. También se puede aplicar el enlace de servicio. El nombre del proxy debe ser conocido por el servidor de informes y el administrador del servidor de informes debe crear una reserva de URL para él, con un encabezado de host o configurar el nombre del proxy en la entrada BackConnectionHostNames del Registro de Windows.RSWindowsExtendedProtectionLevel a Allow o Require.Establece RSWindowsExtendedProtectionScenario en Proxy. |
Puerta de enlace
En este escenario se describen las aplicaciones cliente que se conectan a un dispositivo o software que realiza SSL y autentica al usuario. Después, el dispositivo o software suplanta el contexto del usuario o un contexto de usuario distinto antes de efectuar una solicitud al servidor de informes.
| Escenario | Diagrama del escenario | Protección |
|---|---|---|
| Comunicación HTTP indirecta. La puerta de enlace aplicará el enlace de canal de cliente a puerta de enlace. Hay una pasarela para la vinculación del servicio del servidor de informes. |
1) Aplicación cliente 2) Servidor de informes 3) Dispositivo de puerta de enlace |
La vinculación de canal desde el cliente al servidor de informes no es posible porque la puerta de enlace impersona un contexto y, por lo tanto, crea un nuevo token NTLM. No hay SSL desde la puerta de enlace hacia el servidor de informes; por tanto, no se puede aplicar la vinculación de canal. El enlace de servicio puede imponerse. Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Any.El dispositivo de puerta de enlace debe ser configurado por el administrador para implementar la vinculación de canal. |
| Comunicación HTTPS indirecta con una puerta de enlace segura. La puerta de enlace aplicará la vinculación de canal de Cliente a Puerta de Enlace y el servidor de informes aplicará la vinculación de canal de Puerta de Enlace a Servidor de informes. |
1) Aplicación cliente 2) Servidor de informes 3) Dispositivo de puerta de enlace |
El enlace de canal desde el cliente al servidor de informes no es posible porque la puerta de enlace suplanta un contexto y, por tanto, crea un nuevo token NTLM. La SSL desde la puerta de enlace hasta el servidor de informes permite que se pueda aplicar la vinculación de canal. No se requiere la vinculación de servicio. Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Direct.El administrador debe configurar el Gateway para aplicar la vinculación de canales. |
Combinación
En este escenario se describen los entornos de Extranet o Internet en los que el cliente conecta un proxy. Esto se combina con un entorno de intranet en el que un cliente se conecta al servidor de informes.
| Escenario | Diagrama del escenario | Protección |
|---|---|---|
| Acceso indirecto y directo desde el cliente al servicio del servidor de informes sin SSL, ya sea en la conexión del cliente al proxy o en la conexión del cliente al servidor de informes. | 1) Aplicación cliente 2) Servidor de informes 3) Proxy 4) Aplicación cliente |
Se puede aplicar el enlace de servicio del cliente al servidor de informes. El nombre del proxy debe ser conocido por el servidor de informes, y el administrador del servidor de informes debería crear una reserva de direcciones URL para este, con un encabezado de host o configurar el nombre del proxy en la entrada del Registro de Windows BackConnectionHostNames.Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Any. |
| Acceso indirecto y directo desde el cliente al servidor de informes donde el cliente establece una conexión SSL con el proxy o el servidor de informes. |
1) Aplicación cliente 2) Servidor de informes 3) Proxy 4) Aplicación cliente |
Se puede usar el enlace de canal El nombre del proxy debe conocerse al servidor de informes y el administrador del servidor de informes debe crear una reserva de direcciones URL para el proxy, con un encabezado de host o configurar el nombre del proxy en la entrada BackConnectionHostNamesdel Registro de Windows.Establezca RSWindowsExtendedProtectionLevel en Allow o Require.Establece RSWindowsExtendedProtectionScenario en Proxy. |
Configuración de la protección ampliada de servicios de informes
El rsreportserver.config archivo contiene los valores de configuración que controlan el comportamiento de la protección ampliada de Reporting Services.
Para obtener más información sobre el uso y la edición del rsreportserver.config archivo, vea Archivo de configuración de RSReportServer. La configuración de protección ampliada también se puede cambiar e inspeccionar mediante las API de WMI. Para obtener más información, vea Método SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting) .
Cuando se produce un error en la validación de la configuración, los tipos RSWindowsNTLMRSWindowsKerberos de autenticación y RSWindowsNegotiate están deshabilitados en el servidor de informes.
Opciones de configuración para la protección ampliada de Reporting Services
La tabla siguiente proporciona información sobre los valores de configuración que aparecen en rsreportserver.config para la protección ampliada.
| Configuración | Descripción |
|---|---|
RSWindowsExtendedProtectionLevel |
Especifica el grado de aplicación de la protección ampliada. Los valores válidos son Off, Allowy Require.El valor predeterminado es Off.El valor Off especifica la ausencia de enlace de canal y la falta de verificación de enlace de servicio.El valor Allow admite la protección ampliada, pero no la requiere. El valor Allow especifica:La protección ampliada se aplicará para las aplicaciones cliente que se ejecutan en sistemas operativos que admiten la protección ampliada. La forma en que se aplica la protección se determina estableciendo RsWindowsExtendedProtectionScenario.Se permitirá la autenticación para las aplicaciones que se ejecutan en sistemas operativos que no admiten la protección ampliada. El valor Require especifica:La protección ampliada se aplicará para las aplicaciones cliente que se ejecutan en sistemas operativos que admiten la protección ampliada. No se permitirá la autenticación para las aplicaciones que se ejecutan en sistemas operativos que no admiten la protección ampliada. |
RsWindowsExtendedProtectionScenario |
Especifica qué formas de protección ampliada se validan: Enlace de canales, enlace de servicios o ambos. Los valores válidos son Any, Proxyy Direct.El valor predeterminado es Proxy.El valor Any especifica:-Windows NTLM, Kerberos y Negotiate autenticación y un enlace de canal no son necesarios. -Se aplica el enlace de servicio. El valor Proxy especifica:-Si está presente, la autenticación de Windows NTLM, Kerberos y Negotiate cuando está presente un token de enlace de canal. -Se aplica el enlace de servicio. El valor Direct especifica:-Windows NTLM, Kerberos y autenticación Negotiate cuando hay un CBT presente, existe una conexión SSL al servicio actual y el CBT de la conexión SSL coincide con el CBT del token NTLM, Kerberos o Negotiate. -El enlace de servicio no se aplica. Nota: Esta configuración se omite si RsWindowsExtendedProtectionLevel se establece en OFF. |
Entradas de ejemplo en el archivo de rsreportserver.config configuración:
<Authentication>
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>
</Authentication>
Enlace de servicio y SPNs incluidos
El enlace de servicio usa nombres principales de servicio (SPN) para validar el destino previsto de los tokens de autenticación. Reporting Services usa la información de reserva de dirección URL para compilar una lista de los SPN que se consideran válidos. El uso de la información de reserva de URL para la validación de reservas de SPN y URL permite a los administradores del sistema gestionar ambos desde una sola ubicación.
La lista de SPN válidos se actualiza cuando se inicia el servidor de informes, se cambian las opciones de configuración para la protección ampliada o cuando se recicla el dominio de aplicación.
La lista válida de los SPN es específica de cada aplicación. Por ejemplo, el Administrador de informes y el Servidor de informes tendrán una lista diferente de SPN válidos calculados.
La lista de SPN válidos calculadas para una aplicación viene determinada por los siguientes factores:
Cada reserva de direcciones URL.
Cada SPN recuperado del controlador de dominio para la cuenta de servicio de Reporting Services.
Si una reserva de direcciones URL incluye caracteres comodín ('*' o '+'), el servidor de informes agregará cada entrada de la colección de hosts.
Orígenes de la colección de hosts.
En la tabla siguiente se citan los posible orígenes para la colección de hosts.
| Tipo de origen de datos | Descripción |
|---|---|
| ComputerNameDnsDomain | El nombre del dominio DNS asignado al equipo local. Si el equipo local es un nodo de un clúster, se usa el nombre de dominio DNS del servidor virtual de clústeres. |
| NombreDelEquipoDnsCompletamenteCalificado | El nombre DNS completo que identifica exclusivamente el equipo local. Este nombre es una combinación del nombre de host DNS y el nombre de dominio DNS, con el formato HostName. DomainName. Si el equipo local es un nodo de un clúster, se usa el nombre DNS completo del servidor virtual de clústeres. |
| ComputerNameDnsHostname | El nombre del host DNS del equipo local. Si el equipo local es un nodo de un clúster, se usa el nombre del host DNS del servidor virtual de clústeres. |
| NombreDeComputadoraNetBIOS | El nombre NetBIOS del equipo local. Si el equipo local es un nodo de un clúster, se usa el nombre NetBIOS del servidor virtual de clústeres. |
| NombreDelComputadorDominioDnsFísico | El nombre del dominio DNS asignado al equipo local. Si el equipo local es un nodo de un clúster, se usa el nombre de dominio DNS del equipo local, no el nombre del servidor virtual de clústeres. |
| NombreComputadoraDnsFísicoCompleto | El nombre DNS completo que identifica exclusivamente el equipo. Si el equipo local es un nodo de un clúster, se usa el nombre DNS completo del equipo local, no el nombre del servidor virtual de clústeres. El nombre DNS completo es una combinación del nombre de host DNS y el nombre de dominio DNS, mediante el formulario HostName. DomainName. |
| NombreDelEquipoDnsFísicoNombreDelHost | El nombre del host DNS del equipo local. Si el equipo local es un nodo de un clúster, se usa el nombre del host DNS del equipo local, no el nombre del servidor virtual de clústeres. |
| ComputerNamePhysicalNetBIOS | El nombre NetBIOS del equipo local. Si el equipo local es un nodo de un clúster, el nombre NetBIOS del equipo local, no el nombre del servidor virtual del clúster. |
Para obtener más información, consulte Registrar un Nombre de Entidad de Seguridad de Servicio (SPN) para un Servidor de Informes y Acerca de las Reservas de Direcciones URL y el Registro (Administrador de Configuración de SSRS).
Véase también
Conectarse al motor de base de datos mediante protección extendidaProtección Extendida para la Autenticación IntroducciónAutenticación Integrada de Windows con Protección ExtendidaAviso de Seguridad de Microsoft: Protección Extendida para la AutenticaciónRegistro de Seguimiento del Servicio Report ServerArchivo de Configuración RSReportServerMétodo SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)