Beberapa saran yang bisa diberikan untuk menambahkan level security didalam reporting services beberapa diantaranya adalah:

1. Disable integrated security di dalam Report Server. Meski report di eksekusi dalam context user yang menjalankan report tersebut, namun hanya beberapa komponen yang berjalan sesuai dengan context user tersebut, sehingga disable integrated security guna menghindari kemungkinan report yang baru akan mengalami masalah ketika dijalankan yang pada gilirannya akan membreak domain privilege user yang menjalankan report tersebut.
2. Install sertifikat SSL kedalam IIS yang menjalankan web site Report Server, guna meningkatkan level keamanan report yang dikirim/diterima dari/ke report server.
3. Gunakan satu domain user account untuk mengakses database report server. Database ReportServer dan ReportServerTempDB berisi user dbo dan account lain dengan privelege sysadmin. Bila ada account ASPNET atau NTAUTHORITY\Network Service, maka akan berimpact kemungkinan user yang mempunyai privelege mendeploy aplikasi ASP.NET ke IIS server yang terdapat reporting services untuk dapat mengakses semua data dengan memanfaatkan credential yang diembed dalam datasource report. Untuk memperbaiki keadaan tersebut, jalankan rsconfig.exe lewat DOS prompt.
4. Encrypt parameter sebelum passing dari web browser ke report server. Ada dua mekanisme passing parameter yaitu lewat URL parameter string dan lewat HTML web form. Mekanisme kedua lebih aman ketimbang pertama, mekanisme kedua menggunakan method “POST” dan lewat HTTP GET URL report server akan menparsing parameter yang diterima. User dapat menangkap nilai yang digenerate lewat HTTP GET URL sehingga nilai parameter tetap terlihat, sehingga sebaiknya lakukan enkripsi parameter.
5. Hindari penggunaan prompted credential yang pop-up ketika mengakses report. Setelah user memasukkan credential lewat pop up credential, informasi credential tersebut dapat dibaca lewat HTTP GET request dan disimpan di dalam web browser dengan URL yang mengandung informasi credential yang dienkripsi. Kerawanan ini bisa dimanfaatkan oleh user lain yang memanfaatkan local cache untuk menyalahgunakan credential dari user lain. Perbaikan security hole ini akan dimasukkan ke dalam reporting services service pack 2.
6. Gunakan prinsip least privilege account yang akan mengakses data source lewat report server. Selain untuk menghindari penyalahgunaan privelege, dan jangan memasukkan informasi credential milik administrator ke dalam datasource report.

Demikian seputar informasi mengenai security reporting services. Semoga berguna bagi Anda semuanya. Untuk membaca tulisan menarik lainnya silakan menuju ke situs Sony AK Knowledge Center dengan alamat di www.sony-ak.com.

Kasim Wirama adalah pemegang sertifikasi MCSD.NET dan MCDBA. Tulisan ini bersumber dari blog beliau yang ada pada alamat http://blogs.netindonesia.net/kasim.wirama/

Terimakasih.