Информация в этом разделе применима только к конфигурациям, в которых Kaspersky Security Center использует Microsoft SQL Server в качестве системы управления базами данных.
Чтобы защитить данные Kaspersky Security Center, передаваемые в базу данных или из нее, а также данные, хранящиеся в базе данных, от несанкционированного доступа, вы должны защитить связь между Kaspersky Security Center и SQL Server. Самый надежный способ обеспечить безопасную связь - это установить Kaspersky Security Center и SQL Server на одном устройстве и использовать механизм совместной памяти для обеих программ. Во всех других случаях мы рекомендуем использовать сертификат SSL или TLS для аутентификации экземпляра SQL Server. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат. Рекомендуется использовать сертификат доверенного центра сертификации, так как самоподписанный сертификат обеспечивает лишь ограниченную защиту.
Аутентификация SQL Server состоит из следующих этапов:
Если у вас уже есть сертификат для SQL Server, пропустите этот шаг.
SSL-сертификат можно применять только к версиям SQL Server ранее 2016 года (13.x). В версиях SQL Server 2016 (13.x) и выше используйте TLS-сертификат.
Например, чтобы создать TLS-сертификат, введите следующую команду в PowerShell:
New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange
В командной строке в качестве SQL_HOST_NAME вы должны ввести имя экземпляра SQL Server, если экземпляр включен в домен, или ввести полное доменное имя (FQDN) экземпляра, если экземпляр не включен в домен. В мастере установки Сервера администрирования в качестве имени экземпляра SQL Server должно быть указано то же имя – имя экземпляра или полное доменное имя.
Инструкции этого этапа зависят от платформы, на которой работает SQL Server. Дополнительную информацию см. в официальной документации:
Чтобы использовать сертификат в отказоустойчивом кластере, необходимо установить сертификат на каждом узле отказоустойчивого кластера. Подробнее см. документацию Microsoft.
Убедитесь, что учетная запись службы, под которой запускается служба SQL Server, имеет разрешения "Полный доступ" для доступа к закрытым ключам. Подробнее см. документацию Microsoft.
На устройство Сервера администрирования добавьте сертификат в список доверенных сертификатов. Подробнее см. документацию Microsoft.
На устройстве Сервера администрирования установите значение 1
для переменной среды KLDBADO_UseEncryption
. Например, в Windows Server 2012 R2 вы можете изменить переменные среды, нажав на Переменные среды, на закладке Дополнительно окна Свойства системы. Добавьте переменную с именем KLDBADO_UseEncryption
и установите значение 1
.
Если вы используете TLS-протокол 1.2, дополнительно выполните следующие действия:
1
для переменной среды KLDBADO_UseMSOLEDBSQL
. Например, в Windows Server 2012 R2 вы можете изменить переменные среды, нажав на Переменные среды, на закладке Дополнительно окна Свойства системы. Добавьте новую переменную с именем KLDBADO_UseMSOLEDBSQL
и установите значение 1
.Если версия драйвера OLE DB – 19 или выше, также установите значение MSOLEDBSQL19
в переменную окружения KLDBADO_ProviderName
.
Если вы используете именованный экземпляр SQL Server, дополнительно включите использование протокола TCP/IP и назначьте номер порта TCP/IP для компонента SQL Server Database Engine. При настройке подключения к SQL Server в мастере установки Сервера администрирования укажите имя экземпляра SQL Server и номер порта в поле Имя экземпляра SQL Server.