Le informazioni contenute in questa sezione sono applicabili solo alle configurazioni in cui Kaspersky Security Center utilizza Microsoft SQL Server come sistema di gestione database.
Per proteggere i dati Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati, è necessario proteggere le comunicazioni tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL o TLS per autenticare l'istanza di SQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. È consigliabile utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato garantisce solo una protezione limitata.
L'autenticazione di SQL Server procede per fasi:
Se si dispone già di un certificato per SQL Server, saltare questo passaggio.
Un certificato SSL è applicabile solo alle versioni di SQL Server precedenti al 2016 (13.x). In SQL Server 2016 (13.x) e versioni successive, utilizzare un certificato TLS.
Ad esempio, per generare un certificato TLS immettere il comando seguente in PowerShell:
New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange
Nel comando, anziché SQL_HOST_NAME è necessario digitare il nome host di SQL Server se l'host è incluso nel dominio o digitare il nome di dominio completo dell'host se l'host non è incluso nel dominio. Lo stesso nome, nome host o nome di dominio completo, deve essere specificato come nome di istanza di SQL nell'Installazione guidata di Administration Server.
Le istruzioni per questo passaggio dipendono dalla piattaforma in cui è in esecuzione SQL Server. Fare riferimento alla documentazione ufficiale per ulteriori dettagli:
Per utilizzare il certificato in un cluster di failover, è necessario installare il certificato in ciascun nodo del cluster di failover. Per i dettagli, consultare la documentazione Microsoft.
Assicurarsi che l'account del servizio con cui viene eseguito il servizio SQL Server disponga dell'autorizzazione di controllo completo per accedere alle chiavi private. Per i dettagli, consultare la documentazione Microsoft.
Nel dispositivo Administration Server aggiungere il certificato all'elenco dei certificati attendibili. Per i dettagli, consultare la documentazione Microsoft.
Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseEncryption. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseEncryption, quindi impostare il valore 1.
Se si utilizza il protocollo TLS 1.2, eseguire anche le seguenti operazioni:
1 per la variabile di ambiente KLDBADO_UseMSOLEDBSQL. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseMSOLEDBSQL, quindi impostare il valore 1.Se la versione del driver OLE DB è 19 o successiva, impostare anche il valore MSOLEDBSQL19 sulla variabile di ambiente KLDBADO_ProviderName.
Se si utilizza un'istanza denominata di SQL Server, abilitare inoltre l'utilizzo del protocollo TCP/IP e assegnare un numero di porta TCP/IP al motore del database di SQL Server. Quando si configura la connessione SQL Server nell'Installazione guidata di Administration Server, specificare il nome host di SQL Server e il numero di porta nel campo Nome istanza SQL Server.