Сценарий: аутентификация Microsoft SQL Server

Информация в этом разделе применима только к конфигурациям, в которых Kaspersky Security Center использует Microsoft SQL Server в качестве системы управления базами данных.

Чтобы защитить данные Kaspersky Security Center, передаваемые в базу данных или из нее, а также данные, хранящиеся в базе данных, от несанкционированного доступа, вам нужно защитить связь между Kaspersky Security Center и SQL Server. Самый надежный способ обеспечить безопасную связь – это установить Kaspersky Security Center и SQL Server на одном устройстве и использовать механизм совместной памяти для обоих приложений. Во всех других случаях мы рекомендуем использовать сертификат SSL или TLS для аутентификации экземпляра SQL Server. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат. Рекомендуется использовать сертификат аккредитованного центра сертификации, так как самоподписанный сертификат обеспечивает лишь ограниченную защиту.

Аутентификация SQL Server состоит из следующих этапов:

  1. Создание самоподписанного сертификата SSL или TLS для SQL Server в соответствии с требованиями сертификата

    Если у вас уже есть сертификат для SQL Server, пропустите этот шаг.

    SSL-сертификат можно применять только к версиям SQL Server ранее 2016 года (13.x). В версиях SQL Server 2016 (13.x) и выше используйте TLS-сертификат.

    Например, чтобы создать TLS-сертификат, введите следующую команду в PowerShell:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    В командной строке в качестве SQL_HOST_NAME вам нужно ввести имя экземпляра SQL Server, если экземпляр включен в домен, или ввести полное доменное имя (FQDN) экземпляра, если экземпляр не включен в домен. В мастере установки Сервера администрирования в качестве имени экземпляра SQL Server должно быть указано то же имя – имя экземпляра или полное доменное имя.

  2. Добавление сертификата на экземпляр SQL Server

    Инструкции этого этапа зависят от платформы, на которой работает SQL Server. Дополнительную информацию см. в официальной документации:

    Чтобы использовать сертификат в отказоустойчивом кластере, необходимо установить сертификат на каждом узле отказоустойчивого кластера. Подробнее см. документацию Microsoft.

  3. Назначение разрешений для учетной записи службы

    Убедитесь, что учетная запись службы, под которой запускается служба SQL Server, имеет разрешения "Полный доступ" для доступа к закрытым ключам. Подробнее см. документацию Microsoft.

  4. Добавление сертификата в список доверенных сертификатов для Kaspersky Security Center

    На устройство Сервера администрирования добавьте сертификат в список доверенных сертификатов. Подробнее см. документацию Microsoft.

  5. Включение зашифрованных подключений между экземпляром SQL Server и Kaspersky Security Center

    На устройстве Сервера администрирования установите значение 1 для переменной среды KLDBADO_UseEncryption. Например, в Windows Server 2012 R2 вы можете изменить переменные среды, нажав на Переменные среды, на вкладке Дополнительно окна Свойства системы. Добавьте переменную с именем KLDBADO_UseEncryption и установите значение 1.

  6. Дополнительная настройка для использования TLS-протокола 1.2

    Если вы используете TLS-протокол 1.2, дополнительно выполните следующие действия:

    • Убедитесь, что установленная версия SQL Server является 64-разрядным приложением.
    • Установите драйвер Microsoft OLE DB на устройство Сервера администрирования. Подробнее см. документацию Microsoft.
    • На устройстве Сервера администрирования установите значение 1 для переменной среды KLDBADO_UseMSOLEDBSQL. Например, в Windows Server 2012 R2 вы можете изменить переменные среды, нажав на Переменные среды, на вкладке Дополнительно окна Свойства системы. Добавьте новую переменную с именем KLDBADO_UseMSOLEDBSQL и установите значение 1.

      Если версия драйвера OLE DB – 19 или выше, также установите значение MSOLEDBSQL19 в переменную окружения KLDBADO_ProviderName.

  7. Включение использования протокола TCP/IP на именованном экземпляре SQL Server

    Если вы используете именованный экземпляр SQL Server, дополнительно включите использование протокола TCP/IP и назначьте номер порта TCP/IP для компонента SQL Server Database Engine. При настройке подключения к SQL Server в мастере установки Сервера администрирования укажите имя экземпляра SQL Server и номер порта в поле Имя экземпляра SQL Server.

В начало