情境:驗證 Microsoft SQL Server

本節資訊僅適用於卡巴斯基安全管理中心使用 Microsoft SQL Server 作為資料庫管理系統的配置。

若要防護卡巴斯基安全管理中心資料移轉至或來自的資料庫,以及儲存於從未授權存取權限之資料庫的資料,您必須保障卡巴斯基安全管理中心與 SQL Server 間的通訊。提供安全通訊的最可靠方式是安裝卡巴斯基安全管理中心與 SQL Server 在相同的裝置並對這兩個應用程式使用共用的記憶體機制。在所有情況下,建議您使用 SSL 或 TLS 憑證來驗證 SQL Server 實例。您可使用來自信任的憑證授權單位 (CA) 或自簽發憑證。建議您使用來自信任 CA 的憑證,因為自簽發憑證僅提供有限防護。

SQL Server 驗證會分階段進行:

  1. 根據憑證需求產生適用於 SQL Server 的自簽發 SSL 或 TLS 憑證

    若您已有 SQL Server 的憑證,請略過此步驟。

    SSL 憑證僅適用於早於 2016 (13.x) 的 SQL Server 版本。在 SQL Server 2016 (13.x) 和更新版本中,請使用 TLS 憑證。

    例如,若要產生 TLS 憑證,請輸入 PowerShell 中的以下命令:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    在命令中,若網域中包含主機,您必須取代 SQL_HOST_NAME 改為輸入 SQL Server 主機名稱,若網域未納入主機,請輸入主機完全合格的網域名稱 (FQDN)。相同名稱—主機名稱或 FQDN—必須在管理伺服器安裝精靈指定為 SQL Server 實例名稱。

  2. 在 SQL Server 實例新增憑證

    請視平台在哪個 SQL Server 上執行參閱此階段的指示說明。請參閱正式文件以取得詳細資訊:

    若要在容錯移轉叢集上使用憑證,您必須在容錯移轉叢集的各個節點安裝憑證。如需詳細資訊, 請參閱 Microsoft 檔案

  3. 指派服務帳戶權限

    確保服務帳戶在哪個 SQL Server 服務下執行並擁有存取私密金鑰的完整控制權限。如需詳細資訊, 請參閱 Microsoft 檔案

  4. 將憑證新增至卡巴斯基安全管理中心的信任憑證清單

    在管理伺服器裝置上,將憑證新增至信任的憑證清單。如需詳細資訊, 請參閱 Microsoft 檔案

  5. 啟用 SQL Server 實例與卡巴斯基安全管理中心間的加密連線

    在管理伺服器裝置上,將環境變數 KLDBADO_UseEncryption設定值為 1。例如,在 Windows Server 2012 R2 中,您可在系統內容視窗按一下進階頁籤的環境變數來變更環境變數。新增變數,並將其命名為 KLDBADO_UseEncryption,之後設定值為 1

  6. 使用 TLS 1.2 通訊協定的其他配置

    若您使用 TLS 1.2 通訊協定,請額外進行以下事項:

    • 確保 SQL Server 安裝版本為 64 位元應用程式。
    • 在管理伺服器裝置上安裝 Microsoft OLE DB 驅動程式。如需詳細資訊, 請參閱 Microsoft 檔案
    • 在管理伺服器裝置上,將環境變數 KLDBADO_UseMSOLEDBSQL 的值設為 1。例如,在 Windows Server 2012 R2 中,您可在系統內容視窗按一下進階頁籤的環境變數來變更環境變數。新增變數,並將其命名為 KLDBADO_UseMSOLEDBSQL,之後設定值為 1

      如果 OLE DB 驅動程式版本為 19 或更高版本,還需設定值MSOLEDBSQL19 為環境變數KLDBADO_ProviderName

  7. 在 SQL Server 已命名實例上使用 TCP/IP 通訊協定

    若您使用已命名的 SQL Server 實例,請額外啟用 TCP/IP 通訊協定將 TCP/IP 埠號指派給 SQL Server Database Engine。當您在管理伺服器安裝精靈中設定 SQL Server 連線時,請在 SQL Server 實例名稱欄位中指定 SQL Server 主機名稱與埠號。

頁頂