Kaspersky Security Center

Szenario: Authentifizierung von Microsoft SQL Server

28. März 2024

ID 198526

Die Informationen in diesem Abschnitt gelten nur für Konfigurationen, in denen von Kaspersky Security Center ein Microsoft SQL Server als Datenbankverwaltungssystem verwendet wird.

Um die von Kaspersky Security Center in die oder aus der Datenbank übertragenen Daten, sowie die in der Datenbank gespeicherten Daten, vor unbefugtem Zugriff zu schützen, müssen Sie die Kommunikation zwischen Kaspersky Security Center und SQL Server sichern. Die zuverlässigste Möglichkeit zur Bereitstellung einer sicheren Kommunikation besteht darin, Kaspersky Security Center und SQL Server auf demselben Gerät zu installieren und den Mechanismus für gemeinsame Speichernutzung für beide Anwendungen zu verwenden. In allen anderen Fällen empfehlen wir die Verwendung eines SSL- oder TLS-Zertifikats zur Authentifizierung der SQL Server-Instanz. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden. Wir empfehlen jedoch, ein Zertifikat einer vertrauenswürdigen CA zu verwenden, da ein selbstsigniertes Zertifikat nur einen begrenzten Schutz bietet.

Die Authentifizierung des SQL Servers erfolgt schrittweise:

  1. Generieren eines selbstsignierten SSL- oder TLS-Zertifikats für SQL Server gemäß den Zertifikatanforderungen

    Wenn Sie bereits ein Zertifikat für SQL Server haben, überspringen Sie diesen Schritt.

    Ein SSL-Zertifikat gilt nur für Versionen von SQL Server vor 2016 (13.x). Verwenden Sie für SQL Server 2016 (13.x) und spätere Versionen ein TLS-Zertifikat.

    Geben Sie beispielsweise zum Generieren eines TLS-Zertifikats den folgenden Befehl in PowerShell ein:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    Im Befehl müssen Sie Anstelle von "SQL_HOST_NAME" den Hostnamen des SQL Servers eingeben, wenn der Host in der Domäne enthalten ist, oder den vollqualifizierten Domänennamen (FQDN) des Hosts, wenn der Host nicht in der Domäne enthalten ist. Der gleiche Name - Hostname oder FQDN - muss im Installationsassistent des Administrationsservers als Instanzname des SQL Servers angegeben werden.

  2. Hinzufügen des Zertifikats zur SQL Server-Instanz

    Die Anweisungen für diesen Schritt hängen von der Plattform ab, auf der SQL Server ausgeführt wird. Weitere Informationen finden Sie in der offiziellen Dokumentation:

    Um das Zertifikat in einem Hochverfügbarkeitscluster zu verwenden, müssen Sie das Zertifikat auf jedem Knoten des Hochverfügbarkeitsclusters installieren. Weitere Informationen finden Sie in der Dokumentation von Microsoft.

  3. Zuweisen der Berechtigungen des Dienstkontos

    Stellen Sie sicher, dass das Dienstkonto, unter dem der Dienst des SQL Servers ausgeführt wird, über die vollen Berechtigungen für den Zugriff auf private Schlüssel verfügt. Weitere Informationen finden Sie in der Dokumentation von Microsoft.

  4. Hinzufügen des Zertifikats zur Liste der vertrauenswürdigen Zertifikate für Kaspersky Security Center

    Fügen Sie auf dem Administrationsserver-Gerät das Zertifikat zur Liste der vertrauenswürdigen Zertifikate hinzu. Weitere Informationen finden Sie in der Dokumentation von Microsoft.

  5. Aktivieren verschlüsselter Verbindungen zwischen der SQL Server-Instanz und Kaspersky Security Center

    Setzen Sie auf dem Administrationsserver-Gerät den Wert der Umgebungsvariable KLDBADO_UseEncryption auf 1. Beispielsweise können Sie in Windows Server 2012 R2 die Umgebungsvariablen ändern, indem Sie auf der Registerkarte Erweitert des Fensters Systemeigenschaften auf Umgebungsvariablen klicken. Fügen Sie eine neue Variable namens KLDBADO_UseEncryption hinzu und setzen Sie ihren Wert auf 1.

  6. Zusätzliche Konfiguration für die Verwendung des TLS 1.2-Protokolls

    Wenn Sie das TLS 1.2-Protokoll verwenden, gehen Sie zusätzlich wie folgt vor:

    • Stellen Sie sicher, dass die installierte Version von SQL Server eine 64-Bit-Anwendung ist.
    • Installieren Sie den Microsoft OLE DB-Treiber auf dem Gerät mit dem Administrationsserver. Weitere Informationen finden Sie in der Dokumentation von Microsoft.
    • Setzen Sie auf dem Gerät mit dem Administrationsserver den Wert der Umgebungsvariable KLDBADO_UseMSOLEDBSQL auf 1. Beispielsweise können Sie in Windows Server 2012 R2 die Umgebungsvariablen ändern, indem Sie auf der Registerkarte Erweitert des Fensters Systemeigenschaften auf Umgebungsvariablen klicken. Fügen Sie eine neue Variable namens KLDBADO_UseMSOLEDBSQL hinzu und setzen Sie ihren Wert auf 1.

      Wenn die OLE DB-Treiberversion 19 oder neuer ist, geben Sie auch für die Umgebungsvariable KLDBADO_ProviderName den Wert MSOLEDBSQL19 an.

  7. Aktivieren der Verwendung des TCP/IP-Protokolls auf einer benannten Instanz von SQL Server

    Wenn Sie eine benannte Instanz eines SQL Servers verwenden, müssen Sie zusätzlich die Verwendung des TCP/IP-Protokolls aktivieren und der Databank-Engine des SQL Servers eine TCP/IP-Portnummer zuweisen. Wenn Sie die SQL Server-Verbindung im Installationsassistenten des Administrationsservers konfigurieren, geben Sie den Hostnamen und die Portnummer des SQL Servers im Feld Name der SQL Server-Instanz an.

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.