Kaspersky Security Center

Scénario : authentification de Microsoft SQL Server

21 mars 2024

ID 198526

Les informations de cette section ne s'appliquent qu'aux configurations dans lesquelles Kaspersky Security Center utilise Microsoft SQL Server comme système de gestion de base de données.

Pour protéger les données de Kaspersky Security Center transférées vers la base de données et les données stockées dans la base de données contre tout accès non autorisé ou à partir de celles-ci, vous devez sécuriser la communication entre Kaspersky Security Center et le serveur SQL. Le moyen le plus fiable permettant d'assurer une communication sécurisée consiste à installer Kaspersky Security Center et le serveur SQL sur le même appareil et à utiliser le mécanisme de mémoire partagée pour les deux applications. Dans tous les autres cas, nous vous recommandons d'utiliser un certificat SSL ou TLS pour authentifier l'instance du serveur SQL. Vous pouvez utiliser un certificat d'une autorité de certification de confiance ou un certificat auto-signé. Nous vous recommandons d'utiliser un certificat provenant d'une autorité de certification de confiance, car un certificat auto-signé n'offre qu'une protection limitée.

L'authentification du serveur SQL se déroule par étapes :

  1. Génération d'un certificat SSL ou TLS auto-signé pour le serveur SQL conformément aux exigences du certificat

    Si vous disposez déjà d'un certificat pour le serveur SQL, ignorez cette étape.

    Un certificat SSL s'applique uniquement aux versions de SQL Server antérieures à 2016 (13.x). Dans SQL Server 2016 (13.x) et versions ultérieures, utilisez un certificat TLS.

    Par exemple, pour générer un certificat TLS, entrez la commande suivante dans PowerShell :

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    Dans la commande, plutôt que d'entrer SQL_HOST_NAME, vous devez taper le nom d'hôte du serveur SQL si l'hôte est inclus dans le domaine ou taper le nom de domaine pleinement qualifié (FQDN) de l'hôte si l'hôte n'est pas inclus dans le domaine. Le même nom (nom d'hôte ou nom de domaine pleinement qualifié) doit être indiqué comme nom d'instance du serveur SQL dans l'Assistant d'installation du Serveur d'administration.

  2. Ajout du certificat sur l'instance du serveur SQL

    Pour cette étape, les instructions dépendent de la plateforme sur laquelle le serveur SQL est exécuté. Pour plus d'informations, consultez la documentation du fournisseur :

    Pour utiliser le certificat sur un cluster de basculement, vous devez installer le certificat sur chaque nœud du cluster de basculement. Pour plus de détails, consultez la documentation Microsoft.

  3. Attribution des autorisations de compte de service

    Assurez-vous que le compte de service à partir duquel le service du serveur SQL est exécuté dispose de l'autorisation Contrôle total pour accéder aux clés privées. Pour plus de détails, consultez la documentation Microsoft.

  4. Ajout du certificat à la liste des certificats de confiance pour Kaspersky Security Center

    Sur l'appareil du Serveur d'administration, ajoutez le certificat à la liste des certificats de confiance. Pour plus de détails, consultez la documentation Microsoft.

  5. Activation des connexions chiffrées entre l'instance du serveur SQL et Kaspersky Security Center

    Sur l'appareil du Serveur d'administration, indiquez la valeur 1 pour la variable d'environnement KLDBADO_UseEncryption. Par exemple, dans Windows Server 2012 R2, vous pouvez modifier les variables d'environnement en cliquant sur Variables d'environnement sous l'onglet Avancé de la fenêtre Propriétés système. Ajoutez une nouvelle variable, intitulez-la KLDBADO_UseEncryption, puis indiquez la valeur 1.

  6. Configuration supplémentaire pour l'utilisation du protocole TLS 1.2

    Si vous utilisez le protocole TLS 1.2, procédez également comme suit :

    • Assurez-vous que la version installée du serveur SQL est une application 64 bits.
    • Installez Microsoft OLE DB Driver sur l'appareil du Serveur d'administration. Pour plus de détails, consultez la documentation Microsoft.
    • Sur l'appareil du Serveur d'administration, indiquez la valeur 1 pour la variable d'environnement KLDBADO_UseMSOLEDBSQL. Par exemple, dans Windows Server 2012 R2, vous pouvez modifier les variables d'environnement en cliquant sur Variables d'environnement sous l'onglet Avancé de la fenêtre Propriétés système. Ajoutez une nouvelle variable, intitulez-la KLDBADO_UseMSOLEDBSQL, puis indiquez la valeur 1.

      Si la version du pilote OLE DB est 19 ou plus récente, définissez également la valeur MSOLEDBSQL19 sur la variable d'environnement KLDBADO_ProviderName.

  7. Activation de l'utilisation du protocole TCP/IP sur une instance nommée du serveur SQL

    Si vous utilisez une instance nommée du serveur SQL, activez également l'utilisation du protocole TCP/IP et attribuez un numéro de port TCP/IP au moteur de base de données SQL Server. Lorsque vous configurez la connexion du serveur SQL dans l'Assistant d'installation du Serveur d'administration, indiquez le nom d'hôte du serveur SQL et le numéro de port dans le champ Nom de l'instance du serveur SQL.

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.