Die Informationen in diesem Abschnitt gelten nur für Konfigurationen, in denen von Kaspersky Security Center ein Microsoft SQL Server als Datenbankverwaltungssystem verwendet wird.
Um die von Kaspersky Security Center in die oder aus der Datenbank übertragenen Daten, sowie die in der Datenbank gespeicherten Daten, vor unbefugtem Zugriff zu schützen, müssen Sie die Kommunikation zwischen Kaspersky Security Center und SQL Server sichern. Die zuverlässigste Möglichkeit zur Bereitstellung einer sicheren Kommunikation besteht darin, Kaspersky Security Center und SQL Server auf demselben Gerät zu installieren und den Mechanismus für gemeinsame Speichernutzung für beide Anwendungen zu verwenden. In allen anderen Fällen empfehlen wir die Verwendung eines SSL- oder TLS-Zertifikats zur Authentifizierung der SQL Server-Instanz. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden. Wir empfehlen jedoch, ein Zertifikat einer vertrauenswürdigen CA zu verwenden, da ein selbstsigniertes Zertifikat nur einen begrenzten Schutz bietet.
Die Authentifizierung des SQL Servers erfolgt schrittweise:
Wenn Sie bereits ein Zertifikat für SQL Server haben, überspringen Sie diesen Schritt.
Ein SSL-Zertifikat gilt nur für Versionen von SQL Server vor 2016 (13.x). Verwenden Sie für SQL Server 2016 (13.x) und spätere Versionen ein TLS-Zertifikat.
Geben Sie beispielsweise zum Generieren eines TLS-Zertifikats den folgenden Befehl in PowerShell ein:
New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange
Im Befehl müssen Sie Anstelle von "SQL_HOST_NAME" den Hostnamen des SQL Servers eingeben, wenn der Host in der Domäne enthalten ist, oder den vollqualifizierten Domänennamen (FQDN) des Hosts, wenn der Host nicht in der Domäne enthalten ist. Der gleiche Name - Hostname oder FQDN - muss im Installationsassistent des Administrationsservers als Instanzname des SQL Servers angegeben werden.
Die Anweisungen für diesen Schritt hängen von der Plattform ab, auf der SQL Server ausgeführt wird. Weitere Informationen finden Sie in der offiziellen Dokumentation:
Um das Zertifikat in einem Hochverfügbarkeitscluster zu verwenden, müssen Sie das Zertifikat auf jedem Knoten des Hochverfügbarkeitsclusters installieren. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
Stellen Sie sicher, dass das Dienstkonto, unter dem der Dienst des SQL Servers ausgeführt wird, über die vollen Berechtigungen für den Zugriff auf private Schlüssel verfügt. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
Fügen Sie auf dem Administrationsserver-Gerät das Zertifikat zur Liste der vertrauenswürdigen Zertifikate hinzu. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
Setzen Sie auf dem Administrationsserver-Gerät den Wert der Umgebungsvariable KLDBADO_UseEncryption
auf 1
. Beispielsweise können Sie in Windows Server 2012 R2 die Umgebungsvariablen ändern, indem Sie auf der Registerkarte Erweitert des Fensters Systemeigenschaften auf Umgebungsvariablen klicken. Fügen Sie eine neue Variable namens KLDBADO_UseEncryption
hinzu und setzen Sie ihren Wert auf 1
.
Wenn Sie das TLS 1.2-Protokoll verwenden, gehen Sie zusätzlich wie folgt vor:
KLDBADO_UseMSOLEDBSQL
auf 1
. Beispielsweise können Sie in Windows Server 2012 R2 die Umgebungsvariablen ändern, indem Sie auf der Registerkarte Erweitert des Fensters Systemeigenschaften auf Umgebungsvariablen klicken. Fügen Sie eine neue Variable namens KLDBADO_UseMSOLEDBSQL
hinzu und setzen Sie ihren Wert auf 1
.Wenn Sie eine benannte Instanz eines SQL Servers verwenden, müssen Sie zusätzlich die Verwendung des TCP/IP-Protokoll aktivieren und der Databank-Engine des SQL Servers eine TCP/IP-Portnummer zuweisen. Wenn Sie die SQL Server-Verbindung im Installationsassistenten des Administrationsservers konfigurieren, geben Sie den Hostnamen und die Portnummer des SQL Servers im Feld Name der SQL Server-Instanz an.