シナリオ:Microsoft SQL Server の認証

このセクションの情報は、Kaspersky Security Center が Microsoft SQL Server をデータベース管理システムとして使用する設定のみを対象としています。

データベースと送受信する Kaspersky Security Center のデータおよびデータベースに保存されたデータを不正アクセスから保護するには、Kaspersky Security Center と SQL Server 間の通信を保護する必要があります。セキュアな通信を実現する最も確実な方法は、Kaspersky Security Center と SQL Server を同じデバイスにインストールし、両方のアプリケーションで共有メモリ機構を使用する方法です。それ以外の場合は、SSL または TLS 証明書を使って SQL Server インスタンスを認証することを推奨します。信頼できる証明機関(CA)の証明書または自己署名証明書を使用できます。いずれにしても、自己署名証明書による保護は限られているため、信頼できる CA の証明書を使用することを推奨します。

SQL Server 認証は段階的に行われます:

  1. Certificate Requirements(証明書の要件)」に従った、SQL Server 用の SSL または TLS 自己署名証明書の生成

    ISQL Server 用の証明書が既にある場合は、このステップを省略してください。

    SSL 証明書は、2016(13.x)より前のバージョンの SQL Server のみが対象です。SQL Server 2016(13.x)以降のバージョンには、TLS 証明書を使用します。

    たとえば、TLS 証明書を生成するには、PowerShell で次のコマンドを実行します:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    ホストがドメインに含まれている場合、コマンドで SQL_HOST_NAME の代わりに SQL Server ホスト名を入力する必要があります。ホストがドメインに含まれていない場合は、ホストの完全修飾ドメイン名(FQDN)を入力する必要があります。管理サーバーのセットアップウィザードで、同じ名前(ホスト名または FQDN)を SQL Server インスタンス名に指定する必要があります。

  2. SQL Server インスタンスへの証明書の追加

    この段階の手順は、SQL Server が実行されているプラットフォームによって異なります。詳細については、該当する製品の公式ドキュメントを参照してください:

    フェールオーバークラスターで証明書を使用するには、フェールオーバークラスターの各ノードに証明書をインストールする必要があります。詳細は、Microsoft のドキュメントを参照してください。

  3. サービスアカウントの権限の割り当て

    SQL Server サービスが実行されているサービスアカウントに、秘密鍵にアクセスするためのフルコントロール権限があることを確認してください。詳細は、Microsoft のドキュメントを参照してください。

  4. Kaspersky Security Center 用の信頼できる証明書リストへの証明書の追加

    管理サーバーデバイス上の信頼できる証明書リストに証明書を追加します。詳細は、Microsoft のドキュメントを参照してください。

  5. SQL Server インスタンスと Kaspersky Security Center 間での暗号化された通信の有効化

    管理サーバーデバイスで、環境変数 KLDBADO_UseEncryption に値 1 を設定します。たとえば、Windows Server 2012 R2 の場合、[システムのプロパティ]ウィンドウの[詳細]タブにある[環境変数]をクリックして、環境編集を変更できます。新しい変数を追加し、KLDBADO_UseEncryption という名前を付けてから、値 1 を設定します。

  6. TLS 1.2 プロトコルを使用する追加の設定

    TLS 1.2 プロトコルを使用する場合は、さらに次の手順を実行します:

    • インストールした SQL Server のバージョンが 64 ビットアプリケーションであることを確認します。
    • Microsoft OLE DB ドライバーを管理サーバーデバイスにインストールします。詳細は、Microsoft のドキュメントを参照してください。
    • 管理サーバーデバイスで、環境変数 KLDBADO_UseMSOLEDBSQL に値 1 を設定します。たとえば、Windows Server 2012 R2 の場合、[システムのプロパティ]ウィンドウの[詳細]タブにある[環境変数]をクリックして、環境編集を変更できます。新しい変数を追加し、KLDBADO_UseMSOLEDBSQL という名前を付けてから、値 1 を設定します。

      OLE DB ドライバーのバージョンが 19 以降の場合は、値「MSOLEDBSQL19」を環境変数「KLDBADO_ProviderName」にも設定します。

  7. SQL Server の名前付きインスタンスでの TCP/IP プロトコルの使用の有効化

    SQL Server の名前付きインスタンスを使用する場合はさらに、TCP/IP プロトコルの使用を有効化し、SQL Server データベースエンジンに TCP/IP ポート番号を割り当てます管理サーバーのセットアップウィザードで SQL Server の接続を設定する際には、SQL Server のホスト名とポート番号を[DBMS のインスタンス名]に指定します。

ページのトップに戻る