السيناريو: مصادقة خادم Microsoft SQL

تنطبق المعلومات الواردة في هذا القسم فقط على التكوينات التي يُستخدم فيها Kaspersky Security Center Microsoft SQL Server كنظام لإدارة قواعد البيانات.

لحماية بيانات Kaspersky Security Center المنقولة إلى قاعدة البيانات والبيانات المخزنة في قاعدة البيانات أو المنقولة منها من الوصول غير المصرح به، يجب عليك تأمين الاتصال بين Kaspersky Security Center و SQL Server. الطريقة الأكثر موثوقية لتوفير اتصال آمن هي تثبيت Kaspersky Security Center و SQL Server على نفس الجهاز واستخدام آلية الذاكرة المشتركة لكلا التطبيقين. في جميع الحالات الأخرى، نوصي باستخدام شهادة SSL أو TLS لمصادقة مثيل SQL Server.‏ يمكنك استخدام شهادة من مرجع معتمد موثوق (CA) أو شهادة موقعة ذاتيًا. نوصي باستخدام شهادة من مرجع مصدق موثوق به لأن الشهادة الموقعة ذاتيًا توفر حماية محدودة فقط.

تستمر مصادقة خادم SQL Server على مراحل:

1. إنشاء شهادة SSL أو TLS موقعة ذاتيًا لخادم SQL Server وفقًا لمتطلبات الشهادة‏‏

   إذا كان لديك بالفعل شهادة لخادم SQL Server، فتخط هذه الخطوة.

   شهادة SSL قابلة للتطبيق فقط على إصدارات SQL Server الأقدم من 2016 (13.x). في SQL Server 2016 (13.x) والإصدارات الأحدث، استخدم شهادة TLS.‏

   على سبيل المثال، لإنشاء شهادة TLS، أدخل الأمر التالي في PowerShell:‏

   New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cer‎t:\LocalMachine‎ -KeySpec KeyExchange

   بخصوص الأمر، بدلاً من SQL_HOST_NAME، يجب كتابة اسم مضيف SQL Server إذا كان المضيف مضمنًا في المجال أو اكتب اسم المجال المؤهل بالكامل (FQDN) للمضيف إذا لم يكن المضيف مدرجًا في المجال. يجب تحديد نفس الاسم - اسم المضيف أو FQDN - كاسم مثيل خادم SQL Server في معالج إعداد خادم الإدارة.

2. إضافة الشهادة لمثيل SQL Server

   تعتمد التعليمات الخاصة بهذه المرحلة على النظام الأساسي الذي يعمل عليه SQL Server. راجع الوثائق الرسمية للاطلاع على التفاصيل:

   • Windows‏‏
   • Linux‏‏
   • Amazon Relational Database Service‏‏
   • Windows Azure‏‏

   لاستخدام الشهادة على نظام مجموعة تجاوز الفشل، يجب عليك تثبيت الشهادة على كل عقدة في نظام مجموعة تجاوز الفشل. للحصول على التفاصيل، راجع وثائق Microsoft‏ .‏

3. تعيين أذونات حساب الخدمة

   تأكد من أن حساب الخدمة الذي يتم تشغيل خدمة خادم SQL Server عليه لديه إذن التحكم الكامل للوصول إلى المفاتيح الخاصة. للحصول على التفاصيل، راجع وثائق Microsoft‏ .‏

4. إضافة الشهادة إلى قائمة الشهادات الموثوقة لـ Kaspersky Security Center

   على جهاز خادم الإدارة، أضف الشهادة إلى قائمة الشهادات الموثوقة. للحصول على التفاصيل، راجع وثائق Microsoft‏ .‏

5. تمكين الاتصالات المشفرة بين مثيل SQL Server و Kaspersky Security Center

   على جهاز خادم الإدارة، اضبط القيمة 1 على متغير البيئة KLDBADO_UseEncryption . على سبيل المثال، في Windows Server 2012 R2، يمكنك تغيير متغيرات البيئة بالنقر على متغيرات البيئة في علامة التبويب المتقدمة لنافذة خصائص النظام . أضف متغيرًا جديدًا، وقم بتسميته KLDBADO_UseEncryption، ثم قم بتعيين القيمة 1.

6. تكوين إضافي لاستخدام بروتوكول TLS 1.2

   إذا كنت تستخدم بروتوكول TLS 1.2، فقم بما يلي أيضًا:

   • تأكد من أن الإصدار المثبت من خادم SQL Server هو تطبيق 64 بت.
   • قم بتثبيت برنامج تشغيل Microsoft OLE DB على جهاز خادم الإدارة. للحصول على التفاصيل، راجع وثائق Microsoft‏ .‏
   • على جهاز خادم الإدارة، اضبط القيمة 1 على متغير البيئة KLDBADO_UseMSOLEDBSQL . على سبيل المثال، في Windows Server 2012 R2، يمكنك تغيير متغيرات البيئة بالنقر على متغيرات البيئة في علامة التبويب المتقدمة لنافذة خصائص النظام . أضف متغيرًا جديدًا، وقم بتسميته KLDBADO_UseMSOLEDBSQL، ثم قم بتعيين القيمة 1.

     إذا كان إصدار برنامج تشغيل OLE DB هو 19 أو أحدث ، فقم أيضًا بتعيين القيمة MSOLEDBSQL19 إلى متغير البيئة KLDBADO_ProviderName .

7. تمكين استخدام بروتوكول TCP/IP على مثيل مسمى لخادم SQL Server

   إذا كنت تستخدم مثيلًا مسمًا لخادم SQL Server، فقم أيضًا بتمكين استخدام بروتوكول TCP/IP ‏وتعيين‏ رقم منفذ TCP/IP ‏لمشغل قاعدة بيانات SQL Server. عند تكوين اتصال خادم SQL Server في ‏معالج إعداد خادم الإدارة، حدد اسم مضيف خادم SQL Server ورقم المنفذ في الحقل اسم مثيل SQL Server.‏

أعلى الصفحة