Escenario: Autenticación de Microsoft SQL Server

La información de esta sección solo es aplicable a las configuraciones en las que Kaspersky Security Center utiliza Microsoft SQL Server como sistema de administración de bases de datos.

Para proteger frente al acceso no autorizado los datos de Kaspersky Security Center transferidos hacia o desde la base de datos y los datos almacenados en la base de datos contra el acceso, debe asegurar la comunicación entre Kaspersky Security Center y SQL Server. La forma más confiable de proporcionar una comunicación segura es instalar Kaspersky Security Center y SQL Server en el mismo dispositivo y usar el mecanismo de memoria compartida para ambas aplicaciones. En todos los demás casos, le recomendamos que use un certificado SSL o TLS para autenticar la instancia de SQL Server. Puede usar un certificado de una autoridad de certificación (CA) confiable o un certificado autofirmado. Le recomendamos que utilice un certificado de una CA de confianza porque un certificado autofirmado solo proporciona protección limitada.

La autenticación de SQL Server se lleva a cabo en etapas:

  1. Generar un certificado SSL o TLS autofirmado para SQL Server de acuerdo con los requisitos del certificado

    Si ya tiene un certificado para SQL Server, omita este paso.

    Un certificado SSL solo es aplicable a las versiones de SQL Server anteriores a 2016 (13.x). En SQL Server 2016 (13.x) y versiones posteriores, use un certificado TLS.

    Por ejemplo, para generar un certificado TLS, ejecute el siguiente comando en PowerShell:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    En el comando, en vez de SQL_HOST_NAME, debe escribir el nombre de host de SQL Server si el host está incluido en el dominio o escribir el nombre de dominio completo (FQDN) del host si el host no está incluido en el dominio. El mismo nombre (nombre de host o FQDN) debe especificarse como nombre de instancia de SQL Server en el Asistente de instalación del Servidor de administración.

  2. Añadir el certificado en la instancia de SQL Server

    Las instrucciones para esta etapa dependen de la plataforma en la que se ejecuta SQL Server. Consulte la documentación oficial para más detalles.

    Para usar el certificado en un clúster con tolerancia a fallos (failover cluster), debe instalar el certificado en cada nodo del clúster con tolerancia a fallos. Para más detalles, consulte la documentación de Microsoft.

  3. Asignación de permisos de la cuenta de servicio

    Asegúrese de que la cuenta de servicio bajo la cual se ejecuta el servicio SQL Server tenga el permiso de Control total para acceder a las claves privadas. Para más detalles, consulte la documentación de Microsoft.

  4. Añadir el certificado a la lista de certificados de confianza para Kaspersky Security Center

    En el dispositivo del Servidor de administración, añada el certificado a la lista de certificados confiables. Para más detalles, consulte la documentación de Microsoft.

  5. Activar conexiones cifradas entre la instancia de SQL Server y Kaspersky Security Center

    En el dispositivo del Servidor de administración, establezca el valor 1 en la variable de entorno KLDBADO_UseEncryption. Por ejemplo, en Windows Server 2012 R2, puede cambiar las variables de entorno al hacer clic en Variables de entorno en la pestaña Avanzado de la ventana Propiedades del sistema. Agregue una nueva variable, asígnele el nombre KLDBADO_UseEncryption y luego establezca el valor 1.

  6. Configuración adicional para usar el protocolo TLS 1.2

    Si usa el protocolo TLS 1.2, haga también lo siguiente:

    • Asegúrese de que la versión instalada de SQL Server sea una aplicación de 64 bits.
    • Instale el controlador Microsoft OLE DB en el dispositivo del Servidor de administración. Para más detalles, consulte la documentación de Microsoft.
    • En el dispositivo del Servidor de administración, asigne el valor 1 a la variable de entorno KLDBADO_UseMSOLEDBSQL. Por ejemplo, en Windows Server 2012 R2, puede cambiar las variables de entorno al hacer clic en Variables de entorno en la pestaña Avanzado de la ventana Propiedades del sistema. Agregue una nueva variable, asígnele el nombre KLDBADO_UseMSOLEDBSQL y luego establezca el valor 1.
  7. Activación del uso del protocolo TCP/IP en una instancia SQL Server con nombre

    Si usa una instancia SQL Server con nombre, también habilite el uso del protocolo TCP/IP y asigne un número de puerto TCP/IP a SQL Server Database Engine. Cuando configure la conexión de SQL Server en el Asistente de instalación del Servidor de administración, especifique el nombre de host de SQL Server y el número de puerto en el campo Nombre de instancia de SQL Server.

Subir