Escenario: autenticación de Microsoft SQL Server

La información de esta sección solo corresponde a las configuraciones en las que Kaspersky Security Center utiliza Microsoft SQL Server como el sistema de administración de bases de datos.

Para proteger los datos de Kaspersky Security Center transferidos hacia la base de datos o desde esta y aquellos almacenados en la base de datos contra el acceso no autorizado, debe asegurar la comunicación entre Kaspersky Security Center y SQL Server. La forma más confiable de garantizar una comunicación segura es instalar Kaspersky Security Center y SQL Server en el mismo dispositivo y usar el mecanismo de memoria compartida para ambas aplicaciones. En los demás casos, le recomendamos que use un certificado SSL o TLS para autenticar la instancia de SQL Server. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado. Los certificados emitidos por las AC son preferibles a los autofirmados; estos últimos brindan un nivel de protección limitado.

La autenticación de SQL Server procede en etapas:

  1. Generación de un certificado SSL o TLS autofirmado para SQL Server de acuerdo con los requisitos del certificado

    Si ya tiene un certificado para SQL Server, omita este paso.

    Un certificado SSL solo puede usarse en las versiones de SQL Server anteriores a 2016 (13.x). En SQL Server 2016 (13.x) y versiones posteriores, use un certificado TLS.

    Para generar un certificado TLS, ejecute (por ejemplo) el siguiente comando en PowerShell:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    Antes de ejecutar el comando, asegúrese de reemplazar la cadena SQL_HOST_NAME con el nombre de host del servidor SQL Server (si el host pertenece al dominio) o con el nombre de dominio completo (FQDN) del servidor si el host no forma parte del dominio. El mismo nombre (nombre de host o FQDN) debe especificarse como nombre de instancia de SQL Server en el Asistente de instalación del Servidor de administración.

  2. Adición del certificado en la instancia de SQL Server

    Las instrucciones para completar esta etapa varían según la plataforma en la que se ejecuta SQL Server. Para obtener más información, consulte la documentación oficial:

    Para usar el certificado en un clúster de conmutación por error, debe instalar el certificado en cada nodo de este clúster. Para obtener más información, consulte la documentación de Microsoft.

  3. Asignación de los permisos de la cuenta de servicio

    Asegúrese de que la cuenta de servicio en la cual se ejecuta el servicio de SQL Server tenga el permiso de control total para acceder a las claves privadas. Para obtener más información, consulte la documentación de Microsoft.

  4. Adición del certificado a la lista de certificados de confianza para Kaspersky Security Center

    En el dispositivo del Servidor de administración, agregue el certificado a la lista de certificados de confianza. Para obtener más información, consulte la documentación de Microsoft.

  5. Activación de conexiones cifradas entre la instancia de SQL Server y Kaspersky Security Center

    En el dispositivo del Servidor de administración, establezca el valor 1 en la variable de entorno KLDBADO_UseEncryption. Por ejemplo, en Windows Server 2012 R2, puede cambiar las variables del entorno haciendo clic en Variables de entorno en la pestaña Avanzado de la ventana Propiedades del sistema. Agregue una nueva variable, asígnele el nombre KLDBADO_UseEncryption y luego establezca el valor 1.

  6. Configuración adicional para usar el protocolo TLS 1.2

    Si usa el protocolo TLS 1.2, además haga lo siguiente:

    • Asegúrese de que la versión instalada de SQL Server sea una aplicación de 64 bits.
    • Instale el controlador de OLE DB de Microsoft en el dispositivo del Servidor de administración. Para obtener más información, consulte la documentación de Microsoft.
    • En el dispositivo del Servidor de administración, establezca el valor 1 en la variable de entorno KLDBADO_UseMSOLEDBSQL. Por ejemplo, en Windows Server 2012 R2, puede cambiar las variables del entorno haciendo clic en Variables de entorno en la pestaña Avanzado de la ventana Propiedades del sistema. Agregue una nueva variable, asígnele el nombre KLDBADO_UseMSOLEDBSQL y luego establezca el valor 1.

      Si la versión del controlador OLE DB es 19 o posterior, establezca también el valor MSOLEDBSQL19 en la variable de entorno KLDBADO_ProviderName.

  7. Activación del uso del protocolo TCP/IP en una instancia con nombre de SQL Server

    Si usa una instancia con nombre de SQL Server, además habilite el uso del protocolo TCP/IP y asigne un número de puerto TCP/IP al motor de base de datos de SQL Server. Cuando configure la conexión de SQL Server en el Asistente de instalación del Servidor de administración, especifique el nombre de host de SQL Server y el número de puerto en el campo Nombre de instancia de SQL Server.

Inicio de página