本節資訊僅適用於卡巴斯基安全管理中心使用 Microsoft SQL Server 作為資料庫管理系統的配置。
若要防護卡巴斯基安全管理中心資料移轉至或來自的資料庫,以及儲存於從未授權存取權限之資料庫的資料,您必須保障卡巴斯基安全管理中心與 SQL Server 間的通訊。提供安全通訊的最可靠方式是安裝卡巴斯基安全管理中心與 SQL Server 在相同的裝置並對這兩個應用程式使用共用的記憶體機制。在所有情況下,建議您使用 SSL 或 TLS 憑證來驗證 SQL Server 實例。您可使用來自信任的憑證授權單位 (CA) 或自簽發憑證。建議您使用來自信任 CA 的憑證,因為自簽發憑證僅提供有限防護。
SQL Server 驗證會分階段進行:
若您已有 SQL Server 的憑證,請略過此步驟。
SSL 憑證僅適用於早於 2016 (13.x) 的 SQL Server 版本。在 SQL Server 2016 (13.x) 和更新版本中,請使用 TLS 憑證。
例如,若要產生 TLS 憑證,請輸入 PowerShell 中的以下命令:
New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange
在命令中,若網域中包含主機,您必須取代 SQL_HOST_NAME 改為輸入 SQL Server 主機名稱,若網域未納入主機,請輸入主機完全合格的網域名稱 (FQDN)。相同名稱—主機名稱或 FQDN—必須在管理伺服器安裝精靈指定為 SQL Server 實例名稱。
請視平台在哪個 SQL Server 上執行參閱此階段的指示說明。請參閱正式文件以取得詳細資訊:
若要在容錯移轉叢集上使用憑證,您必須在容錯移轉叢集的各個節點安裝憑證。如需詳細資訊, 請參閱 Microsoft 檔案。
確保服務帳戶在哪個 SQL Server 服務下執行並擁有存取私密金鑰的完整控制權限。如需詳細資訊, 請參閱 Microsoft 檔案。
在管理伺服器裝置上,將憑證新增至信任的憑證清單。如需詳細資訊, 請參閱 Microsoft 檔案。
在管理伺服器裝置上,將環境變數 KLDBADO_UseEncryption
設定值為 1
。例如,在 Windows Server 2012 R2 中,您可在系統內容視窗按一下進階頁籤的環境變數來變更環境變數。新增變數,並將其命名為 KLDBADO_UseEncryption
,之後設定值為 1
。
若您使用 TLS 1.2 通訊協定,請額外進行以下事項:
KLDBADO_UseMSOLEDBSQL
的值設為 1
。例如,在 Windows Server 2012 R2 中,您可在系統內容視窗按一下進階頁籤的環境變數來變更環境變數。新增變數,並將其命名為 KLDBADO_UseMSOLEDBSQL
,之後設定值為 1
。若您使用已命名的 SQL Server 實例,請額外啟用 TCP/IP 通訊協定並將 TCP/IP 埠號指派給 SQL Server Database Engine。當您在管理伺服器安裝精靈中設定 SQL Server 連線時,請在 SQL Server 實例名稱欄位中指定 SQL Server 主機名稱與埠號。