Scenariusz: Autoryzacja Microsoft SQL Server
Informacje w tej sekcji są stosowane tylko do konfiguracji, w których Kaspersky Security Center używa Microsoft SQL Server jako systemu zarządzania bazą danych.
Aby chronić dane Kaspersky Security Center przesyłane do lub z bazy danych oraz dane przechowywane w bazie danych przed nieautoryzowanym dostępem, musisz zabezpieczyć komunikację między Kaspersky Security Center a SQL Server. Najbardziej rozsądny sposób zapewnienia bezpiecznej komunikacji to zainstalowanie Kaspersky Security Center i SQL Server na tym samym urządzeniu i używanie mechanizmu pamięci współużytkowanej dla obu aplikacji. We wszystkich pozostałych przypadkach zalecane jest użycie certyfikatu SSL lub TLS do autoryzacji instancji SQL Server. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Zalecane jest użycie certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.
Autoryzacja SQL Server odbywa się w etapach:
- Generowanie certyfikatu SSL lub TLS z podpisem własnym dla SQL Server zgodnie z wymaganiami certyfikatu
Jeśli już posiadasz certyfikat dla SQL Server, pomiń ten krok.
Certyfikat SSL jest stosowany tylko do wersji SQL Server wcześniejszych niż 2016 (13.x). W SQL Server 2016 (13.x) i nowszych wersjach użyj certyfikatu TLS.
Na przykład, aby wygenerować certyfikat TLS, wprowadź następujące polecenie w PowerShell:
New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange
W poleceniu zamiast SQL_HOST_NAME należy wpisać nazwę hosta SQL Server, jeśli host znajduje się w domenie lub wpisz w pełni kwalifikowaną nazwę domeny (FQDN) hosta, jeśli host nie znajduje się w domenie. Taka sama nazwa—nazwa hosta lub FQDN—musi być określona jako nazwa instancji SQL Server w Kreatorze instalacji Serwera administracyjnego.
- Dodawanie certyfikatu na instancji SQL Server
Instrukcje dla tego etapu zależą od platformy, na której uruchomiony jest SQL Server. Więcej informacji można znaleźć w oficjalnej dokumentacji:
Aby użyć certyfikatu na klastrze typu failover, należy zainstalować certyfikat na każdym węźle klastra typu failover. Więcej informacji znajdziesz w dokumentacji Microsoft.
- Przypisywanie uprawnień konta usługi
Upewnij się, że konto usługi, z poziomu którego usługa SQL Server jest uruchomiona, posiada uprawnienie dostępu Pełna kontrola do kluczy prywatnych. Więcej informacji znajdziesz w dokumentacji Microsoft.
- Dodawanie certyfikatu do listy zaufanych certyfikatów dla Kaspersky Security Center
Na urządzeniu Serwer administracyjny dodaj certyfikat do listy zaufanych certyfikatów. Więcej informacji znajdziesz w dokumentacji Microsoft.
- Włączanie połączeń szyfrowanych między instancją SQL Server a Kaspersky Security Center
Na urządzeniu Serwera administracyjnego ustaw wartość
1
dla zmiennej środowiskowejKLDBADO_UseEncryption
. Na przykład, w systemie Windows Server 2012 R2 możesz zmienić zmienne środowiskowe, klikając Zmienne środowiskowe na zakładce Zaawansowane okna Właściwości systemu. Dodaj nową zmienną, nazwij jąKLDBADO_UseEncryption
, a następnie ustaw wartość1
. - Dodatkowa konfiguracja do użycia protokołu TLS 1.2
Jeśli używasz protokołu TLS 1.2, wówczas dodatkowo wykonaj następujące czynności:
- Upewnij się, że zainstalowana wersja SQL Server to 64-bitowa aplikacja.
- Zainstaluj sterownik Microsoft OLE DB Driver na urządzeniu Serwera administracyjnego. Więcej informacji znajdziesz w dokumentacji Microsoft.
- Na urządzeniu Serwera administracyjnego ustaw wartość
1
dla zmiennej środowiskowejKLDBADO_UseMSOLEDBSQL
. Na przykład, w systemie Windows Server 2012 R2 możesz zmienić zmienne środowiskowe, klikając Zmienne środowiskowe na zakładce Zaawansowane okna Właściwości systemu. Dodaj nową zmienną, nazwij jąKLDBADO_UseMSOLEDBSQL
, a następnie ustaw wartość1
.
- Włączanie użycia protokołu TCP/IP na nazwanej instancji SQL Server
Jeśli używasz nazwanej instancji SQL Server, dodatkowo włącz użycie protokołu TCP/IP i przypisz numer portu TCP/IP do aparatu bazy danych SQL Server. Jeśli skonfigurujesz połączenie SQL Server w Kreatorze instalacji Serwera administracyjnego, określ numer portu oraz nazwę hosta SQL Server w polu Nazwa instancji SQL Server.