Scenariusz: Autoryzacja Microsoft SQL Server

19 marca 2024

ID 198526

Informacje w tej sekcji są stosowane tylko do konfiguracji, w których Kaspersky Security Center używa Microsoft SQL Server jako systemu zarządzania bazą danych.

Aby chronić dane Kaspersky Security Center przesyłane do lub z bazy danych oraz dane przechowywane w bazie danych przed nieautoryzowanym dostępem, musisz zabezpieczyć komunikację między Kaspersky Security Center a SQL Server. Najbardziej rozsądny sposób zapewnienia bezpiecznej komunikacji to zainstalowanie Kaspersky Security Center i SQL Server na tym samym urządzeniu i używanie mechanizmu pamięci współużytkowanej dla obu aplikacji. We wszystkich pozostałych przypadkach zalecane jest użycie certyfikatu SSL lub TLS do autoryzacji instancji SQL Server. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Zalecane jest użycie certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.

Autoryzacja SQL Server odbywa się w etapach:

  1. Generowanie certyfikatu SSL lub TLS z podpisem własnym dla SQL Server zgodnie z wymaganiami certyfikatu

    Jeśli już posiadasz certyfikat dla SQL Server, pomiń ten krok.

    Certyfikat SSL jest stosowany tylko do wersji SQL Server wcześniejszych niż 2016 (13.x). W SQL Server 2016 (13.x) i nowszych wersjach użyj certyfikatu TLS.

    Na przykład, aby wygenerować certyfikat TLS, wprowadź następujące polecenie w PowerShell:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    W poleceniu zamiast SQL_HOST_NAME należy wpisać nazwę hosta SQL Server, jeśli host znajduje się w domenie lub wpisz w pełni kwalifikowaną nazwę domeny (FQDN) hosta, jeśli host nie znajduje się w domenie. Taka sama nazwa — nazwa hosta lub FQDN — musi być określona jako nazwa instancji SQL Server w kreatorze instalacji Serwera administracyjnego.

  2. Dodawanie certyfikatu na instancji SQL Server

    Instrukcje dla tego etapu zależą od platformy, na której uruchomiony jest SQL Server. Więcej informacji można znaleźć w oficjalnej dokumentacji:

    Aby użyć certyfikatu na klastrze typu failover, należy zainstalować certyfikat na każdym węźle klastra typu failover. Więcej informacji znajdziesz w dokumentacji Microsoft.

  3. Przypisywanie uprawnień konta usługi

    Upewnij się, że konto usługi, z poziomu którego usługa SQL Server jest uruchomiona, posiada uprawnienie dostępu Pełna kontrola do kluczy prywatnych. Więcej informacji znajdziesz w dokumentacji Microsoft.

  4. Dodawanie certyfikatu do listy zaufanych certyfikatów dla Kaspersky Security Center

    Na urządzeniu Serwer administracyjny dodaj certyfikat do listy zaufanych certyfikatów. Więcej informacji znajdziesz w dokumentacji Microsoft.

  5. Włączanie połączeń szyfrowanych między instancją SQL Server a Kaspersky Security Center

    Na urządzeniu Serwera administracyjnego ustaw wartość 1 dla zmiennej środowiskowej KLDBADO_UseEncryption. Na przykład, w systemie Windows Server 2012 R2 możesz zmienić zmienne środowiskowe, klikając Zmienne środowiskowe na zakładce Zaawansowane okna Właściwości systemu. Dodaj nową zmienną, nazwij ją KLDBADO_UseEncryption, a następnie ustaw wartość 1.

  6. Dodatkowa konfiguracja do użycia protokołu TLS 1.2

    Jeśli używasz protokołu TLS 1.2, wówczas dodatkowo wykonaj następujące czynności:

    • Upewnij się, że zainstalowana wersja SQL Server to 64-bitowa aplikacja.
    • Zainstaluj sterownik Microsoft OLE DB Driver na urządzeniu Serwera administracyjnego. Więcej informacji znajdziesz w dokumentacji Microsoft.
    • Na urządzeniu Serwera administracyjnego ustaw wartość 1 dla zmiennej środowiskowej KLDBADO_UseMSOLEDBSQL. Na przykład, w systemie Windows Server 2012 R2 możesz zmienić zmienne środowiskowe, klikając Zmienne środowiskowe na zakładce Zaawansowane okna Właściwości systemu. Dodaj nową zmienną, nazwij ją KLDBADO_UseMSOLEDBSQL, a następnie ustaw wartość 1.

      Jeśli wersja sterownika OLE DB to 19 lub nowsza, ustaw również wartość MSOLEDBSQL19 na zmienną środowiskową KLDBADO_ProviderName.

  7. Włączanie użycia protokołu TCP/IP na nazwanej instancji SQL Server

    Jeśli używasz nazwanej instancji SQL Server, dodatkowo włącz użycie protokołu TCP/IP i przypisz numer portu TCP/IP do aparatu bazy danych SQL Server. Jeśli skonfigurujesz połączenie SQL Server w kreatorze instalacji Serwera administracyjnego, określ numer portu oraz nazwę hosta SQL Server w polu Nazwa instancji SQL Server.

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.