Cenário: Autenticação do Microsoft SQL Server

5 de abril de 2024

ID 198526

As informações nesta seção são aplicáveis apenas às configurações nas quais o Kaspersky Security Center usa o Microsoft SQL Server como um sistema de gerenciamento de banco de dados.

Para proteger os dados do Kaspersky Security Center transferidos para ou do banco de dados e os dados armazenados no banco de dados contra o acesso não autorizado, é necessário proteger a comunicação entre o Kaspersky Security Center e o SQL Server. A maneira mais confiável de fornecer comunicação segura é instalando o Kaspersky Security Center e o SQL Server no mesmo dispositivo e usando o mecanismo de memória compartilhada para os dois aplicativos. Em todos os outros casos, recomendamos usar um certificado SSL ou TLS para autenticar a instância do SQL Server. É possível usar um certificado de uma autoridade de certificação (AC) confiável ou um certificado autoassinado. Recomendamos usar um certificado de uma AC confiável, porque um certificado autoassinado fornece apenas proteção limitada.

A autenticação do SQL Server continua em estágios:

  1. Geração de um certificado SSL ou TLS autoassinado para SQL Server de acordo com os requisitos de certificado

    Se você já possui um certificado para o SQL Server, pule esta etapa.

    Um certificado SSL é aplicável apenas às versões do SQL Server anteriores a 2016 (13.x). No SQL Server 2016 (13.x) e versões posteriores, use um certificado TLS.

    Por exemplo, para gerar um certificado TLS, insira o seguinte comando no PowerShell:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    No comando, em vez que SQL_HOST_NAME, é necessário inserir o nome do host do SQL Server se o host estiver incluso no domínio, ou inserir o nome de domínio totalmente qualificado (FQDN) do host se o host não estiver incluído no domínio. O mesmo nome – nome do host ou FQDN – deve ser especificado como um nome de instância do SQL Server no Assistente de instalação do Servidor de Administração.

  2. Adicionar o certificado na instância do SQL Server

    As instruções para este estágio dependem da plataforma em que o SQL Server está sendo executado. Consulte a documentação oficial para obter detalhes:

    Para usar o certificado em um cluster de failover, é necessário instalar o certificado em cada nó do cluster de failover. Para detalhes, consulte a documentação da Microsoft.

  3. Atribuição das permissões de conta de serviço

    Verifique se a conta de serviço na qual o serviço do SQL Server é executado tem a permissão de Controle total para acessar chaves privadas. Para detalhes, consulte a documentação da Microsoft.

  4. Adição do certificado à lista de certificados confiáveis do Kaspersky Security Center

    No dispositivo do Servidor de Administração, adicione o certificado à lista de certificados confiáveis. Para detalhes, consulte a documentação da Microsoft.

  5. Ativação de conexões criptografadas entre a instância do SQL Server e o Kaspersky Security Center

    No dispositivo Servidor de Administração, configure o valor 1 para a variável de ambiente KLDBADO_UseEncryption. Por exemplo, no Windows Server 2012 R2, é possível alterar as variáveis de ambiente clicando em Variáveis de ambiente na guia Avançado da janela de Propriedades do Sistema. Adicione uma nova variável, nomeie-a KLDBADO_UseEncryption e defina o valor 1.

  6. Configuração adicional para usar o protocolo TLS 1.2

    Se você usa o protocolo TLS 1.2, faça também o seguinte:

    • Verifique se a versão instalada do SQL Server é um aplicativo de 64 bits.
    • Instale o driver Microsoft OLE DB no dispositivo do Servidor de Administração. Para detalhes, consulte a documentação da Microsoft.
    • No dispositivo do Servidor de Administração, configure o valor 1 para a variável de ambiente KLDBADO_UseMSOLEDBSQL. Por exemplo, no Windows Server 2012 R2, é possível alterar as variáveis de ambiente clicando em Variáveis de ambiente na guia Avançado da janela de Propriedades do Sistema. Adicione uma nova variável, nomeie-a de KLDBADO_UseMSOLEDBSQL e defina o valor para 1.

      Caso a versão do driver OLE DB seja 19 ou mais recente, defina também o valor MSOLEDBSQL19 para a variável de ambiente KLDBADO_ProviderName.

  7. Ativação do uso do protocolo TCP/IP em uma instância nomeada do SQL Server

    Ao usar uma instância nomeada do SQL Server, ative adicionalmente o uso do protocolo TCP/IP e atribua um número de porta TCP/IP ao Mecanismo de Banco de Dados do SQL Server. Ao configurar a conexão do SQL Server no Assistente de instalação do Servidor de Administração, especifique o nome do host do SQL Server e o número da porta no campo Nome da instância do SQL Server.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.