Scenario: Autenticazione di Microsoft SQL Server

8 aprile 2024

ID 198526

Le informazioni contenute in questa sezione sono applicabili solo alle configurazioni in cui Kaspersky Security Center utilizza Microsoft SQL Server come sistema di gestione database.

Per proteggere i dati Kaspersky Security Center trasferiti da o verso il database e i dati archiviati nel database da accessi non autorizzati, è necessario proteggere le comunicazioni tra Kaspersky Security Center e SQL Server. Il modo più affidabile per garantire comunicazioni sicure è installare Kaspersky Security Center e SQL Server nello stesso dispositivo e utilizzare il meccanismo di memoria condivisa per entrambe le applicazioni. In tutti gli altri casi, è consigliabile utilizzare un certificato SSL o TLS per autenticare l'istanza di SQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. È consigliabile utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato garantisce solo una protezione limitata.

L'autenticazione di SQL Server procede per fasi:

  1. Generazione di un certificato SSL o TLS autofirmato per SQL Server in base ai requisiti del certificato

    Se si dispone già di un certificato per SQL Server, saltare questo passaggio.

    Un certificato SSL è applicabile solo alle versioni di SQL Server precedenti al 2016 (13.x). In SQL Server 2016 (13.x) e versioni successive, utilizzare un certificato TLS.

    Ad esempio, per generare un certificato TLS immettere il comando seguente in PowerShell:

    New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange

    Nel comando, anziché SQL_HOST_NAME è necessario digitare il nome host di SQL Server se l'host è incluso nel dominio o digitare il nome di dominio completo dell'host se l'host non è incluso nel dominio. Lo stesso nome, nome host o nome di dominio completo, deve essere specificato come nome di istanza di SQL nell'Installazione guidata di Administration Server.

  2. Aggiunta del certificato nell'istanza SQL Server

    Le istruzioni per questo passaggio dipendono dalla piattaforma in cui è in esecuzione SQL Server. Fare riferimento alla documentazione ufficiale per ulteriori dettagli:

    Per utilizzare il certificato in un cluster di failover, è necessario installare il certificato in ciascun nodo del cluster di failover. Per i dettagli, consultare la documentazione Microsoft.

  3. Assegnazione delle autorizzazioni dell'account del servizio

    Assicurarsi che l'account del servizio con cui viene eseguito il servizio SQL Server disponga dell'autorizzazione di controllo completo per accedere alle chiavi private. Per i dettagli, consultare la documentazione Microsoft.

  4. Aggiunta del certificato all'elenco dei certificati attendibili per Kaspersky Security Center

    Nel dispositivo Administration Server aggiungere il certificato all'elenco dei certificati attendibili. Per i dettagli, consultare la documentazione Microsoft.

  5. Abilitazione delle connessioni criptate tra l'istanza di SQL Server e Kaspersky Security Center

    Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseEncryption. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseEncryption, quindi impostare il valore 1.

  6. Configurazione aggiuntiva per l'utilizzo del protocollo TLS 1.2

    Se si utilizza il protocollo TLS 1.2, eseguire anche le seguenti operazioni:

    • Assicurarsi che la versione installata di SQL Server sia un'applicazione a 64 bit.
    • Installare il driver Microsoft OLE DB nel dispositivo Administration Server. Per i dettagli, consultare la documentazione Microsoft.
    • Nel dispositivo Administration Server impostare il valore 1 per la variabile di ambiente KLDBADO_UseMSOLEDBSQL. Ad esempio, in Windows Server 2012 R2 è possibile modificare le variabili di ambiente facendo clic su Variabili di ambiente nella scheda Avanzate della finestra Proprietà di sistema. Aggiungere una nuova variabile, denominarla KLDBADO_UseMSOLEDBSQL, quindi impostare il valore 1.

      Se la versione del driver OLE DB è 19 o successiva, impostare anche il valore MSOLEDBSQL19 sulla variabile di ambiente KLDBADO_ProviderName.

  7. Abilitazione dell'utilizzo del protocollo TCP/IP in un'istanza denominata di SQL Server

    Se si utilizza un'istanza denominata di SQL Server, abilitare inoltre l'utilizzo del protocollo TCP/IP e assegnare un numero di porta TCP/IP al motore del database di SQL Server. Quando si configura la connessione SQL Server nell'Installazione guidata di Administration Server, specificare il nome host di SQL Server e il numero di porta nel campo Nome istanza SQL Server.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.