シナリオ:Microsoft SQL Server の認証
このセクションの情報は、Kaspersky Security Center が Microsoft SQL Server をデータベース管理システムとして使用する設定のみを対象としています。
データベースと送受信する Kaspersky Security Center のデータおよびデータベースに保存されたデータを不正アクセスから保護するには、Kaspersky Security Center と SQL Server 間の通信を保護する必要があります。セキュアな通信を実現する最も確実な方法は、Kaspersky Security Center と SQL Server を同じデバイスにインストールし、両方のアプリケーションで共有メモリ機構を使用する方法です。それ以外の場合は、SSL または TLS 証明書を使って SQL Server インスタンスを認証することを推奨します。信頼できる証明機関(CA)の証明書または自己署名証明書を使用できます。いずれにしても、自己署名証明書による保護は限られているため、信頼できる CA の証明書を使用することを推奨します。
SQL Server 認証は段階的に行われます:
- 「Certificate Requirements(証明書の要件)」に従った、SQL Server 用の SSL または TLS 自己署名証明書の生成
ISQL Server 用の証明書が既にある場合は、このステップを省略してください。
SSL 証明書は、2016(13.x)より前のバージョンの SQL Server のみが対象です。SQL Server 2016(13.x)以降のバージョンには、TLS 証明書を使用します。
たとえば、TLS 証明書を生成するには、PowerShell で次のコマンドを実行します:
New-SelfSignedCertificate -DnsName SQL_HOST_NAME -CertStoreLocation cert:\LocalMachine -KeySpec KeyExchange
ホストがドメインに含まれている場合、コマンドで SQL_HOST_NAME の代わりに SQL Server ホスト名を入力する必要があります。ホストがドメインに含まれていない場合は、ホストの完全修飾ドメイン名(FQDN)を入力する必要があります。管理サーバーのセットアップウィザードで、同じ名前(ホスト名または FQDN)を SQL Server インスタンス名に指定する必要があります。
- SQL Server インスタンスへの証明書の追加
この段階の手順は、SQL Server が実行されているプラットフォームによって異なります。詳細については、該当する製品の公式ドキュメントを参照してください:
フェールオーバークラスターで証明書を使用するには、フェールオーバークラスターの各ノードに証明書をインストールする必要があります。詳細は、Microsoft のドキュメントを参照してください。
- サービスアカウントの権限の割り当て
SQL Server サービスが実行されているサービスアカウントに、秘密鍵にアクセスするためのフルコントロール権限があることを確認してください。詳細は、Microsoft のドキュメントを参照してください。
- Kaspersky Security Center 用の信頼できる証明書リストへの証明書の追加
管理サーバーデバイス上の信頼できる証明書リストに証明書を追加します。詳細は、Microsoft のドキュメントを参照してください。
- SQL Server インスタンスと Kaspersky Security Center 間での暗号化された通信の有効化
管理サーバーデバイスで、環境変数
KLDBADO_UseEncryption
に値1
を設定します。たとえば、Windows Server 2012 R2 の場合、[システムのプロパティ]ウィンドウの[詳細]タブにある[環境変数]をクリックして、環境編集を変更できます。新しい変数を追加し、KLDBADO_UseEncryption
という名前を付けてから、値1
を設定します。 - TLS 1.2 プロトコルを使用する追加の設定
TLS 1.2 プロトコルを使用する場合は、さらに次の手順を実行します:
- インストールした SQL Server のバージョンが 64 ビットアプリケーションであることを確認します。
- Microsoft OLE DB ドライバーを管理サーバーデバイスにインストールします。詳細は、Microsoft のドキュメントを参照してください。
- 管理サーバーデバイスで、環境変数
KLDBADO_UseMSOLEDBSQL
に値1
を設定します。たとえば、Windows Server 2012 R2 の場合、[システムのプロパティ]ウィンドウの[詳細]タブにある[環境変数]をクリックして、環境編集を変更できます。新しい変数を追加し、KLDBADO_UseMSOLEDBSQL
という名前を付けてから、値1
を設定します。OLE DB ドライバーのバージョンが 19 以降の場合は、値「
MSOLEDBSQL19
」を環境変数「KLDBADO_ProviderName
」にも設定します。
- SQL Server の名前付きインスタンスでの TCP/IP プロトコルの使用の有効化
SQL Server の名前付きインスタンスを使用する場合はさらに、TCP/IP プロトコルの使用を有効化し、SQL Server データベースエンジンに TCP/IP ポート番号を割り当てます。管理サーバーのセットアップウィザードで SQL Server の接続を設定する際には、SQL Server のホスト名とポート番号を[DBMS のインスタンス名]に指定します。