Configuração da comunicação criptografada entre o Symantec Endpoint Protection Manager e o Microsoft SQL Server

O Symantec Endpoint Protection Manager usa um certificado para autenticar as comunicações entre o
Symantec Endpoint Protection
(SEPM) e os bancos de dados do Microsoft SQL Server Express ou do SQL Server. Você deve gerar o certificado e importá-lo no computador do
Symantec Endpoint Protection Manager
para que o SEPM se conecte a algum banco de dados do SQL Server. Se o certificado não existir, expirou ou está prestes a expirar, a conexão entre o SEPM e o banco de dados falhará.
Você pode instalar ou fazer upgrade do servidor de gerenciamento e de qualquer banco de dados do SQL Server, caso não tenha importado o certificado. No entanto, o Assistente para configuração do servidor de gerenciamento detecta se o certificado já expirou ou expira nos próximos 30 dias. O SEPM envia uma notificação todos os dias, até que se passem os 30 dias, para lembrar o administrador de importar o certificado. Você pode ver a seguinte mensagem:
Within the next 30 days, Symantec Endpoint Protection Manager will no longer be able to connect to the Microsoft SQL Server database because SQL Server uses a certificate that is about to expire.
Etapa 1: Gerar um certificado autoassinado
Se a sua organização ainda não tem um certificado assinado por uma autoridade de certificação (CA, Certificate Authority), você deverá gerar um. Essa etapa descreve como gerar e substituir o certificado autoassinado padrão do
Symantec Endpoint Protection Manager
(SEPM) por um certificado assinado pela CA.
Etapa 2: Configurar um certificado permanente para o SQL Server
Você deve ativar conexões criptografadas para uma instância do Mecanismo de Banco de Dados do SQL Server e deve usar o SQL Server Configuration Manager para especificar o certificado. Consulte "Configurar o SQL Server" em: Habilitar conexões criptografadas com o Mecanismo de Banco de Dados
Etapa 3: Importar o certificado do SQL Server no Windows no computador do
Symantec Endpoint Protection Manager
O computador do servidor de gerenciamento deve ter sido provisionado com o certificado público do SQL Server. Para provisionar o certificado no computador do servidor de gerenciamento, importe-o no Windows. O computador do servidor deve ser configurado para confiar na autoridade raiz do certificado.
  1. No Windows Server em que o SEPM está instalado, clique com o botão direito do mouse no certificado.
  2. No Assistente de Importação de Certificado, siga as etapas para importar o certificado.
    Em
    Local do Repositório
    , selecione
    Máquina Local
    :
    Selecione
    Colocar todos os certificados no repositório a seguir
    , clique em
    Procurar
    e, na caixa de diálogo Selecionar Repositório de Certificados, clique em
    Autoridades de Certificação Raiz Confiáveis
    :
  3. Clique em
    OK
    e em
    Avançar
    .
Etapa 4: Configurar permissões para a pasta
jre11
Se o SQL Server tiver sido configurado usando um administrador de domínio com a autenticação do Windows, o administrador de domínio precisará ter as permissões
Ler e Executar
,
Listar Conteúdo da Pasta
e
Ler
para a pasta
jre11
no servidor do
Symantec Endpoint Protection Manager
.
  1. No servidor do Symantec Endpoint Protection Manager, vá para a pasta
    \...\Arquivos de Programas (x86)\Symantec\Symantec Endpoint Protection Manager
    , clique com o botão direito na pasta
    jre11
    e clique em
    Propriedades
    .
  2. Na janela de propriedades do arquivo, na guia
    Segurança
    , clique em
    Avançado
    .
  3. Na janela
    Configurações de Segurança Avançadas
    , na guia
    Permissões
    , clique em
    Adicionar
    .
  4. Na janela
    Entrada de Permissão
    , clique em
    Selecionar uma entidade de segurança
    .
  5. Na janela
    Selecionar Usuário, Computador, Conta de serviço ou Grupo
    , adicione o usuário
    domainadmin
    e clique em
    OK
    .
  6. Na janela
    Entrada de Permissão
    , clique em
    OK
    .
  7. Na janela
    Configurações de Segurança Avançadas
    , na guia
    Permissões
    , selecione
    domainadmin
    e clique em
    Alterar
    .
  8. Na janela
    Selecionar Usuário, Computador, Conta de serviço ou Grupo
    , adicione o usuário
    domainadmin
    novamente e clique em
    OK
    .
  9. Na janela
    Configurações de Segurança Avançadas
    , marque
    Substituir o proprietário em subcontêineres e objetos
    , marque
    Substituir todas as entradas de permissão de objetos filho por entradas de permissão herdáveis desse objeto
    , clique em
    Habilitar herança
    e clique em
    Aplicar
    .
  10. Clique em
    Sim
    e em
    OK
    para confirmar.
  11. Na janela de propriedades do arquivo, certifique-se de que agora o usuário
    domainadmin
    tenha todas as permissões necessárias e clique em
    OK
    .
Etapa 5: Abra o Assistente para configuração do servidor de gerenciamento e complete a Configuração do servidor com a opção
Autenticação do Windows
Para abrir o assistente, vá para a pasta
\...\Arquivos de Programas (x86)\Symantec\Symantec Endpoint Protection Manager\bin
e clique duas vezes no arquivo
sca.exe
.
Etapa 6: Verifique se a comunicação está criptografada e se está usando o certificado do SQL Server
  1. No servidor de gerenciamento, abra o seguinte arquivo:
    C:\Arquivos de Programas (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    e certifique-se de que
    encrypt=true
    e
    trustServerCertificate=false
    .
  2. No SQL Server, abra
    Protocols for MSSQLSERVER Properties
    e verifique se
    Force Encryption=Yes
    .
  3. No SQL Server, execute a seguinte consulta para verificar se a conexão entre o
    Symantec Endpoint Protection Manager
    e o SQL Server está criptografada:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Verifique se
    encrypt_option=TRUE
    .