Konfigurace šifrované komunikace mezi aplikací Symantec Endpoint Protection Manager a databází Microsoft SQL Server

Aplikace Symantec Endpoint Protection Manager používá certifikát k ověření komunikace mezi aplikací
Symantec Endpoint Protection
(SEPM) a databázemi Microsoft SQL Server Express nebo SQL Server. Pokud chcete, aby se SEPM připojil k některé databázi SQL Server, je nutné vygenerovat certifikát a importovat ho do počítače
Symantec Endpoint Protection Manager
. Pokud certifikát neexistuje, vypršela jeho platnost nebo brzy vyprší, propojení mezi SEPM a databází se nezdaří.
Pokud jste certifikát neimportovali, můžete nainstalovat nebo upgradovat server pro správu a databázi SQL Server. Průvodce konfigurací serveru pro správu však zjistí, zda platnost certifikátu již vypršela nebo zda vyprší během následujících 30 dnů. Aplikace SEPM odesílá oznámení každý den, až do uplynutí lhůty 30 dnů, aby správci připomenula potřebu importovat certifikát. Může se zobrazit následující zpráva:
Během následujících 30 dnů se již aplikace Symantec Endpoint Protection Manager nebude moci připojit k databázi Microsoft SQL Server, protože SQL Server používá certifikát, jehož platnost brzy vyprší.
Krok 1: Vygenerování certifikátu podepsaného samým sebou
Pokud vaše organizace ještě nemá certifikát podepsaný certifikační autoritou (CA), je nutné ho vygenerovat. Tento krok popisuje, jak vygenerovat a nahradit výchozí certifikát aplikace
Symantec Endpoint Protection Manager
(SEPM) podepsaný sám sebou certifikátem podepsaným certifikační autoritou.
Krok 2: Konfigurace trvalého certifikátu pro SQL Server
Je nutné povolit šifrovaná připojení pro instanci databázového stroje SQL Server a k určení certifikátu je nutné použít nástroj SQL Server Configuration Manager. Viz „Konfigurace serveru SQL Server“ v tématu: Enable encrypted connections to the Database Engine (Povolit šifrovaná připojení k databázovému stroji)
Krok 3: Import certifikátu serveru SQL Server do systému Windows v počítači aplikace
Symantec Endpoint Protection Manager
Počítač serveru pro správu musí mít zřízený veřejný certifikát serveru SQL Server. Pokud chcete certifikát zřídit v počítači serveru pro správu, importujte ho do systému Windows. Počítač serveru musí být nastaven tak, aby důvěřoval kořenové autoritě certifikátu.
  1. V systému Windows Server, kde je nainstalována aplikace SEPM, klikněte pravým tlačítkem myši na certifikát.
  2. V Průvodci importem certifikátu se řiďte kroky uvedenými k importu certifikátu.
    V možnosti
    Umístění úložiště
    vyberte položku
    Místní počítač
    :
    Vyberte možnost
    Umístit všechny certifikáty do následujícího úložiště
    , klikněte na možnost
    Procházet
    a v dialogovém okně Výběr úložiště certifikátů klikněte na možnost
    Důvěryhodné kořenové certifikační autority
    :
  3. Klikněte na tlačítko
    OK
    a poté na tlačítko
    Další
    .
Krok 4: Konfigurace oprávnění ke složce
jre11
Pokud je server SQL Server nakonfigurován pomocí správce domény s ověřením systému Windows, bude správce domény potřebovat oprávnění
Čtení a spouštění
,
Vypsat obsah složek
a
Čtení
ke složce
jre11
na serveru aplikace
Symantec Endpoint Protection Manager
.
  1. Na serveru Symantec Endpoint Protection Manager přejděte do složky
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    , klikněte pravým tlačítkem na složku
    jre11
    a klikněte na možnost
    Vlastnosti
    .
  2. V okně vlastností souboru na kartě
    Zabezpečení
    klikněte na možnost
    Rozšíření
    .
  3. V okně
    Upřesnit nastavení zabezpečení
    na kartě
    Oprávnění
    klikněte na možnost
    Přidat
    .
  4. V okně
    Položka oprávnění
    klikněte na možnost
    Vybrat objekt zabezpečení
    .
  5. V okně
    Výběr uživatele, počítače, účtu služby nebo skupiny
    přidejte uživatele
    domainadmin
    a klikněte na tlačítko
    OK
    .
  6. V okně
    Položka oprávnění
    klikněte na možnost
    OK
    .
  7. V okně
    Upřesnit nastavení zabezpečení
    na kartě
    Oprávnění
    vyberte možnost
    domainadmin
    a klikněte na možnost
    Změnit
    .
  8. V okně
    Výběr uživatele, počítače, účtu služby nebo skupiny
    přidejte opět uživatele
    domainadmin
    a klikněte na tlačítko
    OK
    .
  9. V okně
    Upřesnit nastavení zabezpečení
    zaškrtněte možnost
    Nahradit vlastníka v subkontejnerech a objektech
    , zaškrtněte možnost
    Přepsat všechny položky oprávnění podřízených objektů zděditelnými položkami oprávnění tohoto objektu
    , klikněte na možnost
    Povolit dědičnost
    a klikněte na možnost
    Použít
    .
  10. Potvrďte kliknutím na tlačítko
    Ano
    a
    OK
    .
  11. V okně vlastností souboru zkontrolujte, zda má uživatel
    domainadmin
    všechna požadovaná oprávnění, a klikněte na tlačítko
    OK
    .
Krok 5: Otevření průvodce konfigurací serveru pro správu a dokončení konfiguraci serveru pomocí možnosti
Ověření systému Windows
Pokud chcete průvodce otevřít, přejděte do složky
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
a dvakrát klikněte na soubor
sca.exe
.
Krok 6: Kontrola, zda je komunikace šifrovaná a zda používá certifikát serveru SQL
  1. Na serveru pro správu otevřete následující soubor:
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    a dbejte na to, aby nastavení vypadala takto
    encrypt=true
    a
    trustServerCertificate=false
    .
  2. Na serveru SQL Server otevřete možnost
    Protokoly pro vlastnosti MSSQLSERVER
    a zkontrolujte nastavení
    Vynutit šifrování=ano
    .
  3. Na serveru SQL Server spusťte následující dotaz, abyste prověřili, zda je spojení mezi aplikací
    Symantec Endpoint Protection Manager
    a serverem SQL Server šifrované:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Zkontrolujte, zda je nastaveno
    encrypt_option=TRUE
    .