Konfigurieren verschlüsselter Kommunikation zwischen Symantec Endpoint Protection Manager und Microsoft SQL Server

Der Symantec Endpoint Protection Manager verwendet ein Zertifikat, um die Kommunikation zwischen dem
Symantec Endpoint Protection
(SEPM) und der Microsoft SQL Server Express- oder SQL Server-Datenbank zu authentifizieren. Sie müssen das Zertifikat generieren und in den
Symantec Endpoint Protection Manager
-Computer importieren, damit SEPM eine Verbindung zu einer der SQL Server-Datenbanken herstellen kann. Wenn das Zertifikat nicht vorhanden ist, abgelaufen ist oder in Kürze abläuft, schlägt die Verbindung zwischen SEPM und Datenbank fehl.
Sie können den Management-Server und eine der SQL Server-Datenbanken installieren oder aktualisieren, wenn Sie das Zertifikat nicht importiert haben. Der Management-Server-Konfigurationsassistent erkennt jedoch, ob das Zertifikat bereits abgelaufen ist oder innerhalb der nächsten 30 Tage abläuft. SEPM sendet täglich bis zum Ablauf der 30 Tage eine Benachrichtigung, um den Administrator an den Import des Zertifikats zu erinnern. Möglicherweise wird folgende Meldung angezeigt:
Within the next 30 days, Symantec Endpoint Protection Manager will no longer be able to connect to the Microsoft SQL Server database because SQL Server uses a certificate that is about to expire.
(Innerhalb der nächsten 30 Tage kann Symantec Endpoint Protection Manager keine Verbindung mehr zur Microsoft SQL Server-Datenbank herstellen, da SQL Server ein Zertifikat verwendet, das in Kürze abläuft.)
Schritt 1: Generieren eines selbstsigniertes Zertifikats
Wenn Ihre Organisation noch nicht über ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat verfügt, müssen Sie ein Zertifikat generieren. In diesem Schritt wird beschrieben, wie Sie ein solches Zertifikat generieren und das standardmäßige selbstsignierte
Symantec Endpoint Protection Manager
-Zertifikat (SEPM) durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen.
Schritt 2: Konfigurieren eines permanenten Zertifikats für SQL Server
Sie müssen verschlüsselte Verbindungen für eine Instanz der SQL Server-Datenbank-Engine aktivieren und SQL Server-Konfigurations-Manager verwenden, um das Zertifikat anzugeben. Weitere Informationen finden Sie unter "Konfigurieren von SQL Server" unter Aktivieren verschlüsselter Verbindungen zur Datenbank-Engine.
Schritt 3: Importieren des SQL Server-Zertifikats in Windows auf dem
Symantec Endpoint Protection Manager
-Computer
Auf dem Management-Server-Computer muss das öffentliche SQL Server-Zertifikat bereitgestellt werden. Um das Zertifikat auf dem Management-Server-Computer bereitzustellen, importieren Sie es in Windows. Der Server-Computer muss so eingerichtet werden, dass die Stammzertifizierungsstelle als vertrauenswürdig eingestuft wird.
  1. Klicken Sie auf dem Windows-Server, auf dem SEPM installiert ist, mit der rechten Maustaste auf das Zertifikat.
  2. Führen Sie im Zertifikatimport-Assistenten die Schritte für den Import des Zertifikats aus.
    Wählen Sie unter
    Speicherort
    die Option
    Lokaler Computer
    aus:
    Wählen Sie
    Alle Zertifikate in folgendem Speicher speichern
    aus, klicken Sie auf
    Durchsuchen
    und dann im Dialogfeld "Zertifikatspeicher auswählen" auf
    Vertrauenswürdige Stammzertifizierungsstellen
    :
  3. Klicken Sie auf "
    OK
    " und dann auf "
    Weiter
    ".
Schritt 4: Konfigurieren der Berechtigungen für den Ordner
jre11
Wenn Ihr SQL Server für die Verwendung eines Domänenadministrators mit Windows-Authentifizierung konfiguriert ist, benötigt der Domänenadministrator Berechtigungen zum
Schreiben und Ausführen
und zum
Auflisten der Ordnerinhalte
sowie
Leseberechtigungen
für den Ordner
jre11
auf dem
Symantec Endpoint Protection Manager
-Server.
  1. Öffnen Sie auf dem Symantec Endpoint Protection Manager-Server den Ordner
    \...\Programme (x86)\Symantec\Symantec Endpoint Protection Manager
    , klicken Sie mit der rechten Maustaste auf den Ordner
    jre11
    , und klicken Sie auf
    Eigenschaften
    .
  2. Klicken Sie im Fenster mit den Dateieigenschaften auf der Registerkarte
    Sicherheit
    auf
    Erweitert
    .
  3. Klicken Sie im Fenster
    Erweiterte Sicherheitseinstellungen
    auf der Registerkarte
    Berechtigungen
    auf
    Hinzufügen
    .
  4. Klicken Sie im Fenster
    Berechtigungseintrag
    auf
    Prinzipal auswählen
    .
  5. Fügen Sie im Fenster
    Benutzer, Computer, Dienstkonten oder Gruppen auswählen
    den Benutzer
    domainadmin
    hinzu, und klicken Sie auf
    OK
    .
  6. Klicken Sie im Fenster
    Berechtigungseintrag
    auf
    OK
    .
  7. Wählen Sie im Fenster
    Erweiterte Sicherheitseinstellungen
    auf der Registerkarte
    Berechtigungen
    die Option
    domainadmin
    aus, und klicken Sie auf
    Ändern
    .
  8. Fügen Sie im Fenster
    Benutzer, Computer, Dienstkonten oder Gruppen auswählen
    erneut den Benutzer
    domainadmin
    hinzu, und klicken Sie auf
    OK
    .
  9. Aktivieren Sie im Fenster
    Erweiterte Sicherheitseinstellungen
    die Kontrollkästchen
    Besitzer der Objekte und untergeordneten Container ersetzen
    und
    Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen
    , klicken Sie auf
    Vererbung aktivieren
    und dann auf
    Übernehmen
    .
  10. Klicken Sie zum Bestätigen auf
    Ja
    und
    OK
    .
  11. Stellen Sie im Fenster mit den Dateieigenschaften sicher, dass der Benutzer
    domainadmin
    jetzt alle erforderlichen Berechtigungen hat, und klicken Sie auf
    OK
    .
Schritt 5: Öffnen des Management-Server-Konfigurationsassistenten und Abschließen der Serverkonfiguration mit der Option
Windows-Authentifizierung
Um den Assistenten zu öffnen, öffnen Sie den Ordner
\...\Programme (x86)\Symantec\Symantec Endpoint Protection Manager\bin
, und doppelklicken Sie auf die Datei
sca.exe
.
Schritt 6: Prüfen, ob die Kommunikation verschlüsselt ist und das SQL Server-Zertifikat verwendet wird
  1. Öffnen Sie auf dem Management-Server die folgende Datei:
    C:\Programme (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    und prüfen Sie die folgenden Werte:
    encrypt=true
    und
    trustServerCertificate=false
    .
  2. Öffnen Sie auf dem SQL Server
    Eigenschaften von Protokolle für 'MSSQLSERVER'
    , und prüfen Sie, ob
    Verschlüsselung erzwingen=Ja
    ist.
  3. Führen Sie auf dem SQL Server die folgende Abfrage aus, um zu prüfen, ob die Verbindung zwischen
    Symantec Endpoint Protection Manager
    und SQL Server verschlüsselt ist:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Prüfen Sie, ob
    encrypt_option=TRUE
    ist.