Configuration de la communication chiffrée entre Symantec Endpoint Protection Manager et Microsoft SQL Server

Symantec Endpoint Protection Manager utilise un certificat pour authentifier les communications entre les bases de données
Symantec Endpoint Protection
(SEPM) ou SQL Server. Vous devez générer le certificat et l'importer sur l'ordinateur
 instance de Symantec Endpoint Protection Manager
pour permettre à SEPM de se connecter à l'une ou l'autre des bases de données SQL Server. Si le certificat n'existe pas, a expiré ou arrive à expiration, la connexion entre SEPM et la base de données échoue.
Vous pouvez installer ou mettre à niveau le serveur de gestion et la base de données SQL Server si vous n’avez pas importé le certificat. Toutefois, Management Server Configuration Wizard (Assistant de configuration du serveur de gestion) détecte si le certificat a déjà expiré ou expire dans les 30 prochains jours. SEPM envoie une notification tous les jours jusqu’à ce que la période de 30 jours soit terminée pour rappeler à l'administrateur d'importer le certificat. Le message suivant peut s'afficher :
Within the next 30 days, Symantec Endpoint Protection Manager will no longer be able to connect to the Microsoft SQL Server database because SQL Server uses a certificate that is about to expire
(Dans les 30 prochains jours, Symantec Endpoint Protection Manager ne pourra plus se connecter à la base de données Microsoft SQL Server, car SQL Server utilise un certificat sur le point d'expirer).
Etape 1 : générer un certificat autosigné
Si votre organisation ne dispose pas déjà d'un certificat signé par une Autorité de certification (CA), vous devez en générer un. Cette étape explique comment générer et remplacer le certificat autosigné par défaut
 instance de Symantec Endpoint Protection Manager
(SEPM) par un certificat signé d'une CA.
Etape 2 : configuration d'un certificat permanent pour SQL Server
Vous devez activer les connexions chiffrées pour une instance du moteur de base de données SQL Server et utiliser le gestionnaire de configuration SQL Server pour spécifier le certificat. Reportez-vous "Configuration de SQL Server" dans Activation des connexions chiffrées au moteur de base de données.
Etape 3 : importation du certificat SQL Server dans Windows sur l'ordinateur
 instance de Symantec Endpoint Protection Manager
Le certificat public SQL Server doit être alloué à l'ordinateur serveur de gestion. Pour lui allouer, vous devez l'importer dans Windows. L'ordinateur serveur doit être configuré pour faire confiance à l’autorité racine du certificat.
  1. Sur le serveur Windows sur lequel SEPM est installé, cliquez avec le bouton droit de la souris sur le certificat.
  2. Dans l'assistant Importation de certificat, suivez les étapes pour importer le certificat.
    Sous
    Emplacement de stockage
    , sélectionnez
    Ordinateur local
     :
    Sélectionnez
    Placer tous les certificats dans le magasin suivant
    , cliquez sur
    Parcourir
    , puis, dans la boîte de dialogue Sélectionner un magasin de certificats, cliquez sur
    Autorités de certification racines de confiance
     :
  3. Cliquez sur
    OK
    et sur
    Suivant
    .
Etape 4 : configuration des autorisations pour le dossier
jre11
Si votre serveur SQL est configuré par un administrateur de domaine avec authentification Windows, il doit disposer des autorisations
Lecture et exécution
,
Affichage du contenu du dossier
et
Lecture
pour le dossier
jre11
sur le serveur
 instance de Symantec Endpoint Protection Manager
.
  1. Sur le serveur Symantec Endpoint Protection Manager, sélectionnez le dossier
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    , cliquez avec le bouton droit de la souris sur le dossier
    jre11
    , puis cliquez sur
    Propriétés
    .
  2. Dans la fenêtre de propriétés du fichier, ouvrez l'onglet
    Sécurité
    et cliquez sur
    Avancé
    .
  3. Dans la fenêtre
    Paramètres de sécurité avancés
    , ouvrez l'onglet
    Autorisations
    , puis cliquez sur
    Ajouter
    .
  4. Dans la fenêtre
    Permissions Entry
    (Entrée d'autorisations), cliquez sur
    Sélectionner un principal
    .
  5. Dans la fenêtre
    Select User, Computer, Service Account, or Group
    (Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe), ajoutez l'utilisateur
    domainadmin
    et cliquez sur
    OK
    .
  6. Dans la fenêtre
    Permissions Entry
    (Entrée d'autorisations), cliquez sur
    OK
    .
  7. Dans la fenêtre
    Paramètres de sécurité avancés
    , ouvrez l'onglet
    Autorisations
    , sélectionnez
    domainadmin
    , puis cliquez sur
    Ajouter
    .
  8. Dans la fenêtre
    Select User, Computer, Service Account, or Group
    (Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe), ajoutez à nouveau l'utilisateur
    domainadmin
    et cliquez sur
    OK
    .
  9. Dans la fenêtre
    Paramètres de sécurité avancés
    , cochez les cases
    Remplacer le propriétaire des sous-conteneurs et des objets
    et
    Remplacer toutes les entrées d’autorisation des objets enfants par des entrées d’autorisation pouvant être héritées de cet objet
    , puis cliquez sur
    Activer l'héritage
    et sur
    Appliquer
    .
  10. Cliquez sur
    Oui
    et
    OK
    pour confirmer.
  11. Dans la fenêtre Propriétés du fichier, assurez-vous que l'utilisateur
    domainadmin
    dispose désormais de toutes les autorisations requises et cliquez sur
    OK
    .
Etape 5 : exécution de l'option de configuration du serveur avec l'
authentification Windows
dans l'assistant de configuration de serveur de gestion
Pour ouvrir l'assistant, accédez au dossier
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
et cliquez deux fois sur le fichier
sca.exe
.
Etape 6 : vérification du chiffrement de la communication et de l'utilisation du certificat SQL Server
  1. Sur le serveur de gestion, ouvrez le fichier suivant :
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    et vérifiez que
    encrypt=true
    et
    trustServerCertificate=false
    .
  2. Sur le serveur SQL Server, ouvrez
    Protocols for MSSQLSERVER Properties
    (Protocoles pour les propriétés MSSQLSERVER) et vérifiez que
    Force Encryption=Yes
    .
  3. Sur le serveur SQL Server, exécutez la requête suivante pour vérifier si la connexion entre
     instance de Symantec Endpoint Protection Manager
    et SQL Server est chiffrée :
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Vérifiez que
    encrypt_option=TRUE
    .