Configurazione della comunicazione crittografata tra Symantec Endpoint Protection Manager e Microsoft SQL Server

Symantec Endpoint Protection Manager utilizza un certificato per autenticare le comunicazioni tra i database
Symantec Endpoint Protection
(SEPM) e Microsoft SQL Server Express o SQL Server. È necessario generare il certificato e importarlo nel computer
Symantec Endpoint Protection Manager
affinché SEPM si connetta al database SQL Server. Se il certificato non esiste, è scaduto o sta per scadere, la connessione tra SEPM e il database non riesce.
È possibile installare o aggiornare il server di gestione e il database SQL Server se il certificato non è stato importato. Tuttavia, la procedura guidata di configurazione del server di gestione rileva se il certificato è già scaduto o è in scadenza entro i 30 giorni successivi. SEPM invierà una notifica giornaliera fino al raggiungimento della scadenza dei 30 giorni per ricordare all'amministratore di importare il certificato. È possibile che venga visualizzato il seguente messaggio:
Entro i prossimi 30 giorni Symantec Endpoint Protection Manager non sarà più in grado di connettersi al database Microsoft SQL Server poiché SQL Server utilizza un certificato in scadenza.
Fase 1: Generazione di un certificato autofirmato
Se l'organizzazione non dispone già di un certificato firmato dell'autorità di certificazione (CA), è necessario generarne uno. Questo passaggio descrive la modalità di generazione e sostituzione del certificato autofirmato di
Symantec Endpoint Protection Manager
(SEPM) predefinito con un certificato firmato dall'autorità di certificazione.
Fase 2: Configurazione di un certificato permanente per SQL Server
È necessario abilitare le connessioni crittografate per un'istanza del modulo database di SQL Server e utilizzare la Gestione configurazione di SQL Server per specificare il certificato. Consultare la sezione Configurazione di SQL Server in Attivazione delle connessioni crittografate sul motore del database
Fase 3: Importazione del certificato SQL Server in Windows sul computer
Symantec Endpoint Protection Manager
Il computer del server di gestione deve disporre del certificato pubblico di SQL Server. Per eseguire il provisioning del certificato sul computer del server di gestione, è necessario importarlo in Windows. È necessario impostare il computer server per l'attendibilità dell'autorità principale del certificato.
  1. Sul server Windows in cui è installato SEPM, fare clic con il pulsante destro del mouse sul certificato.
  2. Nella procedura guidata di importazione del certificato, attenersi alla procedura riportata di seguito per importare il certificato.
    In
    Percorso archivio
    , selezionare
    Computer locale
    :
    Selezionare
    Colloca tutti i certificati nel seguente archivio
    , fare clic su
    Sfoglia
    e, nella casella di controllo Selezione archivio certificati, fare clic su
    Autorità di certificazione radice attendibili
    :
  3. Fare clic su
    OK
    , quindi su
    Avanti
    .
Fase 4: Configurazione delle autorizzazioni per la cartella
jre11
Se SQL Server è stato configurato mediante un amministratore di dominio con autenticazione Windows, l'amministratore del dominio dovrà disporre delle autorizzazioni
Lettura ed esecuzione
,
Visualizzazione contenuto cartella
e
Lettura
per la cartella
jre11
sul server
Symantec Endpoint Protection Manager
.
  1. Sul server Symantec Endpoint Protection Manager, accedere alla cartella
    \...\Programmi (x86) \Symantec\Symantec Endpoint Protection Manager
    , fare clic con il pulsante destro del mouse sulla cartella
    jre11
    , quindi selezionare
    Proprietà
    .
  2. Nella finestra Proprietà file della scheda
    Sicurezza
    , fare clic su
    Avanzate
    .
  3. Nella finestra
    Impostazioni di sicurezza avanzate
    , nella scheda
    Autorizzazioni
    fare clic su
    Aggiungi
    .
  4. Nella finestra di
    immissione delle autorizzazioni
    , fare clic su
    Seleziona un'entità
    .
  5. Nella finestra
    Seleziona utente, Computer, Account del servizio o Gruppo
    , aggiungere l'utente
    domainadmin
    , quindi fare clic su
    OK
    .
  6. Nella finestra di
    immissione delle autorizzazioni
    , fare clic su
    OK
    .
  7. Nella finestra
    Impostazioni di sicurezza avanzate
    , nella scheda
    Autorizzazioni
    selezionare
    domainadmin
    , quindi fare clic su
    Modifica
    .
  8. Nella finestra
    Seleziona utente, Computer, Account del servizio o Gruppo
    , aggiungere nuovamente l'utente
    domainadmin
    , quindi fare clic su
    OK
    .
  9. Nella finestra
    Impostazioni di sicurezza avanzate
    , selezionare le casella di controllo
    Sostituisci proprietario per sottocontenitori e oggetti
    e
    Sostituisci tutte le voci di autorizzazione degli oggetti figlio con voci di autorizzazione ereditabili derivate da questo oggetto
    , fare clic su
    Abilita ereditarietà
    , quindi su
    Applica
    .
  10. Fare clic su
    e su
    OK
    per confermare.
  11. Nella finestra Proprietà file, verificare che l'utente
    domainadmin
    disponga ora di tutte le autorizzazioni necessarie, quindi fare clic su
    OK
    .
Fase 5: Apertura della procedura guidata di configurazione del server di gestione e completamento della configurazione del server con l'opzione di
Autenticazione di Windows
Per aprire la procedura guidata, accedere alla cartella
\...\Programmi (x86) \Symantec\Symantec Endpoint Protection Manager\bin
, quindi fare doppio clic sul file
sca.exe
.
Fase 6: Verifica della crittografia della comunicazione e utilizzo del certificato SQL Server
  1. Sul server di gestione, aprire il seguente file:
    C:\Programmi (x86) \Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    e assicurarsi che si verifichino le seguenti condizioni:
    encrypt=true
    and
    trustServerCertificate=false
    .
  2. Su SQL Server, aprire
    Protocols for MSSQLSERVER Properties
    e verificare che la seguente condizione venga soddisfatta:
    Force Encryption=Yes
    .
  3. Su SQL Server, eseguire la seguente query per verificare la corretta crittografia della connessione tra
    Symantec Endpoint Protection Manager
    e SQL Server:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Verificare che la seguente condizione venga soddisfatta:
    encrypt_option=TRUE
    .