Konfigurowanie szyfrowanej komunikacji między programem Symantec Endpoint Protection Manager a Microsoft SQL Server

Program Symantec Endpoint Protection Manager używa certyfikatu do uwierzytelniania komunikacji między bazami danych
Symantec Endpoint Protection
(SEPM) i Microsoft SQL Server Express lub SQL Server. Należy wygenerować certyfikat i zaimportować go do komputera
program Symantec Endpoint Protection Manager
, aby program SEPM miał połączyć się z bazą danych programu SQL Server. Jeśli certyfikat nie istnieje, wygasł lub wkrótce wygaśnie, połączenie między programem SEPM a bazą danych nie powiedzie się.
Można zainstalować lub uaktualnić serwer zarządzania i bazę danych programu SQL Server, jeśli certyfikat nie został zaimportowany. Niemniej jednak Kreator konfiguracji serwera zarządzającego wykrywa, czy certyfikat już wygasł, czy wygaśnie w ciągu następnych 30 dni. SEMP wysyła powiadomienie codziennie przez 30 dni, aby przypomnieć administratorowi o zaimportowaniu certyfikatu. Może zostać wyświetlony następujący komunikat:
W ciągu najbliższych 30 dni program Symantec Endpoint Protection Manager nie będzie już mógł połączyć się z bazą danych programu Microsoft SQL Server, ponieważ program SQL Server używa certyfikatu, który wkrótce wygaśnie.
Krok 1: Generowanie certyfikatu samopodpisanego
Jeśli organizacja nie posiada jeszcze podpisanego certyfikatu Urzędu certyfikacji (CA), trzeba go wygenerować. W tym kroku opisano sposób generowania i zastępowania domyślnego certyfikatu samopodpisanego
program Symantec Endpoint Protection Manager
(SEPM) certyfikatem podpisanym przez Urząd certyfikacji.
Krok 2: Konfigurowanie stałego certyfikatu dla programu SQL Server
Należy włączyć połączenia szyfrowane dla wystąpienia bazy danych SQL Server, a do określenia certyfikatu należy użyć programu SQL Server Configuration Manager. Zobacz „Konfigurowanie programu SQL Server” w: Włącz szyfrowane połączenia w silniku bazodanowym
Krok 3: Importowanie certyfikatu programu SQL Server do systemu Windows na komputerze z programem
program Symantec Endpoint Protection Manager
Komputer z serwerem zarządzania musi posiadać publiczny certyfikat SQL Server. Aby uzyskać certyfikat na komputerze z serwerem zarządzania, należy zaimportować go do systemu Windows. Komputery serwerowe muszą być skonfigurowane w taki sposób, aby ufały głównej instytucji certyfikującej.
  1. W systemie Windows Server, w którym jest zainstalowany program SEPM, prawym przyciskiem myszy kliknij certyfikat.
  2. W kreatorze importu certyfikatów postępuj zgodnie z krokami, aby zaimportować certyfikat.
    W obszarze
    Lokalizacja zapisu
    wybierz opcję
    Urządzenie lokalne
    :
    Wybierz opcję
    Umieść wszystkie certyfikaty w poniższym magazynie
    , kliknij
    Przeglądaj
    , a w oknie dialogowym Wybierz magazyn certyfikatu kliknij
    Zaufane główne urzędy certyfikacji
    :
  3. Kliknij przycisk
    OK
    , a następnie kliknij przycisk
    Dalej
    .
Krok 4: Konfigurowanie uprawnień dla folderu
jre11
Jeśli serwer SQL jest skonfigurowany przy użyciu administratora domeny z uwierzytelnianiem Windows, administrator domeny musi mieć uprawnienia
Odczyt i wykonanie
,
Lista zawartości folderu
oraz
Odczyt
dla folderu
jre11
na serwerze
program Symantec Endpoint Protection Manager
.
  1. Na serwerze Symantec Endpoint Protection Manager przejdź do folderu
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    , kliknij prawym przyciskiem myszy folder
    jre11
    i kliknij opcję
    Właściwości
    .
  2. W oknie właściwości pliku, na karcie
    Bezpieczeństwo
    , kliknij
    Zaawansowane
    .
  3. W oknie
    Zaawansowane ustawienia zabezpieczeń
    , na karcie
    Uprawnienia
    kliknij przycisk
    Dodaj
    .
  4. W oknie
    Wpis uprawnień
    kliknij
    Wybierz główne
    .
  5. W oknie
    Wybierz użytkownika, komputer, konto usług, lub grupę
    , dodaj użytkownika
    administrator domeny
    i kliknij
    OK
    .
  6. W oknie
    Wpis uprawnień
    kliknij
    OK
    .
  7. W oknie
    Zaawansowane ustawienia zabezpieczeń
    , na karcie
    Uprawnienia
    wybierz
    administrator domeny
    i kliknij
    Zmień
    .
  8. W oknie
    Wybierz użytkownika, komputer, konto usług lub grupę
    dodaj ponownie użytkownika
    administrator domeny
    i kliknij
    OK
    .
  9. W oknie
    Zaawansowane ustawienia zabezpieczeń
    zaznacz opcję
    Zastąp właściciela na podkontenerach i obiektach
    , zaznacz opcję
    Zastąp wszystkie wpisy uprawnień obiektów podrzędnych wpisami uprawnień dziedziczonymi z tego obiektu
    , kliknij
    Włącz dziedziczenie
    i kliknij
    Zastosuj
    .
  10. Kliknij przycisk
    Tak
    i
    OK
    , aby potwierdzić.
  11. W oknie właściwości pliku upewnij się, że użytkownik
    administrator domeny
    ma teraz wszystkie wymagane uprawnienia, i kliknij
    OK
    .
Krok 5: Otwórz Kreator konfiguracji serwera zarządzania i dokończ konfigurację serwera z opcją
uwierzytelnianie systemu Windows
.
Aby otworzyć kreator, przejdź do folderu
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
i kliknij dwukrotnie plik
sca.exe
.
Krok 6: Sprawdź, czy komunikacja jest szyfrowana i czy korzysta z certyfikatu SQL Server
  1. Na serwerze zarządzania należy otworzyć następujący plik:
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    i upewnić się, że
    encrypt=true
    oraz
    trustServerCertificate=false
    .
  2. Na serwerze SQL należy otworzyć
    Protokoły dla Właściwości MSSQLSERVER
    i sprawdzić, czy
    Wymuszone szyfrowanie=Tak
    .
  3. Na serwerze SQL należy uruchomić poniższe zapytanie, aby sprawdzić, czy połączenie pomiędzy
    program Symantec Endpoint Protection Manager
    a serwerem SQL jest szyfrowane:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Sprawdź, czy
    encrypt_option=TRUE
    .