Настройка шифрования при обмене данными между Symantec Endpoint Protection Manager и Microsoft SQL Server

Symantec Endpoint Protection Manager использует сертификат для проверки подлинности при подключении
Symantec Endpoint Protection
(SEPM) к базе данных Microsoft SQL Server Express или SQL Server. Чтобы программное обеспечение SEPM могло подключаться к любой базе данных SQL Server, необходимо создать сертификат и импортировать его на компьютер с установленным
Symantec Endpoint Protection Manager
. Если сертификат не существует, срок его действия истек или истечет в ближайшее время, возникает ошибка связи между SEPM и базой данных.
Если вы не импортировали сертификат, можно установить или обновить сервер управления или базу данных SQL Server. Однако Мастер конфигурации сервера управления распознает сертификаты с истекшим сроком действия и сертификаты, срок действия которых истечет в ближайшие 30 дней. SEPM будет отправлять администратору уведомление о необходимости импортировать сертификат ежедневно вплоть до истечения 30-дневного срока. Отображается следующее сообщение:
Через 30 дней Symantec Endpoint Protection Manager больше не сможет подключаться к базе данных Microsoft SQL Server, поскольку SQL Server использует сертификат, срок действия которого истечет в ближайшее время.
Шаг 1. Создайте самоподписанный сертификат
Если у вашей организации еще нет сертификата, подписанного центром сертификации (ЦС), необходимо его создать. В этом шаге описаны создание и замена самоподписывающего сертификата, используемого в
Symantec Endpoint Protection Manager
(SEPM) по умолчанию, на сертификат, подписанный ЦС.
Шаг 2. Настройте постоянный сертификат для SQL Server
Необходимо включить шифрованные соединения для экземпляра ядра СУБД SQL Server и использовать Диспетчер конфигурации SQL Server, чтобы указать сертификат. См. "Настройка SQL Server" в разделе: Включение шифрованных соединений с ядром СУБД
Шаг 3. Импорт сертификата SQL Server в Windows на компьютере с
Symantec Endpoint Protection Manager
Компьютеру сервера управления должен быть предоставлен общий сертификат SQL Server. Чтобы предоставить сертификат для компьютера сервера управления, его необходимо импортировать в Windows. На сервере должно быть настроено доверие корневому центру сертификации.
  1. На сервере Windows, где установлен SEPM, щелкните сертификат правой кнопкой мыши.
  2. В Мастере импорта сертификатов выполните следующие действия.
    В разделе
    Расположение хранилища
    выберите
    Локальный компьютер
    :
    Выберите
    Поместить все сертификаты в следующее хранилище
    , нажмите
    Обзор
    и в диалоговом окне "Выбрать хранилище сертификатов" выберите
    Доверенные корневые центры сертификации
    :
  3. Нажмите
    OK
    , затем
    Далее
    .
Шаг 4. Настройте разрешения для папки
jre11
Если SQL Server настроен с использованием администратора домена с аутентификацией Windows, администратору необходимо иметь разрешения
Чтение и исполнение
,
Список содержимого папки
и
Чтение
для папки
jre11
на сервере
Symantec Endpoint Protection Manager
.
  1. На сервере Symantec Endpoint Protection Manager перейдите в папку
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    , щелкните правой кнопкой мыши папку
    jre11
    и выберите
    Свойства
    .
  2. В окне свойств файла на вкладке
    Безопасность
    выберите
    Дополнительно
    .
  3. В окне
    Дополнительные параметры безопасности
    на вкладке
    Разрешения
    щелкните
    Добавить
    .
  4. В окне
    Ввод разрешений
    щелкните
    Выбрать главное
    .
  5. В окне
    Выбрать пользователя, компьютер, учетную запись службы или группу
    добавьте пользователя
    domainadmin
    и нажмите кнопку
    ОК
    .
  6. В окне
    Ввод разрешений
    нажмите
    ОК
    .
  7. В окне
    Дополнительные параметры безопасности
    на вкладке
    Разрешения
    выберите
    domainadmin
    и нажмите
    Изменить
    .
  8. В окне
    Выбрать пользователя, компьютер, учетную запись службы или группу
    добавьте пользователя
    domainadmin
    еще раз и нажмите кнопку
    ОК
    .
  9. В окне
    Дополнительные параметры безопасности
    установите флажок
    Заменить владельца в подконтейнерах и объектах
    , выберите
    Заменить все дочерние записи разрешений на наследуемые записи разрешений из этого объекта
    , нажмите
    Включить наследование
    и нажмите
    Применить
    .
  10. Нажмите кнопку
    Да
    и
    ОК
    для подтверждения.
  11. В окне свойств файла убедитесь, что у пользователя
    domainadmin
    есть все необходимые разрешения, и нажмите кнопку
    ОК
    .
Шаг 5. Откройте мастер настройки сервера управления и завершите настройку сервера, используя параметр
Аутентификация Windows
.
Чтобы открыть мастер, перейдите в папку
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
и дважды щелкните файл
sca.exe
.
Шаг 6. Проверьте, зашифрован ли обмен сообщениями и используется ли сертификат SQL Server
.
  1. На сервере управления откройте файл
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    и убедитесь, что
    encrypt=true
    и
    trustServerCertificate=false
    .
  2. На SQL Server откройте
    Протоколы для свойств MSSQLSERVER
    и проверьте,
    включено ли принудительное шифрование
    .
  3. На SQL Server запустите следующий запрос, чтобы проверить, зашифровано ли соединение между
    Symantec Endpoint Protection Manager
    и SQL Server:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Убедитесь, что
    encrypt_option=TRUE
    .