Supportanfrage

Manuelle Konfiguration eines entfernten SQL-Servers zum Akzeptieren von Anmeldeinformationen für das Maschinenkonto

von | 21.November 2019

Zuletzt aktualisiert am von ProSoft Redaktion

Beschreibung

Ausgangslage

Sie haben ivanti Security Controls unter Verwendung eines entfernten SQL-Servers installiert.

Wenn Sie die integrierte Windows-Authentifizierung für den Zugriff auf einen entfernten SQL-Server verwenden wollen, müssen Sie den Server so konfigurieren, dass er die Anmeldeinformationen des Maschinenkontos akzeptiert, damit die Sicherheitskontrollen ordnungsgemäß mit dem Server interagieren können.

Der hier beschriebene manuelle Prozess ist nur erforderlich, wenn der automatisierte Kontoerstellungsprozess während der Produktinstallation fehlgeschlagen ist.

Der beste Zeitpunkt dafür ist unmittelbar nach der Installation von ivanti Security Controls, aber noch bevor Sie das Programm tatsächlich starten.
Sie können diese Schritte jedoch auch nach dem Start des Programms durchführen. Alle Scans, die Sie zuvor initiieren und die eine Interaktion mit einer entfernten SQL Server-Datenbank erfordern, werden aber dann wahrscheinlich fehlschlagen.

Nach oben

Lösung

Welche Massnahmen müssen ergriffen werden?

Welche Lösungsschritte stehen zur Verfügung?

Welche Alternativen bieten sich?

In diesem Beitrag wird beschrieben, wie Sie einen entfernten SQL-Server so konfigurieren, dass er Windows-Authentifizierungsdaten (Maschinenkonto) von der Konsole für ivanti Security Controls akzeptiert. Aus Sicherheitsgründen empfiehlt Ivanti, wenn möglich, die Windows-Authentifizierung zu verwenden. SQL Server Management Studio (SSMS)* wird in den folgenden Beispielen als Editor verwendet, aber Sie können auch ein anderes Tool verwenden.

  • Die Konsole für ivanti Security Controls und der SQL Server müssen mit derselben Domäne verbunden sein oder sich in verschiedenen Domänen befinden, die eine Vertrauensstellung zueinander haben.

    Auf diese Weise können die Konsole und der Server die Anmeldeinformationen vergleichen und eine sichere Verbindung herstellen.

    •  

  • Erstellen Sie auf dem entfernten SQL-Server ein neues Anmeldekonto für ivanti Security Controls

    Sie müssen über [securityadmin] Rechte verfügen, um ein Konto erstellen zu können.

    Um das zu tun:

    • Klicken Sie im Knoten Security mit der rechten Maustaste auf Logins und wählen Sie New Login.
    • Geben Sie den Anmeldenamen in einem SAM-kompatiblen Format (Domain\Maschinenname) ein.

      Das Maschinenkonto ist der Computername Ihrer Konsole und muss ein abschliessendes $ enthalten.

       Verwenden Sie nicht die Option Suchen. Sie müssen den Namen manuell eingeben, da es sich um einen speziellen Namen handelt. 

      Stellen Sie sicher, dass

      • Sie Windows-Authentifizierung wählen und
      • das Feld Standard-Datenbank die Datenbank von ivanti Security Controls angibt.

    •  

  • erstellen Sie für Ihre Datenbank mit Sicherheitskontrollen eine neue Benutzeranmeldung über das Konto der Konsolenmaschine.

    Klicken Sie mit der rechten Maustaste auf den Ordner Users, wählen Sie New User, suchen Sie nach dem Login name, und fügen Sie den Namen dann in das Feld User name ein. Weisen Sie dem Benutzer die Rollen db_datareader, db_datawriter, STCatalogUpdate und STExec zu.

    •  

  • starten Sie ivanti Security Controls

    •  

  • Führen Sie bei Bedarf eine Fehlersuche durch.

    • Sie können den SQL Server-Aktivitätsmonitor verwenden, um festzustellen, ob Verbindungsversuche erfolgreich sind, wenn Sie einen Patch-Scan durchführen.
    • Wenn Sie vor der Erstellung des SQL-Server Benutzerkontos ivanti Security Controls ausgeführt haben, können einige Dienste möglicherweise keine Verbindung zum SQL-Server herstellen. Sie sollten Systemsteuerung > Verwaltung > Dienste wählen und versuchen, die Dienste neu zu starten.
    • Wenn die Verbindungsversuche fehlschlagen, können Sie die Meldungen in den SQL-Server Protokollen anzeigen, um festzustellen, warum die Fehler auftreten.

Nach oben

Hinweis

Beachten Sie bitte folgende, ergänzende Informationen.

Sie können auch anderen Benutzern den Zugriff auf das Programm ermöglichen.

 Dieser Abschnitt gilt auch, wenn Sie die rollenbasierte Administration nutzen. 

 

Wenn Sie anderen Benutzern den Zugriff auf das Programm ermöglichen möchten, müssen Sie den SQL-Server möglicherweise so konfigurieren, dass diese Benutzer die erforderlichen Datenbankberechtigungen haben. Insbesondere bei der Verwendung der integrierten Windows-Authentifizierung müssen Benutzern ohne Administratorrechte auf dem Datenbankmaschine Lese- und Schreibrechte für alle Tabellen und Ansichten erteilt werden. Sie müssen auch die Ausführungsberechtigung für alle gespeicherten Verfahren in der Anwendungsdatenbank Security Controls erhalten. Sie können sonst möglicherweise keine Sicherheitskontrollen starten.

Eine Möglichkeit, diese Berechtigungen zu vergeben, besteht darin, Ihren Benutzern die Rolle db_owner zuzuweisen.
Aus Sicherheitsgründen ist dies jedoch möglicherweise nicht die beste Lösung.
Eine sicherere Alternative ist die Erteilung der Ausführungsberechtigung auf Datenbankebene. Dies geschieht, indem Sie die betreffenden Benutzer der STExec-Rolle zuordnen.

Nach oben

Downloads

Es stehen folgende Downloads zur Verfügung:

Auf folgende Downloads wurde im Text mit ** verwiesen

Downloadbereich Ivanti Security Controls (ehem. Patch for Windows)

Nach oben

Fussnoten

Es stehen folgende weiterführende Links zur Verfügung:

Auf folgende Fussnoten wurde im Text mit * verwiesen

SQL Server Management Studio (SSMS)

Informationen zum SQL Server für ivanti Security Controls

Nach oben

Seitenaufrufe

9
Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]