Remarques sur SQL Server : après l'installation
Configuration manuelle d'un serveur SQL Server distant pour qu'il accepte les références d'authentification du compte de machine
Le processus manuel décrit ici est nécessaire uniquement si le processus automatisé de création d'un compte a échoué lors de l'installation du produit.
Si vous utilisez l'authentification intégrée Windows pour accéder à un serveur SQL Server distant, pour que Security Controls interagisse correctement avec le serveur, vous devez configurer ce dernier afin d'accepter les références d'authentification de compte de machine. Le meilleur moment pour le faire est immédiatement après l'installation de Security Controls mais avant de réellement démarrer le programme. Toutefois, vous pouvez aussi exécuter ces opérations après le démarrage du programme. Toutes les analyses que vous lancez avant cette procédure et qui nécessitent une interaction avec une base de données SQL Server distante vont probablement échouer.
Cette section explique comment configurer un serveur SQL Server distant pour qu'il accepte la saisie de références d'authentification Windows (compte de machine) depuis la console Security Controls. Pour des raisons de sécurité, Ivanti vous recommande d'utiliser l'authentification Windows chaque fois que c'est possible. Les exemples suivants utilisent Microsoft SQL Server Management Studio comme éditeur mais vous pouvez choisir un autre outil si vous préférez.
- La console Security Controls et le serveur SQL Server doivent être membres du même domaine, ou résider dans des domaines distincts liés par une relation de confiance.
Cela permet à la console et au serveur de comparer les références d'authentification et d'établir une connexion sécurisée. - Dans SQL Server, créez un nouveau compte de connexion, que Security Controls devra utiliser.
Vous devez disposer de privilèges securityadmin (Administrateurs de sécurité) pour créer un compte. - Pour votre base de données Security Controls, créez un nouveau nom de connexion utilisateur à l'aide du compte de la machine de console.
- Démarrez Security Controls.
- Effectuez les éventuelles opérations de dépannage nécessaires.
- Vous pouvez utiliser la fonction de surveillance des activités SQL Server pour déterminer si les tentatives de connexion réussissent lors d'une analyse des correctifs.
- Si vous avez exécuté Security Controls avant de créer le compte d'utilisateur SQL Server, certains services risquent de ne pas pouvoir se connecter à SQL Server. Vous devez sélectionner Panneau de configuration > Outils d'administration > Services et essayer de redémarrer ces services.
- Si les tentatives de connexion échouent, vous pouvez afficher les messages figurant dans les journaux SQL Server afin de déterminer la cause de ces échecs.
Pour ce faire : Dans le nœud Sécurité, cliquez avec le bouton droit sur Noms de connexion, puis sélectionnez Nouveau nom de connexion. Entrez le nom de connexion dans un format compatible SAM (domaine\nom-machine). Le compte de machine est le nom de machine de votre console et doit finir par le caractère $.
N'utilisez pas la fonction Rechercher. Vous devez entrer manuellement ce nom car il s'agit d'un nom spécial.
Veillez à sélectionner Authentification Windows et vérifiez que le champ Base de données par défaut indique bien la base de données Security Controls.
Cliquez avec le bouton droit sur le dossier Utilisateurs, choisissez Nouvel utilisateur, naviguez jusqu'au nom de connexion, puis collez ce nom dans le champ Nom d'utilisateur. Affectez à l'utilisateur les rôles db_datareader, db_datawriter, STCatalogUpdate et STExec.
Autoriser d'autres utilisateurs à accéder au programme
Cette section s'applique également si vous utilisez la fonction d'administration basée sur les rôles.
Pour autoriser d'autres utilisateurs à accéder au programme, vous devrez peut-être configurer SQL Server afin que ces utilisateurs disposent des permissions de base de données nécessaires. Plus précisément, si vous utilisez l'authentification intégrée Windows, les utilisateurs sans droits d'administration de la machine de base de données doivent recevoir des permissions d'accès en lecture/écriture sur toutes les tables et toutes les vues. Il faut aussi leur octroyer la permission d'exécution de toutes les procédures stockées dans la base de données d'applications Security Controls. Sinon, ils ne pourront pas démarrer Security Controls.
L'une des façons d'octroyer ces permissions consiste à affecter à vos utilisateurs le rôle db_owner. Pour des raisons de sécurité, toutefois, ce n'est pas forcément la meilleure solution. Il est plus prudent d'attribuer la permission d'exécution au niveau de la base de données. Pour ce faire, vous affectez aux utilisateurs concernés le rôle STExec.
Exécution de la maintenance périodique de la base de données
Security Controls vous permet d'exécuter la maintenance périodique de la base de données en supprimant automatiquement les anciennes analyses, en reconstruisant les fichiers d'index et en effectuant des sauvegardes. Pour en savoir plus, reportez-vous à « Maintenance de la base de données ».