Configurar la seguridad de SQL Server para SharePoint Server

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Cuando se instala SQL Server, la configuración predeterminada le ayudará a proporcionar una base de datos a prueba de errores. Además, puede utilizar las herramientas de SQL Server y el Firewall de Windows para aumentar la seguridad de SQL Server para entornos de SharePoint Server.

Importante

El equipo de SharePoint ha probado todos los pasos de seguridad de este tema. Hay otras maneras de proteger SQL Server en una granja de servidores de SharePoint Server. Para obtener más información, consulte Protección de SQL Server.

Antes de empezar

Antes de comenzar esta operación, revise las tareas siguientes sobre cómo asegurar la granja de servidores:

  • Bloquee el puerto UDP 1434.

  • Configure instancias con nombre de SQL Server para escuchar en un puerto no estándar (distinto del puerto TCP 1433 o del puerto UDP 1434).

  • Para mayor seguridad, bloquee el puerto TCP 1433 y reasigne el puerto usado por la instancia predeterminada a un puerto diferente.

  • Configure los alias de cliente de SQL Server en todos los servidores web front-end y servidores de aplicaciones en la granja de servidores. Una vez que los puertos TCP 1433 o UDP 1434 estén bloqueados, los alias de cliente de SQL Server son necesarios en todos los equipos que se comunican con el equipo con SQL Server.

Configuración de una instancia SQL Server para escuchar en un puerto no predeterminado

SQL Server permite reasignar los puertos usados por la instancia predeterminada y las instancias con nombre. En SQL Server, reasigna el puerto TCP mediante Administrador de configuración de SQL Server. Al cambiar los puertos predeterminados, hace que el entorno sea más seguro frente a los piratas informáticos que conocen asignaciones predeterminadas y las usan para aprovechar el entorno de SharePoint.

Para configurar una instancia SQL Server para escuchar en un puerto no predeterminado

  1. Compruebe si la cuenta de usuario que va a realizar este procedimiento pertenece al rol fijo de servidor.

  2. En el equipo que ejecuta SQL Server, abra el Administrador de configuración de SQL Server.

  3. En el panel de navegación, expanda la Configuración de red de SQL Server.

  4. Haga clic en la entrada correspondiente a la instancia que está configurando.

    La instancia predeterminada aparece como Protocolos para MSSQLSERVER. Las instancias con nombre aparecerán como Protocolos para instancia_con_nombre.

  5. en la ventana principal, en la columna Nombre del protocolo, haga clic con el botón secundario en TCP/IP y, a continuación, seleccione Propiedades.

  6. Haga clic en la pestaña Direcciones IP.

    Hay una entrada correspondiente en esta pestaña para cada dirección IP asignada al equipo con SQL Server. De forma predeterminada, SQL Server escucha en todas las direcciones IP asignadas al equipo.

  7. Para cambiar globalmente el puerto en el que escucha la instancia predeterminada, siga estos pasos:

    • Para cada dirección IP, excepto IPAll, borre los valores tanto de Puertos dinámicos TCP como de Puerto TCP.

    • Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

  8. Para cambiar globalmente el puerto en el que escucha la instancia predeterminada, siga estos pasos:

    • Para cada dirección IP que incluya IPAll, borre todos los valores de Puertos dinámicos TCP. Un valor de 0 para este campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco significa que SQL Server no usará un puerto TCP dinámico para la dirección IP.

    • Para cada dirección IP, excepto IPAll, borre todos los valores de Puerto TCP.

    • Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

  9. Haga clic en Aceptar.

    Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que se reinicie el servicio de SQL Server. Haga clic en Aceptar.

  10. Cierre el Administrador de configuración de SQL Server.

  11. Reinicie el servicio SQL Server y confirme que el equipo con SQL Server está escuchando en el puerto que seleccionó.

    Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio de SQL Server. Busque un evento informativo similar al siguiente:

    Tipo de evento: Información

    Origen del evento: MSSQL$MSSQLSERVER

    Categoría del evento: (2)

    Identificador de evento: 26022

    Fecha: 6/3/2008

    Hora: 1:46:11 p. m.

    Usuario: N/D

    Equipo: nombre_de_equipo

    Descripción:

    El servidor está escuchando en [ 'cualquier' <ipv4>50000]

  12. Comprobación: opcionalmente, incluya pasos que los usuarios deben realizar para comprobar que la operación se realizó correctamente.

Bloqueo de los puertos de escucha predeterminados de SQL Server

El Firewall de Windows con seguridad avanzada usa reglas de entrada y de salida para ayudar a proteger el tráfico de red de entrada y de salida. Dado que, de forma predeterminada, el Firewall de Windows bloquea todo el tráfico de red de entrada no solicitado, no es necesario bloquear explícitamente los puertos de escucha predeterminados de SQL Server. Para obtener más información, consulte Introducción a Firewall de Windows con seguridad avanzada y Configurar Firewall de Windows para permitir el acceso a SQL Server.

Configuración del Firewall de Windows para abrir manualmente los puertos asignados

Para obtener acceso a una instancia de SQL Server a través de un servidor de seguridad, debe configurar dicho servidor en el equipo que está ejecutando SQL Server para permitir el acceso. Los puertos que se asignan manualmente deben estar abiertos en el Firewall de Windows.

Para configurar el Firewall de Windows para abrir de forma manual los puertos asignados

  1. Compruebe si la cuenta de usuario que va a realizar este procedimiento pertenece al rol fijo de servidor de sysadmin o de serveradmin.

  2. En el Panel de control, abra Sistema y seguridad.

  3. Haga clic en Firewall de Windows y, a continuación, haga clic en Configuración avanzada para abrir el cuadro de diálogo Firewall de Windows con seguridad avanzada .

  4. En el panel de navegación, haga clic en Reglas de entrada para visualizar las opciones disponibles en el panel Acciones.

  5. Haga clic en Nueva regla para abrir el Asistente para nueva regla de entrada.

  6. Use el asistente para completar los pasos necesarios para permitir el acceso al puerto definido en Configuración de una instancia SQL Server para escuchar en un puerto no predeterminado.

    Nota:

    Mediante la configuración del Firewall de Windows, puede configurar el protocolo de seguridad de Internet (IPsec) para ayudar a proteger la comunicación entrante y saliente del equipo que ejecuta SQL Server. Para ello, seleccione Reglas de seguridad de conexión en el panel de navegación del cuadro de diálogo Firewall de Windows con seguridad avanzada.

Configuración de alias de cliente de SQL Server

Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo que ejecuta SQL Server, debe crear un alias de cliente de SQL Server en los demás equipos de la granja de servidores. Puede usar el componente de cliente de SQL Server para crear un alias de cliente de SQL Server para los equipos que se conectan a SQL Server.

Para configurar un alias de cliente de SQL Server

  1. Compruebe si la cuenta de usuario que va a realizar este procedimiento pertenece al rol fijo de servidor de sysadmin o de serveradmin.

  2. Ejecute la instalación de SQL Server en el equipo de destino e instale los siguientes componentes de cliente:

    • Componentes de conectividad

    • Herramientas de administración

  3. Abra el Administrador de configuración de SQL Server.

  4. En el panel de navegación, haga clic en Configuración de SQL Native Client.

  5. En la ventana principal en Elemento, haga clic con el botón secundario en Alias y seleccione Nuevo alias.

  6. En el cuadro de diálogo Alias - Nuevo , en el campo Nombre de alias , escriba un nombre para el alias. Por ejemplo, escriba SharePoint _alias.

  7. En el campo Nº de puerto, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba 40000. Asegúrese de que el protocolo esté establecido en TCP/IP.

  8. En el campo Servidor, escriba el nombre del equipo que ejecuta SQL Server.

  9. Haga clic en Aplicar y, a continuación, en Aceptar.

  10. Comprobación: puede probar el alias de cliente SQL Server mediante SQL Server Management Studio, que está disponible cuando instala los componentes cliente de SQL Server.

  11. Abra SQL Server Management Studio.

  12. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que creó y, a continuación, haga clic en Conectar. Si la conexión se realiza correctamente, SQL ServerManagement Studio se rellena con objetos correspondientes a la base de datos remota.

  13. Para comprobar la conectividad a instancias de base de datos adicionales desde SQL ServerManagement Studio, haga clic en Conectar y, a continuación, en Motor de base de datos.

Consulte también

Otros recursos

SQL Server Security Blog (Blog de seguridad de SQL Server)

Evaluación de vulnerabilidades de SQL

Securing SharePoint: Harden SQL Server in SharePoint Environments (Protección de SharePoint: reforzar SQL Server en entornos de SharePoint)

Configurar Firewall de Windows para el acceso al motor de base de datos

Configurar un servidor para que escuche en un puerto TCP específico (Administrador de configuración de SQL Server)