Protección de SQL Server para entornos de SharePoint (SharePoint Foundation 2010)

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo se describe cómo proteger Microsoft SQL Server para entornos de Productos de Microsoft SharePoint 2010.

En este artículo:

• Resumen de recomendaciones de protección

• Configurar una instancia de SQL Server para escuchar en un puerto no predeterminado

• Bloquear los puertos de escucha predeterminados de SQL Server

• Configuración del Firewall de Windows para abrir manualmente los puertos asignados

• Configurar un alias de SQL Server

• Probar el alias del cliente de SQL Server

Resumen de recomendaciones de protección

Para tener entornos de granjas de servidores seguros, se recomienda realizar lo siguiente:

• Bloquee el puerto UDP 1434.

• Configure sesiones con nombre de SQL Server para escuchar en un puerto no estándar (distinto del puerto TCP 1433 o del puerto UDP 1434).

• Para mayor seguridad, bloquee el puerto TCP 1433 y reasigne el puerto usado por la sesión predeterminada a un puerto diferente.

• Configure los alias de cliente de SQL Server en todos los servidores web front-end y servidores de aplicaciones en la granja de servidores. Una vez que los puertos TCP 1433 o UDP 1434 estén bloqueados, los alias de cliente de SQL Server son necesarios en todos los equipos que se comunican con el equipo con SQL Server.

Para obtener más información, vea Planeación de la protección de seguridad (SharePoint Foundation 2010).

Configurar una instancia de SQL Server para escuchar en un puerto no predeterminado

Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una sesión de SQL Server.

1. En el equipo que ejecuta SQL Server, abra el Administrador de configuración de SQL Server.

2. En el panel izquierdo, expanda Configuración de red de SQL Server.

3. Haga clic en la entrada correspondiente a la instancia que está configurando. La instancia predeterminada aparece como Protocolos para MSSQLSERVER. Las instancias con nombre aparecerán como Protocolos para instancia_con_nombre.

4. En el panel derecho, haga clic con el botón secundario en TCP/IP y, a continuación, seleccione Propiedades.

5. Haga clic en la pestaña Direcciones IP. Hay una entrada correspondiente en esta pestaña para cada dirección IP asignada al equipo con SQL Server. De forma predeterminada, SQL Server escucha en todas las direcciones IP asignadas al equipo.

6. Para cambiar globalmente el puerto en el que escucha la instancia predeterminada, siga estos pasos:

   1. Para cada dirección IP, excepto IPAll, borre los valores tanto de Puertos dinámicos TCP como de Puerto TCP.

   2. Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

7. Para cambiar globalmente el puerto en el que escucha la instancia con nombre, siga estos pasos:

   1. Para cada dirección IP que incluya IPAll, borre todos los valores de Puertos dinámicos TCP. Un valor de 0 para este campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco significa que SQL Server no usará un puerto TCP dinámico para la dirección IP.

   2. Para cada dirección IP, excepto IPAll, borre todos los valores de Puerto TCP.

   3. Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

8. Haga clic en Aceptar. Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que se reinicie el servicio de SQL Server. Haga clic en Aceptar.

9. Cierre el Administrador de configuración de SQL Server.

10. Reinicie el servicio SQL Server y confirme que el equipo con SQL Server está escuchando en el puerto que seleccionó. Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio de SQL Server. Busque un evento informativo similar al siguiente:

    Tipo del evento: Información

    Origen del evento: MSSQL$MSSQLSERVER

    Categoría del evento: (2)

    Identificador de evento: 26022

    Fecha: 6/3/2008

    Hora: 1:46:11 p. m.

    Usuario: N/D

    Equipo: nombre_de_equipo

    Descripción:

    El servidor está escuchando en [ 'cualquier' <ipv4>50000]

Bloquear los puertos de escucha predeterminados de SQL Server

Firewall de Windows con seguridad avanzada usa reglas de entrada y reglas de salida para proteger el tráfico de red de entrada y salida. Como Windows Firewall bloquea, de forma predeterminada, todo tráfico de red no solicitado de entrada, no tiene que bloquear explícitamente los puertos de escucha de SQL Server. Para obtener más información, consulte Firewall de Windows con seguridad avanzada (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0xC0A) y Configurar el Firewall de Windows para permitir acceso de SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0xC0A)

Configuración del Firewall de Windows para abrir manualmente los puertos asignados

1. En el Panel de control, abra Sistema y seguridad.

2. Haga clic en Firewall de Windows y, a continuación, haga clic en Configuración avanzada para abrir el cuadro de diálogo Firewall de Windows con configuración avanzada.

3. En el panel de navegación, haga clic en Reglas de entrada para ver las opciones disponibles en el panel Acciones.

4. Haga clic en Nueva regla para abrir el Asistente para nueva regla de entrada.

5. Use el asistente para completar los pasos requeridos para permitir acceso al puerto que definió en Configuración de una instancia de SQL Server para escuchar en un puerto no predeterminado.

Configurar un alias de SQL Server

Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo que ejecuta SQL Server, debe crear un alias de cliente de SQL Server en los demás equipos de la granja de servidores. Puede usar los componentes de cliente de SQL Server para crear un alias de cliente de SQL Server para los equipos que se conectan a SQL Server.

1. Ejecute la instalación de SQL Server en el equipo de destino y seleccione los siguientes componentes de cliente para instalarlos:

   1. Componentes de conectividad

   2. Herramientas de administración

2. Abra el Administrador de configuración de SQL Server.

3. En el panel de la izquierda, haga clic en Configuración de SQL Native Client.

4. En el panel de la derecha, haga clic con el botón secundario en Alias y seleccione Nuevo alias.

5. En el cuadro de diálogo Alias, escriba un nombre para el alias y, a continuación, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba SharePoint*_alias*.

6. En el campo Nº de puerto, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba 40000. Asegúrese de que el protocolo esté establecido en TCP/IP.

7. En el campo Servidor, escriba el nombre del equipo que ejecuta SQL Server.

8. Haga clic en Aplicar y, a continuación, en Aceptar.

Probar el alias del cliente de SQL Server

Pruebe la conectividad con el equipo que ejecuta SQL Server con Microsoft SQL Server Management Studio, el cual está disponible mediante la instalación de los componentes de cliente de SQL Server.

1. Abra SQL Server Management Studio.

2. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que creó y, a continuación, haga clic en Conectar. Si la conexión se realiza correctamente, SQL Server Management Studio se rellena con objetos correspondientes a la base de datos remota.

   Nota

   Para comprobar la conectividad a sesiones de base de datos adicionales desde SQL Server Management Studio, haga clic en el botón Conectar y, a continuación, en Motor de base de datos.