Renforcer la sécurité de SQL Server pour les environnements SharePoint (SharePoint Server 2010)

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit comment renforcer la sécurité de Microsoft SQL Server pour les environnements Produits Microsoft SharePoint 2010.

Dans cet article :

• Synthèse des recommandations en matière de sécurisation renforcée

• Configurer une instance de SQL Server de façon à écouter sur un port autre que le port par défaut

• Bloquer les ports d'écoute SQL Server par défaut

• Configurer le Pare-feu Windows de façon à ouvrir des ports assignés manuellement

• Configurer un alias client SQL Server

• Tester l’alias client SQL Server

Synthèse des recommandations en matière de sécurisation renforcée

Pour sécuriser des environnements de batterie de serveurs, il est recommandé d’effectuer les opérations suivantes :

• bloquer le port UDP 1434 ;

• configurer des instances nommées de SQL Server pour écouter sur un port non standard (autre que le port TCP 1433 ou le port UDP 1434) ;

• pour plus de sécurité, bloquer le port TCP 1433 et réaffecter le port utilisé par l’instance par défaut à un port différent ;

• configurer des alias client SQL Server sur tous les serveurs Web fronteaux et les serveurs d’applications de la batterie de serveurs. Après le blocage du port TCP 1433 ou du port UDP 1434, les alias client SQL Server sont nécessaires sur tous les ordinateurs qui communiquent avec l’ordinateur SQL Server.

Pour plus d’informations sur ces recommandations, voir Planifier le renforcement de la sécurité (SharePoint Server 2010)

Configurer une instance de SQL Server de façon à écouter sur un port autre que le port par défaut

Utilisez le Gestionnaire de configuration de SQL Server pour modifier le port TCP utilisé par une instance de SQL Server.

1. Sur l’ordinateur SQL Server, ouvrez le Gestionnaire de configuration de SQL Server.

2. Dans le volet gauche, développez Configuration réseau SQL Server.

3. Cliquez sur l’entrée correspondant à l’instance que vous configurez. L’instance par défaut est répertoriée en tant que Protocoles pour MSSQLSERVER. Les instances nommées seront désignées comme Protocoles pour instance_nommée.

4. Dans le volet droit, cliquez avec le bouton droit sur TCP/IP, puis cliquez sur Propriétés.

5. Cliquez sur l’onglet Adresses IP. À chaque adresse IP assignée à l’ordinateur SQL Server correspond une entrée sous cet onglet. Par défaut, SQL Server écoute toutes les adresses IP assignées à l’ordinateur.

6. Pour modifier globalement le port que l’instance par défaut écoute, procédez comme suit :

   1. Pour chaque adresse IP à l’exception de IPAll, effacez toutes les valeurs dans les champs Ports TCP dynamiques et Port TCP.

   2. Pour IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

7. Pour modifier globalement le port qu’une instance nommée écoute, procédez comme suit :

   1. Pour chaque adresse IP, y compris pour IPAll, effacez toutes les valeurs du champ Ports TCP dynamiques. Une valeur égale à 0 pour ce champ indique que SQL Server utilise un port TCP dynamique pour l’adresse IP. Une entrée vierge pour cette valeur signifie que SQL Server n’utilisera pas de port TCP dynamique pour l’adresse IP.

   2. Pour chaque adresse IP à l’exception de IPAll, effacez toutes les valeurs du champ Port TCP.

   3. Pour IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

8. Cliquez sur OK. Vous recevez un message indiquant que la modification ne prendra effet qu’après le redémarrage du service SQL Server. Cliquez sur OK.

9. Fermez le Gestionnaire de configuration SQL Server.

10. Redémarrez le service SQL Server et vérifiez que l’ordinateur SQL Server est à l’écoute sur le port que vous avez sélectionné. Vous pouvez le vérifier en recherchant dans le journal de l’Observateur d’événements après avoir redémarré le service SQL Server. Recherchez un événement d’information semblable à l’événement suivant :

    Type d’événement : information

    Source d’événement : MSSQL$MSSQLSERVER

    Catégorie d’événement : (2)

    ID d’événement : 26022

    Date : 3/6/2008

    Heure : 13:46:11

    Utilisateur : N/A

    Ordinateur :nom_ordinateur

    Description :

    Le serveur est à l’écoute sur [ ’any’ <ipv4>50000]

Bloquer les ports d’écoute SQL Server par défaut

Le Pare-feu Windows avec fonctions avancées de sécurité utilise des règles de trafic entrant et des règles de trafic sortant pour sécuriser le trafic réseau entrant et sortant. Étant donné que le Pare-feu Windows bloque par défaut tout le trafic réseau entrant non sollicité, vous n’avez pas besoin de bloquer explicitement les ports d’écoute SQL Server par défaut. Pour plus d’informations, voir Pare-feu Windows avec fonctions avancées de sécurité (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x40C) et Configuration du Pare-feu Windows pour autoriser l’accès à SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x40C)

Configurer le Pare-feu Windows de façon à ouvrir des ports assignés manuellement

1. Dans le Panneau de configuration, ouvrez Système et sécurité.

2. Cliquez sur Pare-feu Windows, puis cliquez sur Paramètres avancés pour ouvrir la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité.

3. Dans le volet de navigation, cliquez sur Règles de trafic entrant pour afficher les options disponibles dans le volet Actions.

4. Cliquez sur Nouvelle règle pour ouvrir l’Assistant Nouvelle règle de trafic entrant.

5. Utilisez l’Assistant pour effectuer les étapes permettant d’autoriser l’accès au port que vous avez défini dans Configurer une instance de SQL Server de façon à écouter sur un port autre que le port par défaut.

Configurer un alias client SQL Server

Si vous bloquez le port UDP 1434 ou le port TCP 1433 sur l’ordinateur SQL Server, vous devez créer un alias client SQL Server sur tous les autres ordinateurs de la batterie de serveurs. Vous pouvez utiliser les composants clients SQL Server pour créer un alias client SQL Server pour les ordinateurs qui se connectent à SQL Server.

1. Exécutez le programme d’installation de SQL Server sur l’ordinateur cible et sélectionnez les composants clients suivants à installer :

   1. Composants de connectivité

   2. Outils de gestion

2. Ouvrez le Gestionnaire de configuration de SQL Server.

3. Dans le volet gauche, cliquez sur Configuration de SQL Native Client.

4. Dans le volet droit, cliquez avec le bouton droit sur Alias et sélectionnez Nouvel alias.

5. Dans la boîte de dialogue Alias, entrez un nom pour l’alias, puis entrez le numéro de port pour l’instance de base de données. Par exemple, entrez SharePoint _alias.

6. Dans le champ Numéro de port, entrez le numéro de port pour l’instance de base de données. Par exemple, entrez 40000. Assurez-vous que le protocole est défini sur TCP/IP.

7. Dans le champ Serveur, entrez le nom de l’ordinateur SQL Server.

8. Cliquez sur Appliquer, puis sur OK.

Tester l’alias client SQL Server

Testez la connectivité à l’ordinateur SQL Server à l’aide de Microsoft SQL Server Management Studio, qui est disponible en installant les composants clients SQL Server.

1. Ouvrez SQL Server Management Studio.

2. Lorsque vous êtes invité à entrer un nom de serveur, entrez le nom de l’alias que vous avez créé, puis cliquez sur Connexion. Si la connexion réussit, SQL Server Management Studio est rempli avec des objets qui correspondent à la base de données distante.

   Notes

   Pour vérifier la connectivité à des instances de base de données supplémentaires à partir de SQL Server Management Studio, cliquez sur Connexion, puis sur Moteur de base de données.