Configurare la sicurezza di SQL Server per SharePoint Server

Articolo
02/23/2018

**Si applica a:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2017-12-21

Riepilogo: informazioni su come migliorare la sicurezza di SQL Server per ambienti SharePoint Server 2016 e SharePoint 2013.

Quando si installa SQL Server, le impostazioni predefinite consentono di fornire un database sicuro. È inoltre possibile usare gli strumenti di SQL Server e Windows Firewall per aggiungere ulteriore sicurezza a SQL Server per ambienti SharePoint Server.

Importante

Le procedure di sicurezza descritte in questo argomento sono state interamente testate dal team di SharePoint. Esistono altri modi per contribuire alla protezione di SQL Server in una farm di SharePoint Server. Per ulteriori informazioni, vedere Sicurezza di SQL Server e Protezione di SharePoint: finalizzare SQL Server in ambienti SharePoint.

Contenuto dell'articolo:

Prima di iniziare
Configurazione di un'istanza di SQL Server per l'attesa su una porta non predefinita
- Per configurare un'istanza di SQL Server per l'attesa su una porta non predefinita
Blocco delle porte di attesa predefinite di SQL Server
Configurazione di Windows Firewall per l'apertura di porte assegnate manualmente
- Per configurare Windows Firewall per l'apertura di porte assegnate manualmente
Configurazione di alias per client di SQL Server
- Per configurare un alias per client di SQL Server

Prima di iniziare

Prima di iniziare questa operazione, esaminare le attività seguenti su come proteggere la server farm:

Bloccare la porta UDP 1434.
Configurare le istanze denominate di SQL Server per l'attesa su una porta non standard, ovvero su una porta diversa dalla porta TCP 1433 o dalla porta UDP 1434.
Per una maggiore sicurezza, bloccare la porta TCP 1433 e riassegnare la porta utilizzata dall'istanza predefinita a un'altra porta.
Configurare alias per client di SQL Server in tutti i server Web front-end e in tutti i server applicazioni nella server farm. Dopo aver bloccato la porta TCP 1433 o la porta UDP 1434, gli alias per client di SQL Server sono necessari in tutti i computer che comunicano con il computer che esegue SQL Server.

Configurazione di un'istanza di SQL Server per l'attesa su una porta non predefinita

In SQL Server è possibile riassegnare le porte utilizzate dall'istanza predefinita e da qualsiasi istanza denominata. In SQL Server Service Pack 1 (SP1) è possibile riassegnare la porta TCP utilizzando Gestione configurazione SQL Server. Modificando le porte predefinite, è possibile proteggere ulteriormente l'ambiente dagli hacker, che in genere conoscono le assegnazioni predefinite e le utilizzano per sfruttare l'ambiente SharePoint.

Per configurare un'istanza di SQL Server per l'attesa su una porta non predefinita

Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del ruolo predefinito del server sysadmin o serveradmin.
Nel computer che esegue SQL Server aprire Gestione configurazione SQL Server.
Nel riquadro di spostamento espandere Configurazione di rete SQL Server.
Fare clic sulla voce corrispondente all'istanza da configurare.

L'istanza predefinita è inclusa nell'elenco come Protocolli per MSSQLSERVER. Le istanze denominate vengono invece visualizzate come Protocolli per istanza_denominata.
Nella colonna Nome protocollo della finestra principale fare clic con il pulsante destro del mouse su TCP/IP e quindi scegliere Proprietà.
Fare clic sulla scheda Indirizzi IP.

In questa scheda è contenuta una voce corrispondente a ogni indirizzo IP assegnato al computer che esegue SQL Server. Per impostazione predefinita, SQL Server è in attesa su tutti gli indirizzi IP assegnati al computer.
Per cambiare a livello globale la porta su cui è in attesa l'istanza predefinita, eseguire la procedura seguente:
- Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori di Porte dinamiche TCP e Porta TCP.
- Per IPAll cancellare il valore di Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui deve essere in attesa l'istanza di SQL Server, ad esempio 40000.
Per modificare a livello globale la porta su cui è in attesa un'istanza denominata, eseguire la procedura seguente:
- Per ogni indirizzo IP, incluso IPAll, cancellare tutti i valori di Porte dinamiche TCP. Un valore pari a 0 per questo campo indica che SQL Server utilizzerà una porta TCP dinamica per l'indirizzo IP. Se questo campo è vuoto, SQL Server non utilizzerà alcuna porta TCP dinamica per l'indirizzo IP.
- Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori di Porta TCP.
- Per IPAll cancellare il valore di Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui deve essere in attesa l'istanza di SQL Server, ad esempio 40000.
Fare clic su OK.

Verrà visualizzato un messaggio in cui viene indicato che la modifica verrà applicata solo dopo il riavvio del servizio SQL Server. Fare clic su OK.
Chiudere Gestione configurazione SQL Server.
Riavviare il servizio SQL Server e verificare che il computer che esegue SQL Server sia in attesa sulla porta selezionata.

A tale scopo, eseguire una ricerca nel log del Visualizzatore eventi dopo aver riavviato il servizio SQL Server. Cercare un evento informativo simile al seguente:

Tipo evento: Informazioni

Origine evento: MSSQL$MSSQLSERVER

Categoria evento: (2)

ID evento: 26022

Data: 06/03/2008

Ora: 13.46.11

Utente: N/D

Computer: nome_computer

Descrizione:

Il server è in attesa su [ 'any' <ipv4>50000]
Verifica: è possibile includere i passaggi che dovranno eseguire gli utenti per verificare la corretta esecuzione dell'operazione.

Blocco delle porte di attesa predefinite di SQL Server

Windows Firewall con protezione avanzata utilizza regole in ingresso e in uscita per proteggere il traffico di rete in ingresso e in uscita. Poiché per impostazione predefinita Windows Firewall blocca tutto il traffico di rete indesiderato in ingresso, non è necessario bloccare esplicitamente le porte di attesa predefinite di SQL Server. Per altre informazioni, vedere Windows Firewall con protezione avanzata e Configurazione di Windows Firewall per consentire l'accesso a SQL Server.

Configurazione di Windows Firewall per l'apertura di porte assegnate manualmente

Per accedere a un'istanza di SQL Server attraverso un firewall, è necessario configurare il firewall nel computer che esegue SQL Server in modo da consentire l'accesso. Tutte le porte assegnate manualmente devono essere aperte in Windows Firewall.

Per configurare Windows Firewall per l'apertura di porte assegnate manualmente

Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del ruolo predefinito del server sysadmin o serveradmin.
Nel Pannello di controllo aprire Sistema e sicurezza.
Fare clic su Windows Firewall e quindi su Impostazioni avanzate per aprire la finestra di dialogo Windows Firewall con protezione avanzata.
Nel riquadro di spostamento fare clic su Regole in entrata per visualizzare le opzioni disponibili nel riquadro Azioni.
Fare clic su Nuova regola per aprire la Creazione guidata nuova regola connessioni in entrata.
Utilizzare la procedura guidata per eseguire i passaggi necessari per consentire l'accesso alla porta definita in Configurazione di un'istanza di SQL Server per l'attesa su una porta non predefinita.

Nota

È possibile configurare IPsec (Internet Protocol security) per proteggere la comunicazione da e verso il computer che esegue SQL Server configurando il firewall Windows. A tale scopo, selezionare Regole di protezione delle connessioni nel riquadro di spostamento della finestra di dialogo Windows Firewall con protezione avanzata.

Configurazione di alias per client di SQL Server

Se si blocca la porta UDP 1434 o la porta TCP 1433 nel computer che esegue SQL Server, è necessario creare un alias per client SQL Server in tutti gli altri computer della server farm. È possibile usare i componenti client di SQL Server per creare un alias per client di SQL Server per i computer che si connettono a SQL Server.

Per configurare un alias per client di SQL Server

Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del ruolo predefinito del server sysadmin o serveradmin.
Eseguire il programma di installazione di SQL Server nel computer di destinazione e installare i componenti client seguenti:
- Componenti di connettività
- Strumenti di gestione
Aprire Gestione configurazione SQL Server.
Nel riquadro di spostamento fare clic su Configurazione SQL Native Client.
In Elementi nella finestra principale fare clic con il pulsante destro del mouse su Alias e quindi scegliere Nuovo alias.
Nella finestra di dialogo Alias immettere un nome per l'alias nel campo Nome alias, ad esempio Alias_ SharePoint.
Nel campo Numero porta immettere il numero di porta per l'istanza di database, ad esempio 40000. Verificare che il protocollo sia impostato su TCP/IP.
Nel campo Server immettere il nome del computer che esegue SQL Server.
Fare clic su Applica e quindi su OK.
Verifica: è possibile testare l'alias per client di SQL Server utilizzando SQL Server Management Studio, disponibile quando si installano i componenti client di SQL Server.
Aprire SQL ServerManagement Studio.
Quando viene richiesto di immettere un nome di server, specificare il nome dell'alias creato e quindi fare clic su Connetti. Se la connessione riesce, in SQL ServerManagement Studio vengono indicati gli oggetti corrispondenti al database remoto.
Per verificare la connettività ad altre istanze di database da SQL ServerManagement Studio, fare clic su Connetti e quindi su Motore di database.