Configurer la sécurité SQL Server pour SharePoint Server

 

**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-12-21

Résumé : Découvrez comment améliorer la sécurité de SQL Server pour les environnements SharePoint Server 2016 et SharePoint 2013.

Quand vous installez SQL Server, les paramètres par défaut permettent d’obtenir une base de données sécurisée. En outre, vous pouvez utiliser les outils SQL Server et le Pare-feu Windows pour renforcer la sécurité de SQL Server pour les environnements SharePoint Server.

Important

Les étapes de sécurité expliquées dans cette rubrique ont toutes été testées par l’équipe SharePoint. Il existe d’autres solutions pour sécuriser SQL Server dans une batterie de serveurs SharePoint Server. Pour en savoir plus, consultez la rubrique Sécurisation de SQL Server et le blog sur la sécurisation de SharePoint : renforcement de la sécurité de SQL Server dans les environnements SharePoint.

Contenu de cet article :

  • Avant de commencer

  • Configuration d'une instance de SQL Server pour écouter sur un port autre que le port par défaut

    • Pour configurer une instance de SQL Server pour écouter sur un port autre que le port par défaut
  • Blocage des ports d'écoute SQL Server par défaut

  • Configuration du Pare-feu Windows pour ouvrir des ports assignés manuellement

    • Pour configurer le Pare-feu Windows pour ouvrir des ports assignés manuellement
  • Configuration des alias client SQL Server

    • Pour configurer un alias client SQL Server

Avant de commencer

Avant de commencer cette opération, passez en revue les tâches suivantes relatives à la sécurisation de votre batterie de serveurs :

  • bloquer le port UDP 1434 ;

  • configurer des instances nommées de SQL Server pour écouter sur un port non standard (autre que le port TCP 1433 ou le port UDP 1434) ;

  • pour plus de sécurité, bloquer le port TCP 1433 et réaffecter le port utilisé par l’instance par défaut à un port différent ;

  • configurer des alias client SQL Server sur tous les serveurs web frontaux et les serveurs d’applications de la batterie de serveurs. Après le blocage du port TCP 1433 ou du port UDP 1434, les alias client SQL Server sont nécessaires sur tous les ordinateurs qui communiquent avec l’ordinateur SQL Server.

Configuration d’une instance de SQL Server pour écouter sur un port autre que le port par défaut

SQL Server permet de réassigner les ports utilisés par l’instance par défaut et toute instance nommée. Dans SQL Server Service Pack 1 (SP1), vous réassignez le port TCP à l’aide du Gestionnaire de configuration SQL Server. Lorsque vous modifiez les ports par défaut, vous sécurisez l’environnement vis-à-vis des pirates informatiques qui connaissent les affectations par défaut et qui les utilisent pour exploiter votre environnement SharePoint.

Pour configurer une instance de SQL Server pour écouter sur un port autre que le port par défaut

  1. Vérifiez que le compte d’utilisateur qui exécute cette procédure est membre du rôle serveur fixe sysadmin ou serveradmin.

  2. Sur l’ordinateur SQL Server, ouvrez le Gestionnaire de configuration SQL Server.

  3. Dans le volet de navigation, développez Configuration du réseau SQL Server.

  4. Cliquez sur l’entrée correspondant à l’instance que vous configurez.

    L’instance par défaut est répertoriée en tant que Protocoles pour MSSQLSERVER. Les instances nommées seront désignées comme Protocoles pour instance_nommée.

  5. Dans la fenêtre principale, dans la colonne Nom du protocole, cliquez avec le bouton droit sur TCP/IP, puis cliquez sur Propriétés.

  6. Cliquez sur l’onglet Adresses IP.

    À chaque adresse IP assignée à l’ordinateur SQL Server correspond une entrée sous cet onglet. Par défaut, SQL Server écoute toutes les adresses IP assignées à l’ordinateur.

  7. Pour modifier globalement le port que l’instance par défaut écoute, procédez comme suit :

    • Pour chaque adresse IP à l’exception de IPAll, effacez toutes les valeurs dans les champs Ports TCP dynamiques et Port TCP.

    • Pour IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

  8. Pour modifier globalement le port qu’une instance nommée écoute, procédez comme suit :

    • Pour chaque adresse IP, y compris pour IPAll, effacez toutes les valeurs du champ Ports TCP dynamiques. Une valeur égale à 0 pour ce champ indique que SQL Server utilise un port TCP dynamique pour l’adresse IP. Une entrée vierge pour cette valeur signifie que SQL Server n’utilisera pas de port TCP dynamique pour l’adresse IP.

    • Pour chaque adresse IP à l’exception de IPAll, effacez toutes les valeurs du champ Port TCP.

    • Pour IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

  9. Cliquez sur OK.

    Un message indique que la modification ne prendra effet qu’après le redémarrage du service SQL Server. Cliquez sur OK.

  10. Fermez le Gestionnaire de configuration SQL Server.

  11. Redémarrez le service SQL Server et vérifiez que l’ordinateur SQL Server est à l’écoute sur le port que vous avez sélectionné.

    Vous pouvez le vérifier en recherchant dans le journal de l’Observateur d’événements après avoir redémarré le service SQL Server. Recherchez un événement d’information semblable à l’événement suivant :

    Type d’événement : information

    Source d’événement : MSSQL$MSSQLSERVER

    Catégorie d’événement : (2)

    ID d’événement : 26022

    Date : 3/6/2008

    Heure : 13:46:11

    Utilisateur : N/A

    Ordinateur :nom_ordinateur

    Description :

    Le serveur écoute sur [ 'any' <ipv4>50000]

  12. Vérification : éventuellement, ajoutez les étapes que les utilisateurs doivent effectuer pour vérifier que l’opération s’est déroulée correctement.

Blocage des ports d’écoute SQL Server par défaut

Le Pare-feu Windows avec fonctions avancées de sécurité utilise des règles de trafic entrant et des règles de trafic sortant pour faciliter la sécurisation du trafic réseau entrant et sortant. Le Pare-feu Windows bloque par défaut tout le trafic réseau entrant non sollicité. Ainsi, vous n’avez pas besoin de bloquer explicitement les ports d’écoute SQL Server par défaut. Pour plus d’informations, voir Vue d’ensemble du Pare-feu Windows avec fonctions avancées de sécurité et Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server.

Configuration du Pare-feu Windows pour ouvrir des ports assignés manuellement

Pour accéder à une instance SQL Server par le biais d’un pare-feu, vous devez configurer le pare-feu sur l’ordinateur SQL Server afin d’autoriser l’accès. Tous les ports que vous affectez manuellement doivent être ouverts dans le Pare-feu Windows.

Pour configurer le Pare-feu Windows pour ouvrir des ports assignés manuellement

  1. Vérifiez que le compte d’utilisateur qui exécute cette procédure est membre du rôle serveur fixe sysadmin ou serveradmin.

  2. Dans le Panneau de configuration, ouvrez Système et sécurité.

  3. Cliquez sur Pare-feu Windows, puis cliquez sur Paramètres avancés pour ouvrir la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité.

  4. Dans le volet de navigation, cliquez sur Règles de trafic entrant pour afficher les options disponibles dans le volet Actions.

  5. Cliquez sur Nouvelle règle pour ouvrir l’Assistant Nouvelle règle de trafic entrant.

  6. Utilisez l’Assistant pour effectuer les étapes permettant d’autoriser l’accès au port que vous avez défini dans Configurer une instance de SQL Server de façon à écouter sur un port autre que le port par défaut.

    Notes

    Vous pouvez configurer la sécurité du protocole Internet (IPsec) pour faciliter la sécurisation des communications vers et depuis l’ordinateur exécutant SQL Server en configurant le Pare-feu Windows. Pour ce faire, sélectionnez Règles de sécurité de connexion dans le volet de navigation de la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité.

Configuration des alias client SQL Server

Si vous bloquez le port UDP 1434 ou le port TCP 1433 sur l’ordinateur SQL Server, vous devez créer un alias client SQL Server sur tous les autres ordinateurs de la batterie de serveurs. Vous pouvez utiliser les composants clients SQL Server pour créer un alias client SQL Server pour les ordinateurs qui se connectent à SQL Server.

Pour configurer un alias client SQL Server

  1. Vérifiez que le compte d’utilisateur qui exécute cette procédure est membre du rôle serveur fixe sysadmin ou serveradmin.

  2. Exécutez le programme d’installation de SQL Server sur l’ordinateur cible et installez les composants clients suivants :

    • Composants de connectivité

    • Outils de gestion

  3. Ouvrez le Gestionnaire de configuration SQL Server.

  4. Dans le volet de navigation, cliquez sur Configuration de SQL Native Client.

  5. Dans la fenêtre principale sous Éléments, cliquez avec le bouton droit sur Alias et sélectionnez Nouvel alias.

  6. Dans la boîte de dialogue Alias - Nouveau, dans le champ Nom de l’alias, entrez un nom pour l’alias. Par exemple, entrez SharePoint _alias.

  7. Dans le champ Numéro de port, entrez le numéro de port pour l’instance de base de données. Par exemple, entrez 40000. Assurez-vous que le protocole est défini sur TCP/IP.

  8. Dans le champ Serveur, entrez le nom de l’ordinateur SQL Server.

  9. Cliquez sur Appliquer, puis sur OK.

  10. Vérification : vous pouvez tester l’alias client SQL Server à l’aide de SQL Server Management Studio, disponible quand vous installez les composants clients SQL Server.

  11. Ouvrez SQL ServerManagement Studio.

  12. Quand vous êtes invité à entrer un nom de serveur, entrez le nom de l’alias que vous avez créé, puis cliquez sur Connexion. Si la connexion réussit, SQL ServerManagement Studio est rempli avec des objets qui correspondent à la base de données distante.

  13. Pour vérifier la connectivité à des instances de base de données supplémentaires à partir de SQL ServerManagement Studio, cliquez sur Connecter, puis sur Moteur de base de données.

See also

Blog sur la sécurisation de SQL Server
Blog sur la sécurisation de SharePoint : renforcement de la sécurité de SQL Server dans les environnements SharePoint
Configurer un pare-feu Windows pour accéder au moteur de base de données
Configurer un serveur pour écouter un port TCP spécifique (Gestionnaire de configuration SQL Server)