Applicare la sicurezza avanzata a SQL Server per gli ambienti SharePoint (SharePoint Foundation 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo viene descritto come applicare la protezione avanzata a Microsoft SQL Server per gli ambienti con Prodotti Microsoft SharePoint 2013.

Contenuto dell'articolo:

Per ambienti server farm sicuri, è consigliabile eseguire le operazioni seguenti:

  • Bloccare la porta UDP 1434.

  • Configurare le istanze denominate di SQL Server in modo che siano in attesa su una porta non standard, ovvero diversa dalla porta TCP 1433 o dalla porta UDP 1434.

  • Per maggiore sicurezza, bloccare la porta TCP 1433 e riassegnare la porta utilizzata dall'istanza predefinita a una porta diversa.

  • Configurare gli alias per client SQL Server in tutti i server Web front-end e in tutti i server applicazioni della server farm. Dopo il blocco della porta TCP 1433 o della porta UDP 1434, gli alias per client SQL Server sono necessari in tutti i computer che comunicano con il computer che esegue SQL Server.

Per ulteriori informazioni su questi consigli, vedere Pianificare la sicurezza avanzata (Windows SharePoint Services).

Utilizzare Gestione configurazione SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server.

  1. Nel computer che esegue SQL Server aprire Gestione configurazione SQL Server.

  2. Nel riquadro a sinistra espandere Configurazione di rete SQL Server.

  3. Fare clic sulla voce corrispondente all'istanza da configurare. L'istanza predefinita è inclusa nell'elenco come Protocolli per MSSQLSERVER, mentre le istanze denominate vengono visualizzate come Protocolli per istanza_denominata.

  4. Nel riquadro a destra fare clic con il pulsante destro del mouse su TCP/IP e quindi scegliere Proprietà.

  5. Fare clic sulla scheda Indirizzi IP. Tale scheda include una voce corrispondente per ogni indirizzo IP assegnato al computer che esegue SQL Server. Per impostazione predefinita, SQL Server è in attesa su tutti gli indirizzi IP assegnati al computer.

  6. Per cambiare a livello globale la porta su cui è in attesa l'istanza predefinita, eseguire la procedura seguente:

    1. Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori per Porte dinamiche TCP e Porta TCP.

    2. Per IPAll, cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui si desidera resti in attesa l'istanza di SQL Server. Ad esempio, digitare 40000.

  7. Per cambiare a livello globale la porta su cui è in attesa un'istanza denominata, eseguire le operazioni seguenti:

    1. Per ogni indirizzo IP, incluso IPAll, cancellare tutti i valori per Porte dinamiche TCP. Un valore pari a 0 per questo campo indica che SQL Server utilizza una porta dinamica TCP per l'indirizzo IP. Se questo campo è vuoto, SQL Server non utilizzerà alcuna porta dinamica TCP per l'indirizzo IP.

    2. Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori per Porta TCP .

    3. Per IPAll, cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui si desidera resti in attesa l'istanza di SQL Server. Ad esempio, digitare 40000.

  8. Fare clic su OK. Verrà visualizzato un messaggio che indica che la modifica verrà applicata solo dopo il riavvio del servizio SQL Server. Fare clic su OK.

  9. Chiudere Gestione configurazione SQL Server.

  10. Riavviare il servizio SQL Server e verificare che il computer che esegue SQL Server sia in attesa sulla porta selezionata. A tale scopo, dopo il riavvio del servizio SQL Server, cercare nel registro del visualizzatore eventi informazioni analoghe all'evento seguente:

    Tipo evento: Informazioni

    Origine evento: MSSQL$MSSQLSERVER

    Categoria evento: (2)

    ID evento: 26022

    Data: 06/03/2008

    Ora: 13:46:11

    Utente: N/D

    Computer: nome_computer

    Descrizione:

    Il server è in attesa su [ 'any' <ipv4>50000]

Windows Firewall con protezione avanzata utilizza regole in entrata e in uscita per proteggere il traffico di rete in entrata e in uscita. Poiché Windows Firewall blocca tutto il traffico di rete in entrata indesiderato per impostazione predefinita, non è necessario bloccare in modo esplicito le porte di di attesa predefinite di SQL Server. Per ulteriori informazioni, vedere Windows Firewall con protezione avanzata (http://go.microsoft.com/fwlink/?linkid=214109&clcid=0x410) e Configurazione di Windows Firewall per consentire l'accesso a SQL Server (http://go.microsoft.com/fwlink/?linkid=210584&clcid=0x410)

  1. Nel Pannello di controllo aprire Sistema e sicurezza.

  2. Fare clic su Windows Firewall e quindi su Impostazioni avanzate per aprire la finestra di dialogo Windows Firewall con protezione avanzata.

  3. Nel riquadro di spostamento fare clic su Regole in entrata per visualizzare le opzioni disponibili nel riquadro Azioni.

  4. Fare clic su Nuova regola per aprire la Creazione guidata nuova regola connessioni in entrata.

  5. Utilizzare la procedura guidata per eseguire i passaggi necessari per consentire l'accesso alla porta definita in Configurare un'istanza di SQL Server in modo che rimanga in attesa su una porta non predefinita.

NotaNote
È possibile configurare IPsec (Internet Protocol security) per proteggere la comunicazione da e verso il computer che esegue SQL Server configurando il firewall Windows. A tale scopo, selezionare Regole di protezione delle connessioni nel riquadro di spostamento della finestra di dialogo Windows Firewall con protezione avanzata.

Se si blocca la porta UDP 1434 o la porta TCP 1433 nel computer che esegue SQL Server, è necessario creare un alias per client SQL Server in tutti gli altri computer della server farm. È possibile utilizzare i componenti client SQL Server per creare un alias per client SQL Server per computer che si connettono a SQL Server.

  1. Eseguire il programma di installazione di SQL Server nel computer di destinazione e selezionare i componenti client seguenti per l'installazione:

    1. Componenti di connettività

    2. Strumenti di gestione

  2. Aprire Gestione configurazione SQL Server.

  3. Nel riquadro a sinistra fare clic su Configurazione SQL Native Client.

  4. Nel riquadro a destra fare clic con il pulsante destro del mouse su Alias e quindi scegliere Nuovo alias.

  5. Nella finestra di dialogo Alias immettere un nome per l'alias e quindi specificare il numero di porta per l'istanza di database, ad esempio SharePoint_alias.

  6. Nel campo Numero porta immettere il numero di porta per l'istanza di database, ad esempio 40000. Verificare che il protocollo sia impostato su TCP/IP.

  7. Nel campo Server immettere il nome del computer che esegue SQL Server.

  8. Fare clic su Applica e quindi su OK.

Testare la connettività al computer che esegue SQL Server utilizzando Microsoft SQL Server Management Studio, disponibile mediante l'installazione dei componenti client di SQL Server.

  1. Aprire SQL Server Management Studio.

  2. Quando viene richiesta l'immissione di un nome server, specificare il nome dell'alias creato e quindi fare clic su Connetti. Se la connessione ha esito positivo, in SQL Server Management Studio vengono inseriti gli oggetti corrispondenti al database remoto.

    NotaNote
    Per verificare la connettività ad altre istanze di database da SQL Server Management Studio, fare clic su Connetti e quindi selezionare Motore di database.

Mostra: