Share via


Proteger o SQL Server para ambientes do SharePoint (SharePoint Foundation 2010)

 

Aplica-se a: SharePoint Foundation 2010

Tópico modificado em: 2016-11-30

Este artigo descreve como proteger o Microsoft SQL Server para ambientes do Produtos do Microsoft SharePoint 2010.

Neste artigo:

  • Resumo das recomendações de proteção

  • Configurar uma instância do SQL Server para que ela escute em uma porta não padrão

  • Bloquear as portas de escuta padrão do SQL Server

  • Configurar o Firewall do Windows para abrir manualmente as portas atribuídas

  • Configurar um alias do SQL Server

  • Testar o alias do cliente SQL Server

Resumo das recomendações de proteção

Para ambientes de farm de servidores seguros, a recomendação é fazer o seguinte:

  • Bloquear a porta UDP 1434.

  • Configurar instâncias nomeadas do SQL Server para escutar em uma porta não padrão (que não seja a porta TCP 1433 ou a porta UDP 1434).

  • Para obter mais segurança, bloqueie a porta TCP 1433 e reatribua a porta usada pela instância padrão a uma porta diferente.

  • Configure aliases de cliente SQL Server em todos os servidores Web front-end e em servidores de aplicativos do farm de servidores. Após o bloqueio da porta TCP 1433 ou da porta UDP 1434, os aliases de cliente SQL Server são necessários em todos os computadores que se comunicam com o computador que executa o SQL Server.

Para obter mais informações sobre essas recomendações, consulte Planejar a proteção de segurança (SharePoint Foundation 2010).

Configurar uma instância do SQL Server para que ela escute em uma porta não padrão

Use o SQL Server Configuration Manager para alterar a porta TCP que é usada por uma instância do SQL Server.

  1. No computador que executa o SQL Server, abra o SQL Server Configuration Manager.

  2. No painel esquerdo, expanda Configuração de Rede do SQL Server.

  3. Clique na entrada correspondente à instância que você está configurando. A instância padrão aparece na lista como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.

  4. No painel direito, clique com o botão direito do mouse em TCP/IP e clique em Propriedades.

  5. Clique na guia Endereços IP. Para cada endereço IP atribuído ao computador que está executando o SQL Server, há uma entrada correspondente nessa guia. Por padrão, o SQL Server escuta em todos os endereços IP atribuídos ao computador.

  6. Para alterar de forma global a porta em que a instância padrão está escutando, siga estas etapas:

    1. Para cada endereço IP, exceto IPAll, limpe todos os valores de Portas TCP dinâmicas e de Porta TCP.

    2. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.

  7. Para alterar de forma global a porta em que a instância nomeada está escutando, execute as seguintes etapas:

    1. Para cada endereço IP, inclusive IPAll, limpe todos os valores de Portas TCP dinâmicas. O valor 0 para esse campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para esse valor significa que o SQL Server não usará uma porta TCP dinâmica para o endereço IP.

    2. Para cada endereço IP, exceto IPAll, limpe todos os valores de Porta TCP.

    3. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.

  8. Clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.

  9. Feche o SQL Server Configuration Manager.

  10. Reinicie o serviço SQL Server e confirme se o computador que está executando o SQL Server está escutando na porta selecionada. Para isso, examine o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação semelhante a este:

    Tipo de Evento:Informação

    Origem do Evento:MSSQL$MSSQLSERVER

    Categoria do Evento:(2)

    ID do Evento:26022

    Data:6/3/2008

    Hora:1:46:11

    Usuário:N/A

    Computador:nome_do_computador

    Descrição:

    O servidor está escutando em [ 'any' <ipv4>50000]

Bloquear as portas de escuta padrão do SQL Server

O Firewall do Windows com Segurança Avançada usa as Regras de Entrada e as Regras de Saída para proteger o tráfego de rede de entrada e saída. Como o Firewall do Windows bloqueia todo o tráfego de rede de entrada não solicitado por padrão, você não terá que bloquear explicitamente as portas de escuta padrão do SQL Server. Para obter mais informações, consulte Firewall do Windows com Segurança Avançada (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x416) e Configurando o Firewall do Windows para permitir o acesso ao SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x416)

Configurar o Firewall do Windows para abrir manualmente as portas atribuídas

  1. No Painel de Controle, abra Sistema e Segurança.

  2. Clique em Firewall do Windows e em Configurações Avançadas para abrir a caixa de diálogo Firewall do Windows com Segurança Avançada.

  3. No painel de navegação, clique em Regras de Entrada para exibir as opções disponíveis no painel Ações.

  4. Clique em Nova Regra para abrir o Assistente para Nova Regra de Entrada.

  5. Use o assistente para concluir as etapas necessárias para permitir o acesso à porta que você definiu em Configurar uma instância do SQL Server para que ela escute em uma porta não padrão.

Observação

Você pode configurar o protocolo IPsec para ajudar a proteger a comunicação com o computador que executa o SQL Server configurando o firewall do Windows. Você pode fazê-lo selecionando Regras de Segurança de Conexão no painel de navegação da caixa de diálogo Firewall do Windows com Segurança Avançada.

Configurar um alias do SQL Server

Se bloquear a porta UDP 1434 ou a porta TCP 1433 no computador que está executando o SQL Server, você deverá criar um alias de cliente SQL Server em todos os outros computadores do farm de servidores. É possível usar os componentes do cliente SQL Server para criar um alias de cliente SQL Server para computadores que se conectam ao SQL Server.

  1. Execute a Instalação do SQL Server no computador de destino e selecione os seguintes componentes de cliente para instalação:

    1. Componentes de Conectividade

    2. Ferramentas de Gerenciamento

  2. Abra o SQL Server Configuration Manager.

  3. No painel esquerdo, clique em Configuração do SQL Native Client.

  4. No painel direito, clique com o botão direito do mouse em Aliases e selecione Novo Alias.

  5. Na caixa de diálogo Alias, digite um nome para o alias e digite o número da porta da instância do banco de dados. Por exemplo, digite SharePoint*_alias*.

  6. No campo Número da Porta, digite o número da porta para a instância do banco de dados. Por exemplo, digite 40000. Verifique se o protocolo foi definido como TCP/IP.

  7. No campo Servidor, digite o nome do computador que está executando o SQL Server.

  8. Clique em Aplicar e em OK.

Testar o alias do cliente SQL Server

Teste a conectividade com o computador que está executando o SQL Server usando o Microsoft SQL Server Management Studio, disponível por meio da instalação de componentes do cliente SQL Server.

  1. Abra o SQL Server Management Studio.

  2. Quando um nome de servidor for solicitado, digite o nome do alias criado e clique em Conectar. Se a conexão for bem-sucedida, o SQL Server será preenchido por objetos que correspondem ao banco de dados remoto.

    Observação

    Para verificar a conectividade com instâncias adicionais do banco de dados por meio do SQL Server Management Studio, clique em Conectar e em Mecanismo de Banco de Dados.