Настройка безопасности SQL Server для сред SharePoint Server

 

**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-12-21

Сводка. Сведения о повышении безопасности SQL Server в средах SharePoint Server 2016 и SharePoint 2013.

При установке SQL Server параметры по умолчанию позволяют обеспечивать безопасность базы данных. Кроме того, можно использовать средства SQL Server и брандмауэр Windows для повышения безопасности SQL Server в средах SharePoint Server.

Важно!

Шаги для обеспечения безопасности, указанные в этой статье, полностью протестированы командой SharePoint. Существуют другие способы защиты SQL Server в ферме SharePoint Server. Дополнительные сведения см. в статьях Защита SQL Server и Обеспечение безопасности SharePoint: защита SQL Server в средах SharePoint.

Содержание:

  • Перед началом работы

  • Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

    • Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию
  • Блокировка портов, прослушиваемых SQL Server по умолчанию

  • Настройка брандмауэра Windows для открытия портов, назначенных вручную

    • Настройка брандмауэра Windows для открытия портов, назначенных вручную
  • Настройка псевдонимов клиента SQL Server

    • Настройка псевдонима клиента SQL Server

Перед началом работы

Перед началом выполнения этой операции просмотрите следующие задачи, позволяющие обеспечить безопасность фермы серверов.

  • Заблокируйте UDP-порт 1434.

  • Настройте именованные экземпляры SQL Server для прослушивания нестандартного порта (отличного от TCP-порта 1433 или UDP-порта 1434).

  • Для обеспечения дополнительного уровня безопасности заблокируйте TCP-порт 1433 и переназначьте порт, используемый экземпляром по умолчанию, заменив его на другой.

  • Настройте псевдонимы клиента SQL Server на всех интерфейсных веб-серверах и серверах приложений в ферме серверов. После блокировки TCP-порта 1433 или UDP-порта 1434 необходимо использовать псевдонимы клиента SQL Server на всех компьютерах, обменивающихся данными с компьютером, на котором установлен SQL Server.

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

SQL Server обеспечивает возможность заново назначать порты, используемые экземпляром по умолчанию и любыми именованными экземплярами. В SQL Server с пакетом обновления 1 (SP1) можно повторно назначить TCP-порт с помощью диспетчера конфигураций SQL Server. Изменение портов по умолчанию делает среду более безопасной от угрозы атак со стороны хакеров, которые знают назначения портов по умолчанию и пытаются использовать их для получения контроля над средой SharePoint.

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.

  2. На компьютере, где запущен SQL Server, откройте диспетчер конфигурации SQL Server.

  3. В области переходов разверните раздел Сетевая конфигурация SQL Server.

  4. Щелкните запись настраиваемого экземпляра.

    Экземпляр по умолчанию помечен как Протоколы для MSSQLSERVER. Именованные экземпляры отображаются как Протоколы для именованного_экземпляра.

  5. В столбце Имя протокола основного окна щелкните правой кнопкой мыши TCP/IP, затем щелкните Свойства.

  6. Выберите вкладку IP-адреса.

    На этой вкладке есть соответствующая запись для каждого IP-адреса, присвоенного компьютеру, на котором установлен SQL Server. По умолчанию SQL Server прослушивает все IP-адреса, присвоенные компьютеру.

  7. Чтобы глобально изменить порт, который прослушивает экземпляр по умолчанию, выполните следующее.

    • Для каждого IP-адреса, кроме IPAll, удалите все значения для параметров Динамические TCP-порты и TCP-порт.

    • Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  8. Чтобы глобально изменить порт, который прослушивает именованный экземпляр, выполните следующее.

    • Для всех IP-адреса, включая IPAll, удалите все значения параметра Динамические TCP-порты. Значение 0 в этом поле означает, что SQL Server использует динамический TCP-порт для IP-адреса. Пустое поле означает, что SQL Server не использует динамический TCP-порт для IP-адреса.

    • Для каждого IP-адреса, кроме IPAll, удалите все значения параметра TCP-порт.

    • Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  9. Нажмите кнопку ОК.

    Сообщение указывает, что изменение не вступит в силу, пока не будет перезапущена служба SQL Server. Нажмите кнопку ОК.

  10. Закройте диспетчер конфигураций SQL Server.

  11. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server прослушивает выбранный порт.

    Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:

    Тип события:информация

    Источник события:MSSQL$MSSQLSERVER

    Категория события:(2)

    Идентификатор события:26022

    Дата: 06.03.08

    Время:1:46:11

    Пользователь:не определен

    Компьютер:имя_компьютера

    Описание:

    Сервер прослушивает порт [ 'любой' <ipv4>50000]

  12. Проверка: при необходимости включите шаги, которые должны выполнить пользователи, чтобы проверить успешность выполнения данной операции.

Блокировка портов, прослушиваемых SQL Server по умолчанию

Брандмауэр Windows в режиме повышенной безопасности использует правила для входящих и исходящих подключений для защиты входящего и исходящего сетевого трафика. Так как брандмауэр Windows по умолчанию блокирует весь незапрошенный сетевой трафик, явно блокировать порты, прослушиваемые SQL Server по умолчанию, не требуется. Дополнительные сведения см. в статьях Общие сведения о брандмауэре Windows в режиме повышенной безопасности и Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Настройка брандмауэра Windows для открытия портов, назначенных вручную

Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере с SQL Server для разрешения доступа. Любые порты, назначаемые вручную, должны открываться в брандмауэре Windows.

Настройка брандмауэра Windows для открытия портов, назначенных вручную

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.

  2. В панели управления откройте компонент Система и безопасность.

  3. Откройте компонент Брандмауэр Windows и щелкните Дополнительные параметры, чтобы открыть диалоговое окно Брандмауэр Windows в режиме повышенной безопасности.

  4. В области навигации щелкните Правила для входящих подключений, чтобы в области Действия отобразились доступные варианты.

  5. Щелкните Создать правило, чтобы открыть мастер создания правила для нового входящего подключения.

  6. В мастере выполните действия, необходимые для предоставления доступа к порту, определенному в разделе Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию.

    Примечание

    Чтобы обеспечить безопасность отправки и приема данных на компьютере с SQL Server, можно настроить протокол IPsec путем задания соответствующих параметров брандмауэра Windows. Для этого необходимо открыть Правила безопасности подключений в области навигации диалогового окна брандмауэра Windows в режиме повышенной безопасности.

Настройка клиентских псевдонимов SQL Server

При блокировке UDP-порта 1434 или TCP-порта 1433 на компьютере, на котором установлен SQL Server, необходимо создать псевдоним клиента SQL Server на всех остальных компьютерах фермы серверов. Чтобы создать псевдоним клиента SQL Server для всех компьютеров, подключенных к SQL Server, воспользуйтесь клиентскими компонентами SQL Server.

Настройка псевдонима клиента SQL Server

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.

  2. Запустите программу установки SQL Server на целевом компьютере и установите следующие клиентские компоненты.

    • Компоненты связи

    • Средства управления

  3. Откройте диспетчер конфигураций SQL Server.

  4. В области переходов щелкните Конфигурация собственного клиента SQL.

  5. В разделе «Элементы» главного окна щелкните правой кнопкой мыши Псевдонимы и выберитеСоздать псевдоним.

  6. В диалоговом окне Псевдоним — создание введите в поле Имя псевдонима нужное значение. Например, введите SharePoint*_псевдоним*.

  7. В поле Номер порта введите номер порта экземпляра базы данных (например, 40000). Убедитесь, что в качестве протокола выбран протокол TCP/IP.

  8. В поле Сервер введите имя компьютера, на котором установлен SQL Server.

  9. Нажмите кнопку Применить, а затем кнопку ОК.

  10. Проверка. Можно проверить псевдоним клиента SQL Server с помощью приложения SQL Server Management Studio, которое доступно при установке клиентских компонентов SQL Server.

  11. Откройте SQL ServerManagement Studio.

  12. При отображении запроса на ввод имени сервера введите имя созданного псевдонима и нажмите Подключить. При успешном установлении соединения SQL ServerManagement Studio заполняется объектами, соответствующими удаленной базе данных.

  13. Для проверки связи с дополнительными экземплярами базы данных из среды SQL ServerManagement Studio нажмите кнопку Подключить и выберите Ядро СУБД.

See also

Блог о защите SQL Server
Обеспечение безопасности SharePoint: защита SQL Server в средах SharePoint
Настройка брандмауэра Windows для доступа к ядру СУБД
Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server)