設定 SharePoint Server 的 SQL Server 安全性

發行項
01/15/2018

**適用版本：**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**上次修改主題的時間：**2017-12-21

**摘要：**了解如何改善 SharePoint Server 2016 和 SharePoint 2013 環境中的 SQL Server 安全性。

安裝 SQL Server 時，預設設定即可提供安全的資料庫。此外，您可以使用 SQL Server 工具和 Windows 防火牆，為 SharePoint Server 環境的 SQL Server 增加額外的安全性。

重要

本主題中的安全性步驟已由 SharePoint 小組全面測試。還有其他方式可協助保護 SharePoint Server 伺服器陣列中的 SQL Server。如需詳細資訊，請參閱保護 SQL Server 以及保護 SharePoint：強化 SharePoint 環境中的 SQL Server。

本文內容：

開始之前
設定 SQL Server 執行個體接聽非預設連接埠
- 設定 SQL Server 執行個體接聽非預設連接埠
封鎖預設 SQL Server 接聽連接埠
將 Windows 防火牆設定為開啟手動指派的連接埠
- 將 Windows 防火牆設定為開啟手動指派的連接埠
設定 SQL Server 用戶端別名
- 設定 SQL Server 用戶端別名

開始之前

開始這項作業之前，請檢閱下列有關如何保護伺服器陣列安全的工作：

封鎖 UDP 連接埠 1434。
將 SQL Server 的具名執行個體設定為在非標準的連接埠上接聽 (TCP 連接埠 1433 或 UDP 連接埠 1434 以外的連接埠)。
若要再提高其安全性，請封鎖 TCP 連接埠 1433，並將預設執行個體使用的連接埠重新指定為不同的連接埠。
在伺服器陣列中的所有前端網頁伺服器和應用程式伺服器上，設定 SQL Server 用戶端別名。在您封鎖 TCP 連接埠 1433 或 UDP 連接埠 1434 之後，要與執行 SQL Server 的電腦通訊的所有電腦都必須使用 SQL Server 用戶端別名。

設定 SQL Server 執行個體接聽非預設連接埠

SQL Server 可讓您重新指派預設執行個體和任何具名執行個體所使用的連接埠。在 SQL Server Service Pack 1 (SP1) 中，您可以使用 SQL Server Configuration Manager 重新指派 TCP 連接埠。當您變更預設連接埠時，可防止知道預設指派的駭客利用這點來攻擊 SharePoint 環境，因此可讓環境更安全。

設定 SQL Server 執行個體接聽非預設連接埠

確認執行此程序的使用者帳戶是 sysadmin 或 serveradmin 固定伺服器角色的成員。
在執行 SQL Server 的電腦上，開啟 SQL Server Configuration Manager。
在功能窗格中，展開 [SQL Server 網路組態]。
按一下所設定之執行個體的對應項目。

預設的執行個體會列為 [MSSQLSERVER 的通訊協定]。具名執行個體則會顯示為 [named_instance 的通訊協定]。
在 [通訊協定名稱] 欄的主視窗中，以滑鼠右鍵按一下 [TCP/IP]，然後按一下 [內容]。
按一下 [IP 位址] 索引標籤。

每個指派給執行 SQL Server 之電腦的 IP 位址，在此索引標籤上都有對應的項目。SQL Server 預設會接聽指派給電腦的所有 IP 位址。
若要全域變更預設執行個體所接聽的連接埠，請執行下列步驟：
- 針對 [IPAll] 以外的每個 IP 位址，清除 [TCP 動態通訊埠] 及 [TCP 通訊埠] 的所有值。
- 針對 [IPAll]，清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中，輸入您希望 SQL Server 執行個體接聽的連接埠。例如，輸入 40000。
若要全域變更具名執行個體所接聽的連接埠，請執行下列步驟：
- 針對包括 [IPAll] 在內的每個 IP 位址，清除 [TCP 動態通訊埠] 的所有值。若此欄位的值為 0，表示 SQL Server 的 IP 位址使用動態 TCP 連接埠。若此值為空白項目，則表示 SQL Server 的 IP 位址不會使用動態 TCP 連接埠。
- 針對[IPAll] 以外的每個 IP 位址，清除 [TCP 通訊埠] 的所有值。
- 針對 [IPAll]，清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中，輸入您希望 SQL Server 執行個體接聽的連接埠。例如，輸入 40000。
按一下 [確定]。

此時會顯示訊息，指出 SQL Server 服務重新啟動之前，變更不會生效。按一下 [確定]。
關閉 SQL Server Configuration Manager。
重新啟動 SQL Server 服務，並確認執行 SQL Server 的電腦正在接聽您選取的連接埠。

您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄來進行確認。請尋找與下列事件類似的資訊事件：

事件類型：資訊

事件來源：MSSQL$MSSQLSERVER

事件類別：(2)

事件識別碼：26022

日期：3/6/2008

時間：下午 1:46:11

使用者：無

電腦：電腦名稱

描述：

伺服器正在 [ 'any' <ipv4>50000] 上接聽
**驗證：**選擇性地包含使用者驗證作業是否成功應執行的步驟。

封鎖預設 SQL Server 接聽連接埠

具有進階安全性的 Windows 防火牆使用輸入規則和輸出規則，來協助保護連入及連出網路流量的安全。因為 Windows 防火牆預設會封鎖所有來路不明的連入網路流量，所以您不需要明確封鎖預設 SQL Server 接聽連接埠。如需詳細資訊，請參閱具有進階安全性的 Windows 防火牆和設定 Windows 防火牆以允許 SQL Server 存取。

將 Windows 防火牆設定為開啟手動指派的連接埠

若要透過防火牆存取 SQL Server 執行個體，您必須將執行 SQL Server 之電腦的防火牆設定為允許存取，且必須在 Windows 防火牆中開啟手動指定的所有連接埠。

將 Windows 防火牆設定為開啟手動指派的連接埠

確認執行此程序的使用者帳戶是 sysadmin 或 serveradmin 固定伺服器角色的成員。
在 [控制台] 中，開啟 [系統及安全性]。
按一下 [Windows 防火牆]，然後按一下 [進階設定]，以開啟 [具有進階安全性的 Windows 防火牆] 對話方塊。
在功能窗格中，按一下 [輸入規則] 以在 [動作] 窗格中顯示可用選項。
按一下 [新增規則] 開啟 [新增輸入規則精靈]。
使用此精靈，完成允許存取＜設定 SQL Server 執行個體接聽非預設連接埠＞中所定義連接埠的必要步驟。

注意

您可以透過設定 Windows 防火牆，來設定網際網路通訊協定安全性 (IPsec) 以協助保護執行 SQL Server 之電腦的通訊安全。做法是在功能窗格的 [具有進階安全性的 Windows 防火牆] 對話方塊中，選取 [連線安全性規則]。

設定 SQL Server 用戶端別名

若在執行 SQL Server 的電腦上封鎖 UDP 連接埠 1434 或 TCP 連接埠 1433，則必須在伺服器陣列中的所有其他電腦上建立 SQL Server 用戶端別名。您可以使用 SQL Server 用戶端元件，為連線至 SQL Server 的電腦建立 SQL Server 用戶端別名。

設定 SQL Server 用戶端別名

確認執行此程序的使用者帳戶是 sysadmin 或 serveradmin 固定伺服器角色的成員。
在目標電腦上執行 SQL Server 的安裝程式，並安裝下列用戶端元件：
- 連接元件
- 管理工具
開啟 SQL Server Configuration Manager。
在功能窗格中，按一下 [SQL Native Client 組態]。
在 [項目] 底下的主窗格中，以滑鼠右鍵按一下 [別名]，然後選取 [新增別名]。
在 [別名 - 新增] 對話方塊的 [別名名稱] 欄位中，輸入別名的名稱。例如，輸入 SharePoint*_別名*。
在 [通訊埠號碼] 欄位中，輸入該資料庫執行個體的連接埠號碼。例如，輸入 40000。確定將通訊協定設為 TCP/IP。
在 [伺服器] 欄位中，輸入執行 SQL Server 的電腦名稱。
按一下 [套用]，然後按一下 [確定]。
**驗證：**您可以使用安裝 SQL Server 用戶端元件隨附的 SQL Server Management Studio 測試 SQL Server 用戶端別名。
開啟 SQL ServerManagement Studio。
系統提示您輸入伺服器名稱時，請輸入您建立的別名名稱，然後按一下 [連線]。如果連線成功，則 SQL ServerManagement Studio 會填入與遠端資料庫對應的物件。
若要從 SQL ServerManagement Studio 中檢查與其他資料庫執行個體的連線，請按一下 [連線]，然後再按一下 [Database Engine]。