本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設定 SharePoint 2013 環境的 SQL Server 安全性

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解如何改善 SharePoint 2013 環境中的 SQL Server 安全性。

安裝 SQL Server 時,預設設定即可提供安全的資料庫。此外,您可以使用 SQL Server 工具和 Windows 防火牆,為 SharePoint 2013 環境的 SQL Server 增加額外的安全性。

本文內容:

開始此作業之前,請檢閱下列有關如何保護伺服器陣列安全的工作:

  • 封鎖 UDP 連接埠 1434。

  • 將 SQL Server 的具名執行個體設定為在非標準的連接埠上接聽 (TCP 連接埠 1433 或 UDP 連接埠 1434 以外的連接埠)。

  • 若要再提高其安全性,請封鎖 TCP 連接埠 1433,並將預設執行個體使用的連接埠重新指定為不同的連接埠。

  • 在伺服器陣列中的所有前端網頁伺服器和應用程式伺服器上,設定 SQL Server 用戶端別名。在您封鎖 TCP 連接埠 1433 或 UDP 連接埠 1434 之後,要與執行 SQL Server 的電腦通訊的所有電腦都必須使用 SQL Server 用戶端別名。

注意事項 附註:
由於 SharePoint 2013 以 IIS 網站形式執行,因此管理員和使用者會依賴瀏覽器所提供的協助工具功能。SharePoint 2013 支援受支援瀏覽器的協助工具功能。如需詳細資訊,請參閱下列資源:

SQL Server 可讓您重新指定預設執行個體和任何具名執行個體所使用的連接埠。在 SQL Server 2008 R2 及 SQL Server 2012 中,您可以使用 SQL Server Configuration Manager 重新指定 TCP 連接埠。當您變更預設連接埠時,可防止知道預設指定的駭客利用這點來攻擊 SharePoint 環境,因此可讓環境更安全。

設定 SQL Server 執行個體接聽非預設連接埠
  1. 確認執行此程序的使用者帳戶是 sysadmin 或 serveradmin 固定伺服器角色的成員。

  2. 在執行 SQL Server 的電腦上,開啟 SQL Server Configuration Manager。

  3. 在功能窗格中,展開 [SQL Server 網路組態]。

  4. 按一下所設定之執行個體的對應項目。

    預設的執行個體會列為 [MSSQLSERVER 的通訊協定]。具名執行個體則會顯示為 [named_instance 的通訊協定]。

  5. 在 [通訊協定名稱] 欄的主視窗中,以滑鼠右鍵按一下 [TCP/IP],然後按一下 [內容]。

  6. 按一下 [IP 位址] 索引標籤。

    每個指派給執行 SQL Server 之電腦的 IP 位址,在此索引標籤上都有對應的項目。SQL Server 預設會接聽指派給電腦的所有 IP 位址。

  7. 若要全域變更預設執行個體所接聽的連接埠,請執行下列步驟:

    • 針對 [IPAll] 以外的每個 IP 位址,清除 [TCP 動態通訊埠] 及 [TCP 通訊埠] 的所有值。

    • 針對 [IPAll],清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中,輸入您希望 SQL Server 執行個體接聽的連接埠。例如,輸入 40000。

  8. 若要全域變更具名執行個體所接聽的連接埠,請執行下列步驟:

    • 針對包括 [IPAll] 在內的每個 IP 位址,清除 [TCP 動態通訊埠] 的所有值。若此欄位的值為 0,表示 SQL Server 的 IP 位址使用動態 TCP 連接埠。若此值為空白項目,則表示 SQL Server 的 IP 位址不會使用動態 TCP 連接埠。

    • 針對[IPAll] 以外的每個 IP 位址,清除 [TCP 通訊埠] 的所有值。

    • 針對 [IPAll],清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中,輸入您希望 SQL Server 執行個體接聽的連接埠。例如,輸入 40000。

  9. 按一下 [確定]。

    此時會顯示訊息,指出 SQL Server 服務重新啟動之前,變更不會生效。按一下 [確定]。

  10. 關閉 SQL Server Configuration Manager。

  11. 重新啟動 SQL Server 服務,並確認執行 SQL Server 的電腦正在接聽您選取的連接埠。

    您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄來進行確認。請尋找與下列事件類似的資訊事件:

    事件類型:資訊

    事件來源:MSSQL$MSSQLSERVER

    事件類別:(2)

    事件識別碼:26022

    日期:3/6/2008

    時間:下午 1:46:11

    使用者:無

    電腦:電腦名稱

    說明:

    伺服器正在 [ 'any' <ipv4>50000] 上接聽

  12. 驗證:您可以選擇包含使用者為驗證作業是否成功所應執行的步驟。

具有進階安全性的 Windows 防火牆會使用輸入規則和輸出規則來協助安全的內送和外寄網路流量。將 Windows 防火牆封鎖所有傳入的來路不明的網路流量根據預設,因為您沒有明確封鎖預設SQL Server聆聽連接埠。如需詳細資訊,查看具有進階安全性的 Windows 防火牆Windows 防火牆設定成允許 SQL Server 存取

若要透過防火牆存取 SQL Server 執行個體,您必須將執行 SQL Server 之電腦的防火牆設定為允許存取,且必須在 Windows 防火牆中開啟手動指定的所有連接埠。

將 Windows 防火牆設定為開啟手動指定的連接埠
  1. 確認執行此程序的使用者帳戶是 sysadmin 或 serveradmin 固定伺服器角色的成員。

  2. 在 [控制台] 中,開啟 [系統及安全性]。

  3. 按一下 [Windows 防火牆],然後按一下 [進階設定],以開啟 [具有進階安全性的 Windows 防火牆] 對話方塊。

  4. 在功能窗格中,按一下 [輸入規則] 以在 [動作] 窗格中顯示可用選項。

  5. 按一下 [新增規則] 開啟 [新增輸入規則精靈]。

  6. 使用此精靈,完成允許存取<設定 SQL Server 執行個體接聽非預設連接埠>中所定義連接埠的必要步驟。

    注意事項 附註:
    您可以透過設定 Windows 防火牆,來設定網際網路通訊協定安全性 (IPsec) 以協助保護執行 SQL Server 之電腦的通訊安全。做法是在功能窗格的 [具有進階安全性的 Windows 防火牆] 對話方塊中,選取 [連線安全性規則]。

若在執行 SQL Server 的電腦上封鎖 UDP 連接埠 1434 或 TCP 連接埠 1433,則必須在伺服器陣列中的所有其他電腦上建立 SQL Server 用戶端別名。您可以使用 SQL Server 用戶端元件,為連線至 SQL Server 的電腦建立 SQL Server 用戶端別名。

設定 SQL Server 用戶端別名
  1. 確認執行此程序的使用者帳戶是 sysadmin 或 serveradmin 固定伺服器角色的成員。

  2. 在目標電腦上執行 SQL Server 的安裝程式,並安裝下列用戶端元件:

    • 連接元件

    • 管理工具

  3. 開啟 SQL Server Configuration Manager。

  4. 在功能窗格中,按一下 [SQL Native Client 組態]。

  5. 在 [項目] 底下的主窗格中,以滑鼠右鍵按一下 [別名],然後選取 [新增別名]。

  6. 在 [別名 - 新增] 對話方塊的 [別名名稱] 欄位中,輸入別名的名稱。例如,輸入 SharePoint_別名

  7. 在 [通訊埠號碼] 欄位中,輸入該資料庫執行個體的連接埠號碼。例如,輸入 40000。確定將通訊協定設為 TCP/IP。

  8. 在 [伺服器] 欄位中,輸入執行 SQL Server 的電腦名稱。

  9. 按一下 [套用],然後按一下 [確定]。

  10. 驗證:您可以使用安裝 SQL Server 用戶端元件隨附的 SQL Server Management Studio 測試 SQL Server 用戶端別名。

  11. 開啟 SQL ServerManagement Studio。

  12. 系統提示您輸入伺服器名稱時,請輸入您建立的別名名稱,然後按一下 [連線]。如果連線成功,則 SQL ServerManagement Studio 會填入與遠端資料庫對應的物件。

  13. 若要從 SQL ServerManagement Studio 中檢查與其他資料庫執行個體的連線,請按一下 [連線],然後再按一下 [Database Engine]。

https://technet.microsoft.com/zh-tw/library/jj219681.aspx
顯示: