Konfigurieren von SQL Server-Sicherheit für SharePoint ServerConfigure SQL Server security for SharePoint Server

Zusammenfassung: Hier erfahren Sie, wie Sie die Sicherheit von SQL Server für SharePoint Server 2016- und SharePoint 2013-Umgebungen verbessern können.Summary: Learn how to improve the security of SQL Server for SharePoint Server 2016 and SharePoint 2013 environments.

Bei der Installation von SQL Server unterstützen die Standardeinstellungen Sie beim Bereitstellen einer sicheren Datenbank. Außerdem können Sie SQL Server-Tools und die Windows-Firewall verwenden, um die Sicherheit von SQL Server für SharePoint Server zu erhöhen.When you install SQL Server, the default settings help to provide a safe database. In addition, you can use SQL Server tools and Windows Firewall to add additional security to SQL Server for SharePoint Server environments.

Wichtig

[!WICHTIGER HINWEIS] Die Sicherheitsschritte in diesem Thema werden vollständig vom SharePoint-Team getestet. Es gibt weitere Methoden zum Sichern von SQL Server in einer SharePoint Server-Farm. Weitere Informationen finden Sie unter Sichern von SQL Server und Sichern von SharePoint: Verstärken der Sicherheit von SQL Server in SharePoint-Umgebungen.The security steps in this topic are fully tested by the SharePoint team. There are other ways to help secure SQL Server in a SharePoint Server farm. For more information, see Securing SQL Server and Securing SharePoint: Harden SQL Server in SharePoint Environments.

Bevor Sie beginnen:Before you begin

Berücksichtigen Sie die folgenden Aufgaben zum Sichern Ihrer Serverfarm, bevor Sie dieses Verfahren anwenden:Before you begin this operation, review the following tasks about how to secure your server farm:

  • Blockieren Sie UDP-Port 1434.Block UDP port 1434.

  • Konfigurieren Sie benannte Instanzen von SQL Server zum Belauschen eines Nichtstandardports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).Configure named instances of SQL Server to listen on a nonstandard port (other than TCP port 1433 or UDP port 1434).

  • Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem anderen Port zuweisen.For additional security, block TCP port 1433 and reassign the port that is used by the default instance to a different port.

  • Konfigurieren Sie SQL Server-Clientaliase auf allen Front-End-Webservern und -Anwendungsservern in der Serverfarm. Nachdem der TCP-Port 1433 oder der UDP-Port 1434 blockiert wurden, sind SQL Server-Clientaliase auf allen Computern erforderlich, die mit dem Computer kommunizieren, auf dem SQL Server ausgeführt wird.Configure SQL Server client aliases on all front-end web servers and application servers in the server farm. After you block TCP port 1433 or UDP port 1434, SQL Server client aliases are necessary on all computers that communicate with the computer that is running SQL Server.

Konfigurieren einer SQL Server-Instanz zum Belauschen eines NichtstandardportsConfiguring a SQL Server instance to listen on a non-default port

In SQL Server können Ports, die von der Standardinstanz und benannten Instanzen verwendet werden, neu zugewiesen werden. In SQL Server Service Pack 1 (SP1) weisen Sie den TCP-Port mithilfe des SQL Server-Konfigurations-Managers erneut zu. Durch Ändern der Standardports sichern Sie die Umgebung besser gegen Hacker ab, denen die Standardzuweisungen bekannt sind, und die sie zum Ausnutzen Ihrer SharePoint-Umgebung nutzen.SQL Server provides the ability to reassign the ports that are used by the default instance and any named instances. In SQL Server Service Pack 1 (SP1), you reassign the TCP port by using SQL Server Configuration Manager. When you change the default ports, you make the environment more secure against hackers who know default assignments and use them to exploit your SharePoint environment.

So konfigurieren Sie eine SQL Server-Instanz zum Belauschen eines NichtstandardportsTo configure a SQL Server instance to listen on a non-default port

  1. Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, entweder Mitglied der festen Serverrolle "sysadmin" oder "serveradmin" ist.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Öffnen Sie auf dem Computer mit SQL Server den SQL Server-Konfigurations-Manager.On the computer that is running SQL Server, open SQL Server Configuration Manager.

  3. Erweitern Sie im Navigationsbereich die Option SQL Server-Netzwerkkonfiguration.In the navigation pane, expand SQL Server Network Configuration.

  4. Klicken Sie auf den entsprechenden Eintrag für die zu konfigurierende Instanz.Click the corresponding entry for the instance that you are configuring.

    Die Standardinstanz wird aufgelistet als Protokolle für MSSQLSERVER. Benannte Instanzen werden angezeigt als Protokolle für benannte Instanz.The default instance is listed as Protocols for MSSQLSERVER. Named instances will appear as Protocols for named_instance.

  5. Klicken Sie im Hauptfenster in der Spalte Protokollname mit der rechten Maustaste auf TCP/IP, und klicken Sie auf Eigenschaften.In the main window in the Protocol Name column, right-click TCP/IP, and then click Properties.

  6. Klicken Sie auf die Registerkarte IP-Adressen.Click the IP Addresses tab.

    Für jede dem Computer mit SQL Server zugewiesene IP-Adresse befindet sich auf dieser Registerkarte ein entsprechender Eintrag. Standardmäßig werden von SQL Server alle IP-Adressen abgehört, die dem Computer zugewiesen sind.For every IP address that is assigned to the computer that is running SQL Server, there is a corresponding entry on this tab. By default, SQL Server listens on all IP addresses that are assigned to the computer.

  7. Führen Sie die folgenden Schritte aus, um den Port, der von der Standardinstanz abgehört wird, global zu ändern:To globally change the port that the default instance is listening on, follow these steps:

    • Löschen Sie für alle IP-Adressen außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.For each IP address except IPAll, clear all values for both TCP dynamic ports and TCP Port.

    • Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.For IPAll, clear the value for TCP dynamic ports. In the TCP Port field, enter the port that you want the instance of SQL Server to listen on. For example, enter 40000.

  8. Führen Sie die folgenden Schritte aus, um den Port, der von einer benannten Instanz belauscht wird, global zu ändern:To globally change the port that a named instance is listening on, follow these steps:

    • Löschen Sie für alle IP-Adressen einschließlich IPAll alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass von SQL Server für die IP-Adresse ein dynamischer TCP-Port verwendet wird. Ein leerer Eintrag für diesen Wert bedeutet, dass von SQL Server kein dynamischer TCP-Port für die IP-Adresse verwendet wird.For each IP address including IPAll, clear all values for TCP dynamic ports. A value of 0 for this field indicates that SQL Server uses a dynamic TCP port for the IP address. A blank entry for this value means that SQL Server will not use a dynamic TCP port for the IP address.

    • Löschen Sie für alle IP-Adressen außer IPAll alle Werte für TCP-Port.For each IP address except IPAll, clear all values for TCP Port.

    • Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.For IPAll, clear the value for TCP dynamic ports. In the TCP Port field, enter the port that you want the instance of SQL Server to listen on. For example, enter 40000.

  9. Klicken Sie auf OK.Click OK.

    Eine Meldung weist darauf hin, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.A message indicates that the change will not take effect until the SQL Server service is restarted. Click OK.

  10. Schließen Sie den SQL Server-Konfigurations-Manager.Close SQL Server Configuration Manager.

  11. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der ausgewählte Port vom Computer mit SQL Server belauscht wird.Restart the SQL Server service and confirm that the computer that is running SQL Server is listening on the port that you selected.

    Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:You can confirm this by looking in the Event Viewer log after you restart the SQL Server service. Look for an information event similar to the following event:

    Ereignistyp: InformationEvent Type:Information

    Ereignisquelle: MSSQL$MSSQLSERVEREvent Source:MSSQL$MSSQLSERVER

    Ereigniskategorie: (2)Event Category:(2)

    Ereignis-ID: 26022Event ID:26022

    Datum: 06.03.2008Date:3/6/2008

    Uhrzeit: 1:46:11 UhrTime:1:46:11 PM

    Benutzer: n/vUser:N/A

    Computer: computer_nameComputer: computer_name

    Beschreibung:Description:

    Der Server überwacht [ 'any' <ipv4>50000]Server is listening on [ 'any' <ipv4>50000]

  12. Überprüfen: Schließen Sie optional auch Schritte ein, mit denen Benutzer überprüfen können, ob der Vorgang erfolgreich war.Verification: Optionally, include steps that users should perform to verify that the operation was successful.

Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-PortsBlocking default SQL Server listening ports

Die Windows-Firewall mit erweiterter Sicherheit verwendet eingehende und ausgehende Regeln, um den eingehenden und ausgehenden Netzwerkverkehr optimal zu schützen. Da die Windows-Firewall den gesamten unerwünschten eingehenden Netzwerkverkehr standardmäßig blockiert, müssen Sie die standardmäßigen zum Belauschen verwendeten SQL Server-Ports nicht explizit blockieren. Weitere Informationen finden Sie unter Windows-Firewall mit erweiterter Sicherheit und Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.Windows Firewall with Advanced Security uses Inbound Rules and Outbound Rules to help secure incoming and outgoing network traffic. Because Windows Firewall blocks all incoming unsolicited network traffic by default, you do not have to explicitly block the default SQL Server listening ports. For more information, see Windows Firewall with Advanced Security and Configuring the Windows Firewall to Allow SQL Server Access.

Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener PortsConfiguring Windows Firewall to open manually assigned ports

Für den Zugriff auf eine SQL Server-Instanz durch eine Firewall müssen Sie die Firewall auf dem Computer konfigurieren, auf dem SQL Server ausgeführt wird, um den Zugriff zu gewähren. Alle manuell zugewiesenen Ports müssen in der Windows-Firewall geöffnet sein.To access a SQL Server instance through a firewall, you must configure the firewall on the computer that is running SQL Server to allow access. Any ports that you manually assign must be open in Windows Firewall.

So konfigurieren Sie die Windows-Firewall zum Öffnen manuell zugewiesener PortsTo configure Windows Firewall to open manually assigned ports

  1. Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, entweder Mitglied der festen Serverrolle "sysadmin" oder "serveradmin" ist.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Öffnen Sie in Der Systemsteuerung System und Sicherheit.In Control Panel, open System and Security.

  3. Klicken Sie auf Windows-Firewall und dann auf Erweiterte Einstellungen, um das Dialogfeld Windows-Firewall mit erweiterter Sicherheit zu öffnen.Click Windows Firewall, and then click Advanced Settings to open the Windows Firewall with Advanced Security dialog box.

  4. Klicken Sie im Navigationsbereich auf Eingehende Regeln, um die verfügbaren Optionen im Bereich Aktionen anzuzeigen.In the navigation pane, click Inbound Rules to display the available options in the Actions pane.

  5. Klicken Sie auf Neue Regel, um den Assistenten für neue eingehende Regel zu öffnen.Click New Rule to open the New Inbound Rule Wizard.

  6. Führen Sie mithilfe des Assistenten die nötigen Schritte aus, um Zugriff auf den Port zu gewähren, den Sie unter Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports definiert haben.Use the wizard to complete the steps that are required to allow access to the port that you defined in Configuring a SQL Server instance to listen on a non-default port.

    Hinweis

    Sie können die Internet Protocol-Sicherheit (IPsec) konfigurieren, um die Kommunikation zu und von Ihrem Computer mit SQL Server zu schützen, indem Sie die Windows-Firewall konfigurieren. Dazu wählen Sie im Navigationsbereich im Dialogfeld Windows-Firewall mit erweiterter Sicherheit die Option Verbindungssicherheitsregeln aus.You can configure the Internet Protocol security (IPsec) to help secure communication to and from your computer that is running SQL Server by configuring the Windows firewall. You do this by selecting Connection Security Rules in the navigation pane of the Windows Firewall with Advanced Security dialog box.

Konfigurieren von SQL Server-ClientaliasenConfiguring SQL Server client aliases

Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem Computer mit SQL Server blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL Server-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL Server-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server herstellen.If you block UDP port 1434 or TCP port 1433 on the computer that is running SQL Server, you must create a SQL Server client alias on all other computers in the server farm. You can use SQL Server client components to create a SQL Server client alias for computers that connect to SQL Server.

So konfigurieren Sie einen SQL Server-ClientaliasTo configure a SQL Server client alias

  1. Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, entweder Mitglied der festen Serverrolle "sysadmin" oder "serveradmin" ist.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Führen Sie auf dem Zielcomputer das Setup für SQL Server aus, und installieren Sie die folgenden Clientkomponenten:Run Setup for SQL Server on the target computer, and install the following client components:

    • KonnektivitätskomponentenConnectivity Components

    • VerwaltungstoolsManagement Tools

  3. Öffnen Sie den SQL Server-Konfigurations-Manager.Open SQL Server Configuration Manager.

  4. Klicken Sie im Navigationsbereich auf SQL Native Client-Konfiguration.In the navigation pane, click SQL Native Client Configuration.

  5. Klicken Sie im Hauptfenster unter Elemente mit der rechten Maustaste auf Aliase, und wählen Sie Neuer Alias aus.In the main window under Items, right-click Aliases, and select New Alias.

  6. Geben Sie im Dialogfeld Alias - Neu im Feld Aliasname einen Namen für den Alias ein. Geben Sie beispielsweise SharePoint _alias ein.In the Alias - New dialog box, in the Alias Name field, enter a name for the alias. For example, enter SharePoint _alias.

  7. Geben Sie in das Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40.000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.In the Port No field, enter the port number for the database instance. For example, enter 40000. Make sure that the protocol is set to TCP/IP.

  8. Geben Sie in das Feld Server den Namen des Computers mit SQL Server ein.In the Server field, enter the name of the computer that is running SQL Server.

  9. Klicken Sie auf Anwenden, und klicken Sie dann auf OK.Click Apply, and then click OK.

  10. Überprüfen: Sie können den SQL Server-Clientalias mithilfe von SQL Server Management Studio testen, das bei der Installation von SQL Server-Clientkomponenten verfügbar ist.Verification: You can test the SQL Server client alias by using SQL Server Management Studio, which is available when you install SQL Server client components.

  11. Öffnen Sie SQL Server Management Studio.Open SQL ServerManagement Studio.

  12. Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.When you are prompted to enter a server name, enter the name of the alias that you created, and then click Connect. If the connection is successful, SQL ServerManagement Studio is populated with objects that correspond to the remote database.

  13. Zum Überprüfen der Konnektivität mit weiteren Datenbankinstanzen in SQL Server Management Studio klicken Sie auf Verbinden und dann auf Datenbankmodul.To check connectivity to additional database instances from SQL ServerManagement Studio, click Connect, and then click Database Engine.

Siehe auchSee also

Weitere RessourcenOther Resources

Blog zur SQL Server-SicherheitSQL Server Security Blog

Bewertung der SQL-SicherheitslückenSQL Vulnerability Assessment

Sichern von SharePoint: Verstärken der Sicherheit von SQL Server in SharePoint-UmgebungenSecuring SharePoint: Harden SQL Server in SharePoint Environments

Konfigurieren einer Windows-Firewall für DatenbankmodulzugriffConfigure a Windows Firewall for Database Engine Access

Konfigurieren eines Servers zum Belauschen eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager)Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager)