Configurer la sécurité SQL Server pour SharePoint ServerConfigure SQL Server security for SharePoint Server

Résumé : Découvrez comment améliorer la sécurité de SQL Server pour les environnements SharePoint Server 2016 et SharePoint 2013.Summary: Learn how to improve the security of SQL Server for SharePoint Server 2016 and SharePoint 2013 environments.

Quand vous installez SQL Server, les paramètres par défaut permettent d'obtenir une base de données sécurisée. En outre, vous pouvez utiliser les outils SQL Server et le Pare-feu Windows pour renforcer la sécurité de SQL Server pour les environnements SharePoint Server.When you install SQL Server, the default settings help to provide a safe database. In addition, you can use SQL Server tools and Windows Firewall to add additional security to SQL Server for SharePoint Server environments.

Important

Les étapes de sécurité expliquées dans cette rubrique ont toutes été testées par l'équipe SharePoint. Il existe d'autres solutions pour sécuriser SQL Server dans une batterie de serveurs SharePoint Server. Pour en savoir plus, consultez la rubrique Sécurisation de SQL Server et le blog sur la sécurisation de SharePoint : renforcement de la sécurité de SQL Server dans les environnements SharePoint.The security steps in this topic are fully tested by the SharePoint team. There are other ways to help secure SQL Server in a SharePoint Server farm. For more information, see Securing SQL Server and Securing SharePoint: Harden SQL Server in SharePoint Environments.

Avant de commencerBefore you begin

Avant de commencer cette opération, passez en revue les tâches suivantes relatives à la sécurisation de votre batterie de serveurs :Before you begin this operation, review the following tasks about how to secure your server farm:

  • bloquer le port UDP 1434 ;Block UDP port 1434.

  • configurer des instances nommées de SQL Server pour écouter sur un port non standard (autre que le port TCP 1433 ou le port UDP 1434) ;Configure named instances of SQL Server to listen on a nonstandard port (other than TCP port 1433 or UDP port 1434).

  • pour plus de sécurité, bloquer le port TCP 1433 et réaffecter le port utilisé par l'instance par défaut à un port différent ;For additional security, block TCP port 1433 and reassign the port that is used by the default instance to a different port.

  • configurer des alias client SQL Server sur tous les serveurs web frontaux et les serveurs d'applications de la batterie de serveurs. Après le blocage du port TCP 1433 ou du port UDP 1434, les alias client SQL Server sont nécessaires sur tous les ordinateurs qui communiquent avec l'ordinateur SQL Server.Configure SQL Server client aliases on all front-end web servers and application servers in the server farm. After you block TCP port 1433 or UDP port 1434, SQL Server client aliases are necessary on all computers that communicate with the computer that is running SQL Server.

Configuration d'une instance de SQL Server pour écouter sur un port autre que le port par défautConfiguring a SQL Server instance to listen on a non-default port

SQL Server permet de réassigner les ports utilisés par l'instance par défaut et toute instance nommée. Dans SQL Server Service Pack 1 (SP1), vous réassignez le port TCP à l'aide du Gestionnaire de configuration SQL Server. Lorsque vous modifiez les ports par défaut, vous sécurisez l'environnement vis-à-vis des pirates informatiques qui connaissent les affectations par défaut et qui les utilisent pour exploiter votre environnement SharePoint.SQL Server provides the ability to reassign the ports that are used by the default instance and any named instances. In SQL Server Service Pack 1 (SP1), you reassign the TCP port by using SQL Server Configuration Manager. When you change the default ports, you make the environment more secure against hackers who know default assignments and use them to exploit your SharePoint environment.

Pour configurer une instance de SQL Server pour écouter sur un port autre que le port par défautTo configure a SQL Server instance to listen on a non-default port

  1. Vérifiez que le compte d'utilisateur qui exécute cette procédure est membre du rôle serveur fixe sysadmin ou serveradmin.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Sur l'ordinateur SQL Server, ouvrez le Gestionnaire de configuration SQL Server.On the computer that is running SQL Server, open SQL Server Configuration Manager.

  3. Dans le volet de navigation, développez Configuration du réseau SQL Server.In the navigation pane, expand SQL Server Network Configuration.

  4. Cliquez sur l'entrée correspondant à l'instance que vous configurez.Click the corresponding entry for the instance that you are configuring.

    L'instance par défaut est répertoriée en tant que Protocoles pour MSSQLSERVER. Les instances nommées seront désignées comme Protocoles pour instance_nommée.The default instance is listed as Protocols for MSSQLSERVER. Named instances will appear as Protocols for named_instance.

  5. Dans la fenêtre principale, dans la colonne Nom du protocole, cliquez avec le bouton droit sur TCP/IP, puis cliquez sur Propriétés.In the main window in the Protocol Name column, right-click TCP/IP, and then click Properties.

  6. Cliquez sur l'onglet Adresses IP.Click the IP Addresses tab.

    À chaque adresse IP assignée à l'ordinateur SQL Server correspond une entrée sous cet onglet. Par défaut, SQL Server écoute toutes les adresses IP assignées à l'ordinateur.For every IP address that is assigned to the computer that is running SQL Server, there is a corresponding entry on this tab. By default, SQL Server listens on all IP addresses that are assigned to the computer.

  7. Pour modifier globalement le port que l'instance par défaut écoute, procédez comme suit :To globally change the port that the default instance is listening on, follow these steps:

    • Pour chaque adresse IP à l'exception de IPAll, effacez toutes les valeurs dans les champs Ports TCP dynamiques et Port TCP.For each IP address except IPAll, clear all values for both TCP dynamic ports and TCP Port.

    • Pour IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l'instance de SQL Server écoute. Par exemple, entrez 40000.For IPAll, clear the value for TCP dynamic ports. In the TCP Port field, enter the port that you want the instance of SQL Server to listen on. For example, enter 40000.

  8. Pour modifier globalement le port qu'une instance nommée écoute, procédez comme suit :To globally change the port that a named instance is listening on, follow these steps:

    • Pour chaque adresse IP, y compris pour IPAll, effacez toutes les valeurs du champ Ports TCP dynamiques. Une valeur égale à 0 pour ce champ indique que SQL Server utilise un port TCP dynamique pour l'adresse IP. Une entrée vierge pour cette valeur signifie que SQL Server n'utilisera pas de port TCP dynamique pour l'adresse IP.For each IP address including IPAll, clear all values for TCP dynamic ports. A value of 0 for this field indicates that SQL Server uses a dynamic TCP port for the IP address. A blank entry for this value means that SQL Server will not use a dynamic TCP port for the IP address.

    • Pour chaque adresse IP à l'exception de IPAll, effacez toutes les valeurs du champ Port TCP.For each IP address except IPAll, clear all values for TCP Port.

    • Pour IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l'instance de SQL Server écoute. Par exemple, entrez 40000.For IPAll, clear the value for TCP dynamic ports. In the TCP Port field, enter the port that you want the instance of SQL Server to listen on. For example, enter 40000.

  9. Cliquez sur OK.Click OK.

    Un message indique que la modification ne prendra effet qu'après le redémarrage du service SQL Server. Cliquez sur OK.A message indicates that the change will not take effect until the SQL Server service is restarted. Click OK.

  10. Fermez le Gestionnaire de configuration SQL Server.Close SQL Server Configuration Manager.

  11. Redémarrez le service SQL Server et vérifiez que l'ordinateur SQL Server est à l'écoute sur le port que vous avez sélectionné.Restart the SQL Server service and confirm that the computer that is running SQL Server is listening on the port that you selected.

    Vous pouvez le vérifier en recherchant dans le journal de l'Observateur d'événements après avoir redémarré le service SQL Server. Recherchez un événement d'information semblable à l'événement suivant :You can confirm this by looking in the Event Viewer log after you restart the SQL Server service. Look for an information event similar to the following event:

    Type d'événement : informationEvent Type:Information

    Source d'événement : MSSQL$MSSQLSERVEREvent Source:MSSQL$MSSQLSERVER

    Catégorie d'événement : (2)Event Category:(2)

    ID d'événement : 26022Event ID:26022

    Date : 3/6/2008Date:3/6/2008

    Heure : 13:46:11Time:1:46:11 PM

    Utilisateur : N/AUser:N/A

    Ordinateur : nom_ordinateurComputer: computer_name

    Description :Description:

    Le serveur écoute sur [ 'any' <ipv4>50000]Server is listening on [ 'any' <ipv4>50000]

  12. Vérification : éventuellement, ajoutez les étapes que les utilisateurs doivent effectuer pour vérifier que l'opération s'est déroulée correctement.Verification: Optionally, include steps that users should perform to verify that the operation was successful.

Blocage des ports d'écoute SQL Server par défautBlocking default SQL Server listening ports

Le Pare-feu Windows avec fonctions avancées de sécurité utilise des règles de trafic entrant et des règles de trafic sortant pour faciliter la sécurisation du trafic réseau entrant et sortant. Le Pare-feu Windows bloque par défaut tout le trafic réseau entrant non sollicité. Ainsi, vous n'avez pas besoin de bloquer explicitement les ports d'écoute SQL Server par défaut. Pour plus d'informations, voir Vue d'ensemble du Pare-feu Windows avec fonctions avancées de sécurité et Configurer le Pare-feu Windows pour autoriser l'accès à SQL Server.Windows Firewall with Advanced Security uses Inbound Rules and Outbound Rules to help secure incoming and outgoing network traffic. Because Windows Firewall blocks all incoming unsolicited network traffic by default, you do not have to explicitly block the default SQL Server listening ports. For more information, see Windows Firewall with Advanced Security and Configuring the Windows Firewall to Allow SQL Server Access.

Configuration du Pare-feu Windows pour ouvrir des ports assignés manuellementConfiguring Windows Firewall to open manually assigned ports

Pour accéder à une instance SQL Server par le biais d'un pare-feu, vous devez configurer le pare-feu sur l'ordinateur SQL Server afin d'autoriser l'accès. Tous les ports que vous affectez manuellement doivent être ouverts dans le Pare-feu Windows.To access a SQL Server instance through a firewall, you must configure the firewall on the computer that is running SQL Server to allow access. Any ports that you manually assign must be open in Windows Firewall.

Pour configurer le Pare-feu Windows pour ouvrir des ports assignés manuellementTo configure Windows Firewall to open manually assigned ports

  1. Vérifiez que le compte d'utilisateur qui exécute cette procédure est membre du rôle serveur fixe sysadmin ou serveradmin.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Dans le Panneau de configuration, ouvrez Système et sécurité.In Control Panel, open System and Security.

  3. Cliquez sur Pare-feu Windows, puis cliquez sur Paramètres avancés pour ouvrir la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité.Click Windows Firewall, and then click Advanced Settings to open the Windows Firewall with Advanced Security dialog box.

  4. Dans le volet de navigation, cliquez sur Règles de trafic entrant pour afficher les options disponibles dans le volet Actions.In the navigation pane, click Inbound Rules to display the available options in the Actions pane.

  5. Cliquez sur Nouvelle règle pour ouvrir l' Assistant Nouvelle règle de trafic entrant.Click New Rule to open the New Inbound Rule Wizard.

  6. Utilisez l'Assistant pour effectuer les étapes permettant d'autoriser l'accès au port que vous avez défini dans Configuration d'une instance de SQL Server pour écouter sur un port autre que le port par défaut.Use the wizard to complete the steps that are required to allow access to the port that you defined in Configuring a SQL Server instance to listen on a non-default port.

    Note

    Vous pouvez configurer la sécurité du protocole Internet (IPsec) pour faciliter la sécurisation des communications vers et depuis l'ordinateur exécutant SQL Server en configurant le Pare-feu Windows. Pour ce faire, sélectionnez Règles de sécurité de connexion dans le volet de navigation de la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité.You can configure the Internet Protocol security (IPsec) to help secure communication to and from your computer that is running SQL Server by configuring the Windows firewall. You do this by selecting Connection Security Rules in the navigation pane of the Windows Firewall with Advanced Security dialog box.

Configuration des alias client SQL ServerConfiguring SQL Server client aliases

Si vous bloquez le port UDP 1434 ou le port TCP 1433 sur l'ordinateur SQL Server, vous devez créer un alias client SQL Server sur tous les autres ordinateurs de la batterie de serveurs. Vous pouvez utiliser les composants clients SQL Server pour créer un alias client SQL Server pour les ordinateurs qui se connectent à SQL Server.If you block UDP port 1434 or TCP port 1433 on the computer that is running SQL Server, you must create a SQL Server client alias on all other computers in the server farm. You can use SQL Server client components to create a SQL Server client alias for computers that connect to SQL Server.

Pour configurer un alias client SQL ServerTo configure a SQL Server client alias

  1. Vérifiez que le compte d'utilisateur qui exécute cette procédure est membre du rôle serveur fixe sysadmin ou serveradmin.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Exécutez le programme d'installation de SQL Server sur l'ordinateur cible et installez les composants clients suivants :Run Setup for SQL Server on the target computer, and install the following client components:

    • Composants de connectivitéConnectivity Components

    • Outils de gestionManagement Tools

  3. Ouvrez le Gestionnaire de configuration SQL Server.Open SQL Server Configuration Manager.

  4. Dans le volet de navigation, cliquez sur Configuration de SQL Native Client.In the navigation pane, click SQL Native Client Configuration.

  5. Dans la fenêtre principale sous Éléments, cliquez avec le bouton droit sur Alias et sélectionnez Nouvel alias.In the main window under Items, right-click Aliases, and select New Alias.

  6. Dans la boîte de dialogue Alias - Nouveau, dans le champ Nom de l'alias, entrez un nom pour l'alias. Par exemple, entrez SharePoint _alias.In the Alias - New dialog box, in the Alias Name field, enter a name for the alias. For example, enter SharePoint _alias.

  7. Dans le champ Numéro de port, entrez le numéro de port pour l'instance de base de données. Par exemple, entrez 40000. Assurez-vous que le protocole est défini sur TCP/IP.In the Port No field, enter the port number for the database instance. For example, enter 40000. Make sure that the protocol is set to TCP/IP.

  8. Dans le champ Serveur, entrez le nom de l'ordinateur SQL Server.In the Server field, enter the name of the computer that is running SQL Server.

  9. Cliquez sur Appliquer, puis sur OK.Click Apply, and then click OK.

  10. Vérification : vous pouvez tester l'alias client SQL Server à l'aide de SQL Server Management Studio, disponible quand vous installez les composants clients SQL Server.Verification: You can test the SQL Server client alias by using SQL Server Management Studio, which is available when you install SQL Server client components.

  11. Ouvrez SQL ServerManagement Studio.Open SQL ServerManagement Studio.

  12. Quand vous êtes invité à entrer un nom de serveur, entrez le nom de l'alias que vous avez créé, puis cliquez sur Connexion. Si la connexion réussit, SQL ServerManagement Studio est rempli avec des objets qui correspondent à la base de données distante.When you are prompted to enter a server name, enter the name of the alias that you created, and then click Connect. If the connection is successful, SQL ServerManagement Studio is populated with objects that correspond to the remote database.

  13. Pour vérifier la connectivité à des instances de base de données supplémentaires à partir de SQL ServerManagement Studio, cliquez sur Connecter, puis sur Moteur de base de données.To check connectivity to additional database instances from SQL ServerManagement Studio, click Connect, and then click Database Engine.

Voir aussiSee also

Autres ressourcesOther Resources

Blog sur la sécurisation de SQL ServerSQL Server Security Blog

Blog sur la sécurisation de SharePoint : renforcement de la sécurité de SQL Server dans les environnements SharePointSecuring SharePoint: Harden SQL Server in SharePoint Environments

Configurer un pare-feu Windows pour accéder au moteur de base de donnéesConfigure a Windows Firewall for Database Engine Access

Configurer un serveur pour écouter un port TCP spécifique (Gestionnaire de configuration SQL Server)Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager)