SharePoint 環境用に SQL Server のセキュリティを強化する (SharePoint Server 2010)

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

この記事では、Microsoft SharePoint 2010 製品 環境用に Microsoft SQL Server のセキュリティを強化する方法を説明します。

この記事の内容

• セキュリティ強化に関する推奨事項の概要

• 既定以外のポートでリッスンするように SQL Server のインスタンスを構成する

• 既定の SQL Server リッスン ポートをブロックする

• Windows ファイアウォールを構成して割り当てられたポートを手動で開く

• SQL クライアント エイリアスを構成する

• SQL クライアント エイリアスをテストする

セキュリティ強化に関する推奨事項の概要

サーバー ファーム環境のセキュリティ保護のため、ここでは以下のことを推奨事項としています。

• UDP ポート 1434 をブロックします。

• 標準以外のポート (TCP ポート 1433 または UDP ポート 1434 以外) をリッスンするように、SQL Server の名前付きインスタンスを構成します。

• セキュリティをさらに強化するためには、TCP ポート 1433 をブロックし、既定のインスタンスで使用されているポートを別のポートに割り当てます。

• サーバー ファーム内のすべてのフロントエンド Web サーバーとアプリケーション サーバーで SQL Server クライアント エイリアスを構成します。TCP ポート 1433 または UDP ポート 1434 をブロックした後は、SQL Server を実行しているコンピューターと通信するすべてのコンピューターで SQL クライアント エイリアスが必要です。

これらの推奨事項の詳細については、「セキュリティ強化を計画する (Office SharePoint Server)」を参照してください。

既定以外のポートでリッスンするように SQL Server インスタンスを構成する

SQL Server 構成マネージャーを使用して、SQL Server のインスタンスで使用する TCP ポートを変更します。

1. SQL Server を実行しているコンピューターで、SQL Server 構成マネージャーを開きます。

2. 左側のウィンドウで、[SQL Server ネットワークの構成] を展開します。

3. 構成するインスタンスに対応するエントリをクリックします。既定のインスタンスは、[MSSQLSERVER のプロトコル] と一覧に表示されています。名前付きインスタンスは、[named_instance のプロトコル] と表示されます。

4. 右側のウィンドウで、[TCP/IP] 右クリックし、[プロパティ] をクリックします。

5. [IP アドレス] タブをクリックします。このタブには、SQL Server を実行しているコンピューターに割り当てられている IP アドレスのそれぞれについて対応するエントリがあります。既定では、SQL Server は、そのコンピューターに割り当てられているすべての IP アドレスをリッスンします。

6. 既定のインスタンスがリッスンしているポートをグローバルに変更するには、次の手順を実行します。

   1. IPAll を除く IP ごとに、[TCP 動的ポート] と [TCP ポート] の両方のすべての値をクリアします。

   2. IPAll の場合は、[TCP 動的ポート] の値をクリアします。SQL Server のインスタンスがリッスンするポートを "TCP ポート" フィールドに入力します。たとえば、「40000」と入力します。

7. 名前付きインスタンスがリッスンしているポートをグローバルに変更するには、次の手順を実行します。

   1. IPAll を含む IP ごとに、[TCP 動的ポート] のすべての値をクリアします。このフィールドの値が 0 の場合は、SQL Server が IP アドレスに動的 TCP ポートを使用することを意味します。この値が空白の場合は、SQL Server が IP アドレスに動的 TCP ポートを使用することを意味します。

   2. IPAll を除く IP ごとに、[TCP ポート] のすべての値をクリアします。

   3. IPAll の場合は、[TCP 動的ポート] の値をクリアします。SQL Server のインスタンスがリッスンするポートを "TCP ポート" フィールドに入力します。たとえば、「40000」と入力します。

8. [OK] をクリックします。変更内容は SQL Server サービスが再起動されたときに有効になりますというメッセージが表示されます。[OK] をクリックします。

9. SQL Server 構成マネージャーを終了します。

10. SQL Server サービスを再起動し、SQL Server を実行しているコンピューターが、選択したポートをリッスンしていることを確認します。これは、SQL Server サービスの再起動後にイベント ビューアー ログを表示して確認できます。次のイベントと同様の情報イベントを確認してください。

    イベントの種類: 情報

    イベント ソース: MSSQL$MSSQLSERVER

    イベントの分類: (2)

    イベント ID: 26022

    日付: 2008/03/06

    時刻: 1:46:11 PM

    ユーザー: N/A

    コンピューター: computer_name

    説明:

    サーバーは ['any' <ipv4>50000] でリッスンしています。

既定の SQL Server リッスン ポートをブロックする

[セキュリティが強化された Windows ファイアウォール] では、[受信の規則] と [送信の規則] を使用して受信および送信ネットワーク トラフィックをセキュリティ保護します。Windows ファイアウォールは既定ですべての未承諾の受信トラフィックをブロックするので、SQL Server が既定でリッスンするポートを明示的にブロックする必要はありません。詳細については、「セキュリティが強化された Windows ファイアウォール」(https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x411) と「SQL Server のアクセスを許可するための Windows ファイアウォールの構成」(https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x411) を参照してください。

Windows ファイアウォールを構成して割り当てられたポートを手動で開く

1. [コントロール パネル] で、[システムとセキュリティ] を開きます。

2. [Windows ファイアウォール] をクリックし、[詳細設定] をクリックして [セキュリティが強化された Windows ファイアウォール] ダイアログ ボックスを開きます。

3. ナビゲーション ウィンドウで、[受信の規則] をクリックして [操作] ウィンドウに使用可能なオプションを表示します。

4. [新しい規則] をクリックして [新規の受信の規則ウイザード] を開きます。

5. このウィザードを使用して、「既定以外のポートでリッスンするように SQL Server のインスタンスを構成する」で定義したポートにアクセスするために必要な手順を完了します。

注意

Windows ファイアウォールでインターネット プロトコル セキュリティ (IPsec) を構成すると、SQL Server を実行するコンピューターとの通信をセキュリティ保護することができます。これは、[セキュリティが強化された Windows ファイアウォール] ダイアログ ボックスのナビゲーション ウィンドウで [接続セキュリティの規則] を選択することによって行うことができます。

SQL Server クライアント エイリアスを構成する

SQL Server を実行しているコンピューター上の UDP ポート 1434 または TCP ポート 1433 をブロックする場合は、サーバー ファーム内の他のすべてのコンピューターで SQL Server クライアント エイリアスを作成する必要があります。SQL Server クライアント コンポーネントを使用して、SQL Server に接続するコンピューターの SQL Server クライアント エイリアスを作成できます。

1. 対象のコンピューター上で SQL Server のセットアップを実行し、インストールする次のクライアント コンポーネントを選択します。

   1. [接続コンポーネント]

   2. [管理ツール]

2. SQL Server 構成マネージャーを開きます。

3. 左側のウィンドウで、[SQL Native Client の構成] をクリックします。

4. 右側のウィンドウで、[別名] を右クリックし、[新しい別名] をクリックします。

5. [別名] ダイアログ ボックスで、エイリアスの名前を入力し、データベース インスタンスのポート番号を入力します。たとえば、「SharePoint*_alias*」と入力します。

6. [ポート番号] フィールドに、データベース インスタンスのポート番号を入力します。たとえば、「40000」と入力します。プロトコルが TCP/IP に設定されていることを確認します。

7. "サーバー" フィールドに、SQL Server を実行しているコンピューターの名前を入力します。

8. [適用] をクリックし、[OK] をクリックします。

SQL Server クライアント エイリアスをテストする

Microsoft SQL Server Management Studio を使用して、SQL Server を実行しているコンピューターとの接続をテストします。SQL Server クライアント コンポーネントをインストールすると、Microsoft SQL Server Management Studio が使用できるようになります。

1. SQL Server Management Studio を開きます。

2. サーバー名の入力を求めるメッセージが表示されたら、作成したエイリアスの名前を入力し、[接続] をクリックします。接続が成功した場合、SQL Server Management Studio には、リモート データベースに対応するオブジェクトが格納されます。

   注意

   SQL Server Management Studio で、その他のデータベース インスタンスとの接続を確認するには、[接続] をクリックし、[データベース エンジン] をクリックします。