Настройка безопасности SQL Server для сред SharePoint ServerConfigure SQL Server security for SharePoint Server

применимо к: да2013 да2016 да2019 даSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 yesSharePoint Online

При установке SQL Server параметры по умолчанию позволяют обеспечивать безопасность базы данных. Кроме того, можно использовать средства SQL Server и брандмауэр Windows для повышения безопасности SQL Server в средах SharePoint Server.When you install SQL Server, the default settings help to provide a safe database. In addition, you can use SQL Server tools and Windows Firewall to add additional security to SQL Server for SharePoint Server environments.

Важно!

Шаги для обеспечения безопасности, указанные в этой статье, полностью протестированы командой SharePoint.The security steps in this topic are fully tested by the SharePoint team. Существуют и другие способы обеспечения безопасности SQL Server в ферме SharePoint Server.There are other ways to help secure SQL Server in a SharePoint Server farm. Более подробную информацию можно узнать в статье Защита SQL Server.For more information, see Securing SQL Server.

Перед началом работыBefore you begin

Перед началом выполнения этой операции просмотрите следующие задачи, позволяющие обеспечить безопасность фермы серверов.Before you begin this operation, review the following tasks about how to secure your server farm:

  • Заблокируйте UDP-порт 1434.Block UDP port 1434.

  • Настройте именованные экземпляры SQL Server для прослушивания нестандартного порта (отличного от TCP-порта 1433 или UDP-порта 1434).Configure named instances of SQL Server to listen on a nonstandard port (other than TCP port 1433 or UDP port 1434).

  • Для обеспечения дополнительного уровня безопасности заблокируйте TCP-порт 1433 и переназначьте порт, используемый экземпляром по умолчанию, заменив его на другой.For additional security, block TCP port 1433 and reassign the port that is used by the default instance to a different port.

  • Настройте псевдонимы клиента SQL Server на всех интерфейсных веб-серверах и серверах приложений в ферме серверов. После блокировки TCP-порта 1433 или UDP-порта 1434 необходимо использовать псевдонимы клиента SQL Server на всех компьютерах, обменивающихся данными с компьютером, на котором установлен SQL Server.Configure SQL Server client aliases on all front-end web servers and application servers in the server farm. After you block TCP port 1433 or UDP port 1434, SQL Server client aliases are necessary on all computers that communicate with the computer that is running SQL Server.

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчаниюConfiguring a SQL Server instance to listen on a non-default port

SQL Server обеспечивает возможность заново назначать порты, используемые экземпляром по умолчанию и любыми именованными экземплярами. В SQL Server с пакетом обновления 1 (SP1) можно повторно назначить TCP-порт с помощью диспетчера конфигураций SQL Server. Изменение портов по умолчанию делает среду более безопасной от угрозы атак со стороны хакеров, которые знают назначения портов по умолчанию и пытаются использовать их для получения контроля над средой SharePoint.SQL Server provides the ability to reassign the ports that are used by the default instance and any named instances. In SQL Server Service Pack 1 (SP1), you reassign the TCP port by using SQL Server Configuration Manager. When you change the default ports, you make the environment more secure against hackers who know default assignments and use them to exploit your SharePoint environment.

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчаниюTo configure a SQL Server instance to listen on a non-default port

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. На компьютере, где запущен SQL Server, откройте диспетчер конфигурации SQL Server.On the computer that is running SQL Server, open SQL Server Configuration Manager.

  3. В области переходов разверните раздел Сетевая конфигурация SQL Server.In the navigation pane, expand SQL Server Network Configuration.

  4. Щелкните запись настраиваемого экземпляра.Click the corresponding entry for the instance that you are configuring.

    Экземпляр по умолчанию помечен как Протоколы для MSSQLSERVER. Именованные экземпляры отображаются как Протоколы для именованного_экземпляра.The default instance is listed as Protocols for MSSQLSERVER. Named instances will appear as Protocols for named_instance.

  5. В столбце Имя протокола основного окна щелкните правой кнопкой мыши TCP/IP, затем щелкните Свойства.In the main window in the Protocol Name column, right-click TCP/IP, and then click Properties.

  6. Выберите вкладку IP-адреса.Click the IP Addresses tab.

    На этой вкладке есть соответствующая запись для каждого IP-адреса, присвоенного компьютеру, на котором установлен SQL Server. По умолчанию SQL Server прослушивает все IP-адреса, присвоенные компьютеру.For every IP address that is assigned to the computer that is running SQL Server, there is a corresponding entry on this tab. By default, SQL Server listens on all IP addresses that are assigned to the computer.

  7. Чтобы глобально изменить порт, который прослушивает экземпляр по умолчанию, выполните следующее.To globally change the port that the default instance is listening on, follow these steps:

    • Для каждого IP-адреса, кроме IPAll, удалите все значения для параметров Динамические TCP-порты и TCP-порт.For each IP address except IPAll, clear all values for both TCP dynamic ports and TCP Port.

    • Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.For IPAll, clear the value for TCP dynamic ports. In the TCP Port field, enter the port that you want the instance of SQL Server to listen on. For example, enter 40000.

  8. Чтобы глобально изменить порт, который прослушивает именованный экземпляр, выполните следующее.To globally change the port that a named instance is listening on, follow these steps:

    • Для всех IP-адреса, включая IPAll, удалите все значения параметра Динамические TCP-порты. Значение 0 в этом поле означает, что SQL Server использует динамический TCP-порт для IP-адреса. Пустое поле означает, что SQL Server не использует динамический TCP-порт для IP-адреса.For each IP address including IPAll, clear all values for TCP dynamic ports. A value of 0 for this field indicates that SQL Server uses a dynamic TCP port for the IP address. A blank entry for this value means that SQL Server will not use a dynamic TCP port for the IP address.

    • Для каждого IP-адреса, кроме IPAll, удалите все значения параметра TCP-порт.For each IP address except IPAll, clear all values for TCP Port.

    • Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.For IPAll, clear the value for TCP dynamic ports. In the TCP Port field, enter the port that you want the instance of SQL Server to listen on. For example, enter 40000.

  9. Нажмите кнопку ОК.Click OK.

    Сообщение указывает, что изменение не вступит в силу, пока не будет перезапущена служба SQL Server. Нажмите кнопку ОК.A message indicates that the change will not take effect until the SQL Server service is restarted. Click OK.

  10. Закройте диспетчер конфигураций SQL Server.Close SQL Server Configuration Manager.

  11. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server прослушивает выбранный порт.Restart the SQL Server service and confirm that the computer that is running SQL Server is listening on the port that you selected.

    Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:You can confirm this by looking in the Event Viewer log after you restart the SQL Server service. Look for an information event similar to the following event:

    Тип события:информацияEvent Type:Information

    Источник события:MSSQL$MSSQLSERVEREvent Source:MSSQL$MSSQLSERVER

    Категория события:(2)Event Category:(2)

    Идентификатор события:26022Event ID:26022

    Дата: 06.03.08Date:3/6/2008

    Время:1:46:11Time:1:46:11 PM

    Пользователь:не определенUser:N/A

    Компьютер: имя_компьютераComputer: computer_name

    Описание:Description:

    Сервер прослушивает порт [ 'любой' <ipv4>50000]Server is listening on [ 'any' <ipv4>50000]

  12. Проверка: при необходимости включите шаги, которые должны выполнить пользователи, чтобы проверить успешность выполнения данной операции.Verification: Optionally, include steps that users should perform to verify that the operation was successful.

Блокировка портов, прослушиваемых SQL Server по умолчаниюBlocking default SQL Server listening ports

Брандмауэр Windows в режиме повышенной безопасности использует правила для входящих и исходящих подключений для защиты входящего и исходящего сетевого трафика. Так как брандмауэр Windows по умолчанию блокирует весь незапрошенный сетевой трафик, явно блокировать порты, прослушиваемые SQL Server по умолчанию, не требуется. Дополнительные сведения см. в статьях Общие сведения о брандмауэре Windows в режиме повышенной безопасности и Настройка брандмауэра Windows для разрешения доступа к SQL Server.Windows Firewall with Advanced Security uses Inbound Rules and Outbound Rules to help secure incoming and outgoing network traffic. Because Windows Firewall blocks all incoming unsolicited network traffic by default, you do not have to explicitly block the default SQL Server listening ports. For more information, see Windows Firewall with Advanced Security and Configuring the Windows Firewall to Allow SQL Server Access.

Настройка брандмауэра Windows для открытия портов, назначенных вручнуюConfiguring Windows Firewall to open manually assigned ports

Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере с SQL Server для разрешения доступа. Любые порты, назначаемые вручную, должны открываться в брандмауэре Windows.To access a SQL Server instance through a firewall, you must configure the firewall on the computer that is running SQL Server to allow access. Any ports that you manually assign must be open in Windows Firewall.

Настройка брандмауэра Windows для открытия портов, назначенных вручнуюTo configure Windows Firewall to open manually assigned ports

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. В панели управления откройте компонент Система и безопасность.In Control Panel, open System and Security.

  3. Откройте компонент Брандмауэр Windows и щелкните Дополнительные параметры, чтобы открыть диалоговое окно Брандмауэр Windows в режиме повышенной безопасности.Click Windows Firewall, and then click Advanced Settings to open the Windows Firewall with Advanced Security dialog box.

  4. В области навигации щелкните Правила для входящих подключений, чтобы в области Действия отобразились доступные варианты.In the navigation pane, click Inbound Rules to display the available options in the Actions pane.

  5. Щелкните Создать правило, чтобы открыть мастер создания правила для нового входящего подключения.Click New Rule to open the New Inbound Rule Wizard.

  6. В мастере выполните действия, необходимые для предоставления доступа к порту, определенному в разделе Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию.Use the wizard to complete the steps that are required to allow access to the port that you defined in Configuring a SQL Server instance to listen on a non-default port.

    Примечание

    [!Примечание] Чтобы обеспечить безопасность отправки и приема данных на компьютере с SQL Server, можно настроить протокол IPsec путем задания соответствующих параметров брандмауэра Windows. Для этого необходимо открыть Правила безопасности подключений в области навигации диалогового окна брандмауэра Windows в режиме повышенной безопасности.You can configure the Internet Protocol security (IPsec) to help secure communication to and from your computer that is running SQL Server by configuring the Windows firewall. You do this by selecting Connection Security Rules in the navigation pane of the Windows Firewall with Advanced Security dialog box.

Настройка псевдонимов клиента SQL ServerConfiguring SQL Server client aliases

При блокировке UDP-порта 1434 или TCP-порта 1433 на компьютере, на котором установлен SQL Server, необходимо создать псевдоним клиента SQL Server на всех остальных компьютерах фермы серверов. Чтобы создать псевдоним клиента SQL Server для всех компьютеров, подключенных к SQL Server, воспользуйтесь клиентскими компонентами SQL Server.If you block UDP port 1434 or TCP port 1433 on the computer that is running SQL Server, you must create a SQL Server client alias on all other computers in the server farm. You can use SQL Server client components to create a SQL Server client alias for computers that connect to SQL Server.

Настройка псевдонима клиента SQL ServerTo configure a SQL Server client alias

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.Verify that the user account that is performing this procedure is a member of either the sysadmin or the serveradmin fixed server role.

  2. Запустите программу установки SQL Server на целевом компьютере и установите следующие клиентские компоненты.Run Setup for SQL Server on the target computer, and install the following client components:

    • Компоненты связиConnectivity Components

    • Средства управленияManagement Tools

  3. Откройте диспетчер конфигураций SQL Server.Open SQL Server Configuration Manager.

  4. В области переходов щелкните Конфигурация собственного клиента SQL.In the navigation pane, click SQL Native Client Configuration.

  5. В разделе «Элементы» главного окна щелкните правой кнопкой мыши Псевдонимы и выберите Создать псевдоним.In the main window under Items, right-click Aliases, and select New Alias.

  6. В диалоговом окне Псевдоним — создание введите в поле Имя псевдонима нужное значение. Например, введите SharePoint _псевдоним.In the Alias - New dialog box, in the Alias Name field, enter a name for the alias. For example, enter SharePoint _alias.

  7. В поле Номер порта введите номер порта экземпляра базы данных (например, 40000). Убедитесь, что в качестве протокола выбран протокол TCP/IP.In the Port No field, enter the port number for the database instance. For example, enter 40000. Make sure that the protocol is set to TCP/IP.

  8. В поле Сервер введите имя компьютера, на котором установлен SQL Server.In the Server field, enter the name of the computer that is running SQL Server.

  9. Нажмите кнопку Применить, а затем кнопку ОК.Click Apply, and then click OK.

  10. Проверка. Можно проверить псевдоним клиента SQL Server с помощью приложения SQL Server Management Studio, которое доступно при установке клиентских компонентов SQL Server.Verification: You can test the SQL Server client alias by using SQL Server Management Studio, which is available when you install SQL Server client components.

  11. Откройте Среда SQL Server Management Studio.Open SQL Server Management Studio.

  12. При отображении запроса на ввод имени сервера введите имя созданного псевдонима и нажмите Подключить. При успешном установлении соединения SQL ServerManagement Studio заполняется объектами, соответствующими удаленной базе данных.When you are prompted to enter a server name, enter the name of the alias that you created, and then click Connect. If the connection is successful, SQL ServerManagement Studio is populated with objects that correspond to the remote database.

  13. Для проверки связи с дополнительными экземплярами базы данных из среды SQL ServerManagement Studio нажмите кнопку Подключить и выберите Ядро СУБД.To check connectivity to additional database instances from SQL ServerManagement Studio, click Connect, and then click Database Engine.

См. такжеSee also

Другие ресурсыOther Resources

Блог о защите SQL ServerSQL Server Security Blog

Оценка уязвимости SQLSQL Vulnerability Assessment

Обеспечение безопасности SharePoint: защита SQL Server в средах SharePointSecuring SharePoint: Harden SQL Server in SharePoint Environments

Настройка брандмауэра Windows для доступа к ядру СУБДConfigure a Windows Firewall for Database Engine Access

Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server)Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager)