Настройка безопасности SQL Server для сред SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint в Microsoft 365

При установке SQL Server параметры по умолчанию позволяют обеспечивать безопасность базы данных. Кроме того, можно использовать средства SQL Server и брандмауэр Windows для повышения безопасности SQL Server в средах SharePoint Server.

Важно!

Шаги для обеспечения безопасности, указанные в этой статье, полностью протестированы командой SharePoint. Существуют и другие способы защиты SQL Server в ферме SharePoint Server. Дополнительные сведения см. в разделе Защита SQL Server.

Подготовка к работе

Перед началом выполнения этой операции просмотрите следующие задачи, позволяющие обеспечить безопасность фермы серверов.

  • Заблокируйте UDP-порт 1434.

  • Настройте именованные экземпляры SQL Server для прослушивания нестандартного порта (отличного от TCP-порта 1433 или UDP-порта 1434).

  • Для обеспечения дополнительного уровня безопасности заблокируйте TCP-порт 1433 и переназначьте порт, используемый экземпляром по умолчанию, заменив его на другой.

  • Настройте псевдонимы клиента SQL Server на всех интерфейсных веб-серверах и серверах приложений в ферме серверов. После блокировки TCP-порта 1433 или UDP-порта 1434 необходимо использовать псевдонимы клиента SQL Server на всех компьютерах, обменивающихся данными с компьютером, на котором установлен SQL Server.

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

SQL Server обеспечивает возможность заново назначать порты, используемые экземпляром по умолчанию и любыми именованными экземплярами. В SQL Server переназначьте TCP-порт с помощью диспетчер конфигурации SQL Server. Изменение портов по умолчанию делает среду более безопасной от угрозы атак со стороны хакеров, которые знают назначения портов по умолчанию и пытаются использовать их для получения контроля над средой SharePoint.

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.

  2. На компьютере, где запущен SQL Server, откройте диспетчер конфигурации SQL Server.

  3. В области переходов разверните раздел Сетевая конфигурация SQL Server.

  4. Щелкните запись настраиваемого экземпляра.

    Экземпляр по умолчанию помечен как Протоколы для MSSQLSERVER. Именованные экземпляры отображаются как Протоколы для именованного_экземпляра.

  5. В столбце Имя протокола основного окна щелкните правой кнопкой мыши TCP/IP, затем щелкните Свойства.

  6. Выберите вкладку IP-адреса.

    На этой вкладке есть соответствующая запись для каждого IP-адреса, присвоенного компьютеру, на котором установлен SQL Server. По умолчанию SQL Server прослушивает все IP-адреса, присвоенные компьютеру.

  7. Чтобы глобально изменить порт, который прослушивает экземпляр по умолчанию, выполните следующее.

    • Для каждого IP-адреса, кроме IPAll, удалите все значения для параметров Динамические TCP-порты и TCP-порт.

    • Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  8. Чтобы глобально изменить порт, который прослушивает именованный экземпляр, выполните следующее.

    • Для всех IP-адреса, включая IPAll, удалите все значения параметра Динамические TCP-порты. Значение 0 в этом поле означает, что SQL Server использует динамический TCP-порт для IP-адреса. Пустое поле означает, что SQL Server не использует динамический TCP-порт для IP-адреса.

    • Для каждого IP-адреса, кроме IPAll, удалите все значения параметра TCP-порт.

    • Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  9. Нажмите кнопку ОК.

    Сообщение указывает, что изменение не вступит в силу, пока не будет перезапущена служба SQL Server. Нажмите кнопку ОК.

  10. Закройте диспетчер конфигураций SQL Server.

  11. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server прослушивает выбранный порт.

    Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:

    Тип события:информация

    Источник события:MSSQL$MSSQLSERVER

    Категория события:(2)

    Идентификатор события:26022

    Дата: 06.03.08

    Время:1:46:11

    Пользователь:не определен

    Компьютер: имякомпьютера_

    Описание:

    Сервер прослушивает порт [ 'любой' <ipv4>50000]

  12. Проверка: при необходимости включите шаги, которые должны выполнить пользователи, чтобы проверить успешность выполнения данной операции.

Блокировка портов, прослушиваемых SQL Server по умолчанию

Брандмауэр Windows в режиме повышенной безопасности использует правила для входящих и исходящих подключений для защиты входящего и исходящего сетевого трафика. Так как брандмауэр Windows по умолчанию блокирует весь незапрошенный сетевой трафик, явно блокировать порты прослушивания SQL Server не требуется. Дополнительные сведения см. в разделах Брандмауэр Windows в режиме повышенной безопасности и Настройка брандмауэра Windows для разрешения доступа SQL Server.

Настройка брандмауэра Windows для открытия портов, назначенных вручную

Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере с SQL Server для разрешения доступа. Любые порты, назначаемые вручную, должны открываться в брандмауэре Windows.

Настройка брандмауэра Windows для открытия портов, назначенных вручную

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.

  2. В панели управления откройте компонент Система и безопасность.

  3. Щелкните Брандмауэр Windows, а затем — Дополнительные параметры , чтобы открыть диалоговое окно Брандмауэр Windows в режиме повышенной безопасности .

  4. В области навигации щелкните Правила для входящих подключений, чтобы в области Действия отобразились доступные варианты.

  5. Щелкните Создать правило, чтобы открыть мастер создания правила для нового входящего подключения.

  6. В мастере выполните действия, необходимые для предоставления доступа к порту, определенному в разделе Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию.

    Примечание.

    [!Примечание] Чтобы обеспечить безопасность отправки и приема данных на компьютере с SQL Server, можно настроить протокол IPsec путем задания соответствующих параметров брандмауэра Windows. Для этого выберите Правила безопасности подключения в области навигации диалогового окна Брандмауэр Windows в режиме повышенной безопасности.

Настройка псевдонимов клиента SQL Server

При блокировке UDP-порта 1434 или TCP-порта 1433 на компьютере, на котором установлен SQL Server, необходимо создать псевдоним клиента SQL Server на всех остальных компьютерах фермы серверов. Чтобы создать псевдоним клиента SQL Server для всех компьютеров, подключенных к SQL Server, воспользуйтесь клиентскими компонентами SQL Server.

Настройка псевдонима клиента SQL Server

  1. Проверьте, что учетная запись пользователя, выполняющего эту процедуру, принадлежит либо системному администратору, либо предопределенной роли сервера ServerAdmin.

  2. Запустите программу установки SQL Server на целевом компьютере и установите следующие клиентские компоненты.

    • Компоненты связи

    • Средства управления

  3. Откройте диспетчер конфигураций SQL Server.

  4. В области переходов щелкните Конфигурация собственного клиента SQL.

  5. В разделе «Элементы» главного окна щелкните правой кнопкой мыши Псевдонимы и выберите Создать псевдоним.

  6. В диалоговом окне Псевдоним — Новый в поле Псевдоним введите имя псевдонима. Например, введите SharePoint _alias.

  7. В поле Номер порта введите номер порта для экземпляра базы данных. Например, введите 40000. Убедитесь, что для протокола задано значение TCP/IP.

  8. В поле Сервер введите имя компьютера, на котором установлен SQL Server.

  9. Нажмите кнопку Применить, а затем кнопку ОК.

  10. Проверка. Можно проверить псевдоним клиента SQL Server с помощью приложения SQL Server Management Studio, которое доступно при установке клиентских компонентов SQL Server.

  11. Откройте Среда SQL Server Management Studio.

  12. При отображении запроса на ввод имени сервера введите имя созданного псевдонима и нажмите Подключить. При успешном установлении соединения SQL ServerManagement Studio заполняется объектами, соответствующими удаленной базе данных.

  13. Для проверки связи с дополнительными экземплярами базы данных из среды SQL ServerManagement Studio нажмите кнопку Подключить и выберите Ядро СУБД.

См. также

Другие ресурсы

Блог о защите SQL Server

Оценка уязвимостей SQL

Обеспечение безопасности SharePoint: защита SQL Server в средах SharePoint

Настройка брандмауэра Windows для доступа к ядру СУБД

Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server)