Konfigurieren von SQL Server-Sicherheit für SharePoint Server
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Bei der Installation von SQL Server unterstützen die Standardeinstellungen Sie beim Bereitstellen einer sicheren Datenbank. Außerdem können Sie SQL Server-Tools und die Windows-Firewall verwenden, um die Sicherheit von SQL Server für SharePoint Server zu erhöhen.
Wichtig
[!WICHTIGER HINWEIS] Die Sicherheitsschritte in diesem Thema werden vollständig vom SharePoint-Team getestet. Es gibt weitere Methoden zum Sichern von SQL Server in einer SharePoint Server-Farm. Weitere Informationen finden Sie unter Sichern von SQL Server.
Bevor Sie beginnen
Berücksichtigen Sie die folgenden Aufgaben zum Sichern Ihrer Serverfarm, bevor Sie dieses Verfahren anwenden:
Blockieren Sie UDP-Port 1434.
Konfigurieren Sie benannte Instanzen von SQL Server zum Belauschen eines Nichtstandardports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).
Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem anderen Port zuweisen.
Konfigurieren Sie SQL Server-Clientaliase auf allen Front-End-Webservern und -Anwendungsservern in der Serverfarm. Nachdem der TCP-Port 1433 oder der UDP-Port 1434 blockiert wurden, sind SQL Server-Clientaliase auf allen Computern erforderlich, die mit dem Computer kommunizieren, auf dem SQL Server ausgeführt wird.
Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports
In SQL Server können Ports, die von der Standardinstanz und benannten Instanzen verwendet werden, neu zugewiesen werden. In SQL Server weisen Sie den TCP-Port mithilfe des SQL Server-Konfigurations-Managers neu zu. Durch Ändern der Standardports sichern Sie die Umgebung besser gegen Hacker ab, denen die Standardzuweisungen bekannt sind, und die sie zum Ausnutzen Ihrer SharePoint-Umgebung nutzen.
So konfigurieren Sie eine SQL Server-Instanz zum Belauschen eines Nichtstandardports
Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, entweder Mitglied der festen Serverrolle "sysadmin" oder "serveradmin" ist.
Öffnen Sie auf dem Computer mit SQL Server den SQL Server-Konfigurations-Manager.
Erweitern Sie im Navigationsbereich die Option SQL Server-Netzwerkkonfiguration.
Klicken Sie auf den entsprechenden Eintrag für die zu konfigurierende Instanz.
Die Standardinstanz wird aufgelistet als Protokolle für MSSQLSERVER. Benannte Instanzen werden angezeigt als Protokolle für benannte Instanz.
Klicken Sie im Hauptfenster in der Spalte Protokollname mit der rechten Maustaste auf TCP/IP, und klicken Sie auf Eigenschaften.
Klicken Sie auf die Registerkarte IP-Adressen.
Für jede dem Computer mit SQL Server zugewiesene IP-Adresse befindet sich auf dieser Registerkarte ein entsprechender Eintrag. Standardmäßig werden von SQL Server alle IP-Adressen abgehört, die dem Computer zugewiesen sind.
Führen Sie die folgenden Schritte aus, um den Port, der von der Standardinstanz abgehört wird, global zu ändern:
Löschen Sie für alle IP-Adressen außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.
Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.
Führen Sie die folgenden Schritte aus, um den Port, der von einer benannten Instanz belauscht wird, global zu ändern:
Löschen Sie für alle IP-Adressen einschließlich IPAll alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass von SQL Server für die IP-Adresse ein dynamischer TCP-Port verwendet wird. Ein leerer Eintrag für diesen Wert bedeutet, dass von SQL Server kein dynamischer TCP-Port für die IP-Adresse verwendet wird.
Löschen Sie für alle IP-Adressen außer IPAll alle Werte für TCP-Port.
Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.
Klicken Sie auf OK.
Eine Meldung weist darauf hin, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.
Schließen Sie den SQL Server-Konfigurations-Manager.
Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der ausgewählte Port vom Computer mit SQL Server belauscht wird.
Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:
Ereignistyp: Information
Ereignisquelle: MSSQL$MSSQLSERVER
Ereigniskategorie: (2)
Ereignis-ID: 26022
Datum: 06.03.2008
Uhrzeit: 1:46:11 Uhr
Benutzer: n/v
Computer: computer_name
Beschreibung:
Der Server überwacht [ 'any' <ipv4>50000]
Überprüfen: Schließen Sie optional auch Schritte ein, mit denen Benutzer überprüfen können, ob der Vorgang erfolgreich war.
Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports
Die Windows-Firewall mit erweiterter Sicherheit verwendet eingehende und ausgehende Regeln, um den eingehenden und ausgehenden Netzwerkverkehr optimal zu schützen. Da die Windows-Firewall den gesamten unerwünschten eingehenden Netzwerkverkehr standardmäßig blockiert, müssen Sie die standardmäßigen zum Belauschen verwendeten SQL Server-Ports nicht explizit blockieren. Weitere Informationen finden Sie unter Windows-Firewall mit erweiterter Sicherheit und Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.
Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports
Für den Zugriff auf eine SQL Server-Instanz durch eine Firewall müssen Sie die Firewall auf dem Computer konfigurieren, auf dem SQL Server ausgeführt wird, um den Zugriff zu gewähren. Alle manuell zugewiesenen Ports müssen in der Windows-Firewall geöffnet sein.
So konfigurieren Sie die Windows-Firewall zum Öffnen manuell zugewiesener Ports
Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, entweder Mitglied der festen Serverrolle "sysadmin" oder "serveradmin" ist.
In Control Panel, open System and Security.
Klicken Sie auf Windows-Firewall und dann auf Erweiterte Einstellungen , um das Dialogfeld Windows-Firewall mit erweiterter Sicherheit zu öffnen.
Klicken Sie im Navigationsbereich auf Eingehende Regeln, um die verfügbaren Optionen im Bereich Aktionen anzuzeigen.
Klicken Sie auf Neue Regel, um den Assistenten für neue eingehende Regel zu öffnen.
Führen Sie mithilfe des Assistenten die nötigen Schritte aus, um Zugriff auf den Port zu gewähren, den Sie unter Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports definiert haben.
Hinweis
[!HINWEIS] Sie können die Internet Protocol-Sicherheit (IPsec) konfigurieren, um die Kommunikation zu und von Ihrem Computer mit SQL Server zu schützen, indem Sie die Windows-Firewall konfigurieren. Wählen Sie hierzu im Navigationsbereich des Dialogfelds Windows-Firewall mit erweiterter Sicherheit die Option Verbindungssicherheitsregeln aus.
Konfigurieren von SQL Server-Clientaliasen
Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem Computer mit SQL Server blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL Server-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL Server-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server herstellen.
So konfigurieren Sie einen SQL Server-Clientalias
Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, entweder Mitglied der festen Serverrolle "sysadmin" oder "serveradmin" ist.
Führen Sie auf dem Zielcomputer das Setup für SQL Server aus, und installieren Sie die folgenden Clientkomponenten:
Konnektivitätskomponenten
Verwaltungstools
Öffnen Sie den SQL Server-Konfigurations-Manager.
Klicken Sie im Navigationsbereich auf SQL Native Client-Konfiguration.
Klicken Sie im Hauptfenster unter Elemente mit der rechten Maustaste auf Aliase, und wählen Sie Neuer Alias aus.
Geben Sie im Dialogfeld Alias – Neu im Feld Aliasname einen Namen für den Alias ein. Geben Sie beispielsweise SharePoint _alias ein.
Geben Sie in das Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40.000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.
Geben Sie in das Feld Server den Namen des Computers mit SQL Server ein.
Klicken Sie auf Anwenden, und klicken Sie dann auf OK.
Überprüfen: Sie können den SQL Server-Clientalias mithilfe von SQL Server Management Studio testen, das bei der Installation von SQL Server-Clientkomponenten verfügbar ist.
Öffnen Sie SQL Server Management Studio.
Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.
Zum Überprüfen der Konnektivität mit weiteren Datenbankinstanzen in SQL Server Management Studio klicken Sie auf Verbinden und dann auf Datenbankmodul.
Siehe auch
Weitere Ressourcen
Blog zur SQL Server-Sicherheit
SQL-Sicherheitsrisikobewertung
Sichern von SharePoint: Verstärken der Sicherheit von SQL Server in SharePoint-Umgebungen
Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff