Protección de SQL Server para entornos de SharePoint (SharePoint Server 2010)
Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010
Última modificación del tema: 2016-11-30
En este artículo se describe cómo proteger Microsoft SQL Server para entornos de Productos de Microsoft SharePoint 2010.
En este artículo:
Resumen de recomendaciones de protección
Configuración de una instancia de SQL Server para escuchar en un puerto no predeterminado
Bloqueo de puertos de escucha predeterminados de SQL Server
Configuración del Firewall de Windows para abrir manualmente los puertos asignados
Configuración de un alias de cliente SQL
Prueba del alias de cliente SQL Server
Resumen de recomendaciones de protección
Para tener entornos de granjas de servidores seguros, se recomienda realizar lo siguiente:
Bloquee el puerto UDP 1434.
Configure instancias con nombre de SQL Server para escuchar en un puerto no estándar (distinto del puerto TCP 1433 o del puerto UDP 1434).
Para mayor seguridad, bloquee el puerto TCP 1433 y reasigne el puerto usado por la instancia predeterminada a un puerto diferente.
Configure los alias de cliente de SQL Server en todos los servidores web front-end y servidores de aplicaciones en la granja de servidores. Una vez que los puertos TCP 1433 o UDP 1434 estén bloqueados, los alias de cliente de SQL Server son necesarios en todos los equipos que se comunican con el equipo con SQL Server.
Para obtener más información, vea Planeación del endurecimiento de la seguridad (SharePoint Server 2010).
Configuración de una instancia de SQL Server para escuchar en un puerto no predeterminado
Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server.
En el equipo que ejecuta SQL Server, abra el Administrador de configuración de SQL Server.
En el panel izquierdo, expanda Configuración de red de SQL Server.
Haga clic en la entrada correspondiente a la instancia que está configurando. La instancia predeterminada aparece como Protocolos para MSSQLSERVER. Las instancias con nombre aparecerán como Protocolos para instancia_con_nombre.
En el panel derecho, haga clic con el botón secundario en TCP/IP y, a continuación, seleccione Propiedades.
Haga clic en la pestaña Direcciones IP. Hay una entrada correspondiente en esta pestaña para cada dirección IP asignada al equipo con SQL Server. De forma predeterminada, SQL Server escucha en todas las direcciones IP asignadas al equipo.
Para cambiar globalmente el puerto en el que escucha la instancia predeterminada, siga estos pasos:
Para cada dirección IP, excepto IPAll, borre los valores tanto de Puertos dinámicos TCP como de Puerto TCP.
Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.
Para cambiar globalmente el puerto en el que escucha la instancia con nombre, siga estos pasos:
Para cada dirección IP que incluya IPAll, borre todos los valores de Puertos dinámicos TCP. Un valor de 0 para este campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco significa que SQL Server no usará un puerto TCP dinámico para la dirección IP.
Para cada dirección IP, excepto IPAll, borre todos los valores de Puerto TCP.
Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.
Haga clic en Aceptar. Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que se reinicie el servicio de SQL Server. Haga clic en Aceptar.
Cierre el Administrador de configuración de SQL Server.
Reinicie el servicio SQL Server y confirme que el equipo con SQL Server está escuchando en el puerto que seleccionó. Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio de SQL Server. Busque un evento informativo similar al siguiente:
Tipo de evento: Información
Origen del evento: MSSQL$MSSQLSERVER
Categoría del evento: (2)
Identificador de evento: 26022
Fecha: 6/3/2008
Hora: 1:46:11 p. m.
Usuario: N/D
Equipo: nombre_de_equipo
Descripción:
El servidor está escuchando en [ 'cualquier' <ipv4>50000]
Bloqueo de puertos de escucha predeterminados de SQL Server
El Firewall de Windows con seguridad avanzada usa reglas de entrada y de salida para proteger el tráfico de red de entrada y de salida. Dado que, de forma predeterminada, el firewall de Windows bloquea todo el tráfico de red de entrada no solicitado, no es necesario bloquear explícitamente los puertos de escucha predeterminados de SQL Server. Para obtener más información, vea Firewall de Windows con seguridad avanzada (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0xC0A) y Configurar Firewall de Windows para permitir el acceso a SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0xC0A)
Configuración del Firewall de Windows para abrir manualmente los puertos asignados
En el Panel de control, abra Sistema y seguridad.
Haga clic en Firewall de Windows y, a continuación, haga clic en Configuración avanzada para abrir el cuadro de diálogo Firewall de Windows con seguridad avanzada.
En el panel de navegación, haga clic en Reglas de entrada para visualizar las opciones disponibles en el panel Acciones.
Haga clic en Nueva regla para abrir el Asistente para nueva regla de entrada.
Use el asistente para completar los pasos necesarios para permitir el acceso al puerto definido en Configuración de una instancia de SQL Server para escuchar en un puerto no predeterminado.
Nota
Mediante la configuración del firewall de Windows, puede configurar el protocolo de seguridad de Internet (IPsec) para ayudar a proteger la comunicación entrante y saliente del equipo que ejecuta SQL Server. Para hacerlo, seleccione Reglas de seguridad de conexión en el panel de navegación del cuadro de diálogo Firewall de Windows con seguridad avanzada.
Configuración de un alias de cliente SQL Server
Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo que ejecuta SQL Server, debe crear un alias de cliente de SQL Server en los demás equipos de la granja de servidores. Puede usar el componente de cliente de SQL Server para crear un alias de cliente de SQL Server para los equipos que se conectan a SQL Server.
Ejecute la instalación de SQL Server en el equipo de destino y seleccione los siguientes componentes de cliente para instalarlos:
Componentes de conectividad
Herramientas de administración
Abra el Administrador de configuración de SQL Server.
En el panel de la izquierda, haga clic en Configuración de SQL Native Client.
En el panel de la derecha, haga clic con el botón secundario en Alias y seleccione Nuevo alias.
En el cuadro de diálogo Alias, escriba un nombre para el alias y, a continuación, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba SharePoint*_alias*.
En el campo Nº de puerto, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba 40000. Asegúrese de que el protocolo esté establecido en TCP/IP.
En el campo Servidor, escriba el nombre del equipo que ejecuta SQL Server.
Haga clic en Aplicar y, a continuación, en Aceptar.
Prueba del alias de cliente SQL Server
Pruebe la conectividad con el equipo que ejecuta SQL Server con Microsoft SQL Server Management Studio, el cual está disponible mediante la instalación de los componentes de cliente de SQL Server.
Abra SQL Server Management Studio.
Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que creó y, a continuación, haga clic en Conectar. Si la conexión se realiza correctamente, SQL Server Management Studio se rellena con objetos correspondientes a la base de datos remota.
Nota
Para comprobar la conectividad a instancias de base de datos adicionales desde SQL Server Management Studio, haga clic en el botón Conectar y, a continuación, en Motor de base de datos.