Sécuriser SQL Server pour les environnements SharePoint (SharePoint Foundation 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Cet article explique comment sécuriser Microsoft SQL Server pour les environnements Produits Microsoft SharePoint 2010.

Dans cet article :

  • Résumé des recommandations en matière de sécurisation

  • Configurer une instance de SQL Server pour être à l'écoute sur un autre port que celui par défaut

  • Configurer le Pare-feu Windows pour bloquer les ports d'écoute SQL Server par défaut

  • Configurer le Pare-feu Windows pour ouvrir les ports attribués manuellement

  • Configurer un alias client SQL

  • Tester l’alias client SQL

Résumé des recommandations en matière de sécurisation

Pour sécuriser des environnements de batterie de serveurs, il est recommandé de procéder comme suit :

  • Bloquez le port UDP 1434.

  • Configurez les instances nommées de SQL Server pour être à l’écoute sur un port non standard (autre que le port TCP 1433 ou le port UDP 1434).

  • Pour plus de sécurité, bloquez le port TCP 1433 et réattribuez le port utilisé par l’instance par défaut à un autre port.

  • Configurez les alias clients SQL Server sur tous les serveurs Web frontaux et les serveurs d’applications de la batterie de serveurs. Une fois bloqué le port TCP 1433 ou le port UDP 1434, les alias clients SQL Server sont nécessaires sur tous les ordinateurs qui communiquent avec l’ordinateur exécutant SQL Server.

Pour plus d’informations sur ces recommandations, voir Planifier le renforcement de la sécurité (SharePoint Foundation 2010).

Configurer une instance de SQL Server pour être à l’écoute sur un autre port que celui par défaut

Servez-vous du Gestionnaire de configuration SQL Server pour modifier le port TCP utilisé par une instance de SQL Server.

  1. Sur l’ordinateur exécutant SQL Server, ouvrez le Gestionnaire de configuration SQL Server.

  2. Dans le volet gauche, développez Configuration réseau SQL Server.

  3. Cliquez sur l’entrée correspondant à l’instance que vous configurez. L’instance par défaut est répertoriée en tant que Protocoles pour MSSQLSERVER. Les instances nommées seront désignées comme Protocoles pour instance_nommée.

  4. Dans le volet droit, cliquez avec le bouton droit sur TCP/IP, puis sur Propriétés.

  5. Cliquez sur l’onglet Adresses IP. Pour chaque adresse IP attribuée à l’ordinateur exécutant SQL Server, il existe une entrée correspondante sous cet onglet. Par défaut, SQL Server écoute toutes les adresses IP attribuées à l’ordinateur.

  6. Pour modifier globalement le port que l’instance par défaut écoute, procédez comme suit :

    1. Pour chaque adresse IP, à l’exception de la section IPAll, effacez toutes les valeurs dans les champs Ports TCP dynamiques et Port TCP.

    2. Pour la section IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

  7. Pour modifier globalement le port qu’une instance nommée écoute, procédez comme suit :

    1. Pour chaque adresse IP, y compris pour IPAll, effacez toutes les valeurs du champ Ports TCP dynamiques. Une valeur égale à 0 pour ce champ indique que SQL Server utilise un port TCP dynamique pour l’adresse IP. Une entrée vierge pour cette valeur signifie que SQL Server n’utilisera pas de port TCP dynamique pour l’adresse IP.

    2. Pour chaque adresse IP, à l’exception de IPAll, effacez toutes les valeurs du champ Port TCP.

    3. Pour la section IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

  8. Cliquez sur OK. Vous recevez un message indiquant que la modification ne prendra effet qu’après le redémarrage du service SQL Server. Cliquez sur OK.

  9. Fermez le Gestionnaire de configuration SQL Server.

  10. Redémarrez le service SQL Server et vérifiez que l’ordinateur exécutant SQL Server est à l’écoute sur le port que vous avez sélectionné. Vous pouvez le vérifier en recherchant les indications correspondantes dans le journal de l’Observateur d’événements après avoir redémarré le service SQL Server. Recherchez un événement d’information semblable à l’événement suivant :

    Type d’événement : information

    Source d’événement : MSSQL$MSSQLSERVER

    Catégorie d’événement : (2)

    ID d’événement : 26022

    Date : 3/6/2008

    Heure : 13:46:11

    Utilisateur : N/A

    Ordinateur : nom_ordinateur

    Description :

    Le serveur est à l’écoute sur [ 'any' <ipv4>50000]

Configurer le Pare-feu Windows pour bloquer les ports d’écoute SQL Server par défaut

  1. Dans le Panneau de configuration, ouvrez Pare-feu Windows. Cliquez sur Modifier les paramètres pour ouvrir la boîte de dialogue Paramètres du Pare-feu Windows

  2. Sous l’onglet Général, cliquez sur Activer. Assurez-vous que la case à cocher Ne pas autoriser les exceptions est désactivée.

  3. Sous l’onglet Exceptions, cliquez sur Ajouter un port.

  4. Dans la boîte de dialogue Ajouter un port, entrez un nom pour le port. Par exemple, entrez UDP-1434. Entrez ensuite le numéro de port. Par exemple, entrez 1434.

  5. Cliquez sur l’option appropriée : UDP ou TCP. Par exemple, pour bloquer le port 1434, cliquez sur UDP. Pour bloquer le port 1433, cliquez sur TCP.

  6. Cliquez sur Modifier l’étendue et assurez-vous que l’étendue pour cette exception est définie sur N’importe quel ordinateur (y compris ceux présents sur Internet).

  7. Cliquez sur OK.

  8. Sous l’onglet Exceptions, recherchez l’exception que vous avez créée. Pour bloquer le port, désactivez la case à cocher correspondant à cette exception. Par défaut, cette case à cocher est activée, ce qui signifie que le port est ouvert.

Configurer le Pare-feu Windows pour ouvrir les ports attribués manuellement

  1. Effectuez les étapes 1 à 7 de la procédure précédente pour créer une exception pour le port que vous avez attribué manuellement à une instance de SQL Server. Par exemple, créez une exception pour le port TCP 40000.

  2. Sous l’onglet Exceptions, recherchez l’exception que vous avez créée. Assurez-vous que la case à cocher correspondant à l’exception est activée. Par défaut, cette case à cocher est activée, ce qui signifie que le port est ouvert.

    Notes

    Pour plus d’informations sur l’utilisation du protocole IPsec (Internet Protocol security) afin de sécuriser les communications à destination et en provenance de votre ordinateur SQL Server, voir l’article de la Base de connaissances Microsoft 233256 : Comment faire pour activer le trafic IPSec par le biais d’un pare-feu (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x40C).

Configurer un alias client SQL

Si vous bloquez le port UDP 1434 ou le port TCP 1433 sur l’ordinateur exécutant SQL Server, vous devez créer un alias client SQL Server sur tous les autres ordinateurs de la batterie de serveurs. Vous pouvez utiliser les composants clients SQL Server afin de créer un alias client SQL Server pour les ordinateurs qui se connectent à SQL Server.

  1. Exécutez le programme d’installation de SQL Server sur l’ordinateur cible, puis sélectionnez les composants client suivants à installer :

    1. Composants de connectivité

    2. Outils de gestion

  2. Ouvrez le Gestionnaire de configuration SQL Server.

  3. Dans le volet gauche, cliquez sur Configuration de SQL Native Client.

  4. Dans le volet droit, cliquez avec le bouton droit sur Alias et sélectionnez Nouvel alias.

  5. Dans la boîte de dialogue Alias, entrez un nom pour l’alias, puis entrez le numéro de port pour l’instance de base de données. Par exemple, entrez SharePoint _alias.

  6. Dans le champ Numéro de port, entrez le numéro de port pour l’instance de base de données. Par exemple, entrez 40000. Assurez-vous que le protocole est défini sur TCP/IP.

  7. Dans le champ Serveur, entrez le nom de l’ordinateur exécutant SQL Server.

  8. Cliquez sur Appliquer, puis sur OK.

Tester l’alias client SQL

Testez la connectivité à l’ordinateur exécutant SQL Server à l’aide de Microsoft SQL Server Management Studio, qui est disponible via l’installation des composants clients SQL Server.

  1. Ouvrez SQL Server Management Studio.

  2. Lorsque vous êtes invité à entrer un nom de serveur, entrez le nom de l’alias que vous avez créé, puis cliquez sur Connexion. Si la connexion est réussie, SQL Server Management Studio est rempli avec des objets qui correspondent à la base de données distante.

    Notes

    Pour vérifier la connectivité à des instances de base de données supplémentaires dans SQL Server Management Studio, cliquez sur Connexion, puis sur Moteur de base de données.