Configurare la sicurezza di SQL Server per SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Quando si installa SQL Server, le impostazioni predefinite consentono di fornire un database sicuro. È inoltre possibile usare gli strumenti di SQL Server e Windows Firewall per aggiungere ulteriore sicurezza a SQL Server per ambienti SharePoint Server.
Importante
[!IMPORTANTE] Le procedure di sicurezza descritte in questo argomento sono state interamente testate dal team di SharePoint. Esistono altri modi per contribuire alla protezione di SQL Server in una farm di SharePoint Server. Per altre informazioni, vedere Protezione di SQL Server.
Prima di iniziare
Prima di iniziare questa operazione, esaminare le attività seguenti su come proteggere la server farm:
Bloccare la porta UDP 1434.
Configurare le istanze denominate di SQL Server per l'attesa su una porta non standard, ovvero su una porta diversa dalla porta TCP 1433 o dalla porta UDP 1434.
Per una maggiore sicurezza, bloccare la porta TCP 1433 e riassegnare la porta utilizzata dall'istanza predefinita a un'altra porta.
Configurare alias per client di SQL Server in tutti i server Web front-end e in tutti i server applicazioni nella server farm. Dopo aver bloccato la porta TCP 1433 o la porta UDP 1434, gli alias per client di SQL Server sono necessari in tutti i computer che comunicano con il computer che esegue SQL Server.
Configurazione di un'istanza di SQL Server per l'attesa su una porta non predefinita
In SQL Server è possibile riassegnare le porte utilizzate dall'istanza predefinita e da qualsiasi istanza denominata. In SQL Server è possibile riassegnare la porta TCP usando Gestione configurazione SQL Server. Modificando le porte predefinite, è possibile proteggere ulteriormente l'ambiente dagli hacker, che in genere conoscono le assegnazioni predefinite e le utilizzano per sfruttare l'ambiente SharePoint.
Per configurare un'istanza di SQL Server per l'attesa su una porta non predefinita
Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del ruolo predefinito del server sysadmin o serveradmin.
Nel computer che esegue SQL Server aprire Gestione configurazione SQL Server.
Nel riquadro di spostamento espandere Configurazione di rete SQL Server.
Fare clic sulla voce corrispondente all'istanza da configurare.
L'istanza predefinita è inclusa nell'elenco come Protocolli per MSSQLSERVER. Le istanze denominate vengono invece visualizzate come Protocolli per istanza_denominata.
Nella colonna Nome protocollo della finestra principale fare clic con il pulsante destro del mouse su TCP/IP e quindi scegliere Proprietà.
Fare clic sulla scheda Indirizzi IP.
In questa scheda è contenuta una voce corrispondente a ogni indirizzo IP assegnato al computer che esegue SQL Server. Per impostazione predefinita, SQL Server è in attesa su tutti gli indirizzi IP assegnati al computer.
Per cambiare a livello globale la porta su cui è in attesa l'istanza predefinita, eseguire la procedura seguente:
Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori di Porte dinamiche TCP e Porta TCP.
Per IPAll, cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui si vuole che l'istanza di SQL Server sia in ascolto. Ad esempio, digitare 40000.
Per modificare a livello globale la porta su cui è in attesa un'istanza denominata, eseguire la procedura seguente:
Per ogni indirizzo IP, incluso IPAll, cancellare tutti i valori di Porte dinamiche TCP. Un valore pari a 0 per questo campo indica che SQL Server utilizzerà una porta TCP dinamica per l'indirizzo IP. Se questo campo è vuoto, SQL Server non utilizzerà alcuna porta TCP dinamica per l'indirizzo IP.
Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori di Porta TCP.
Per IPAll, cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui si vuole che l'istanza di SQL Server sia in ascolto. Ad esempio, digitare 40000.
Fare clic su OK.
Verrà visualizzato un messaggio in cui viene indicato che la modifica verrà applicata solo dopo il riavvio del servizio SQL Server. Fare clic su OK.
Chiudere Gestione configurazione SQL Server.
Riavviare il servizio SQL Server e verificare che il computer che esegue SQL Server sia in attesa sulla porta selezionata.
A tale scopo, eseguire una ricerca nel log del Visualizzatore eventi dopo aver riavviato il servizio SQL Server. Cercare un evento informativo simile al seguente:
Tipo evento: Informazioni
Origine evento: MSSQL$MSSQLSERVER
Categoria evento: (2)
ID evento: 26022
Data: 06/03/2008
Ora: 13.46.11
Utente: N/D
Computer: nome_computer
Descrizione:
Il server è in attesa su [ 'any' <ipv4>50000]
Verifica: è possibile includere i passaggi che dovranno eseguire gli utenti per verificare la corretta esecuzione dell'operazione.
Blocco delle porte di attesa predefinite di SQL Server
Windows Firewall con protezione avanzata utilizza regole in ingresso e in uscita per proteggere il traffico di rete in ingresso e in uscita. Poiché per impostazione predefinita Windows Firewall blocca tutto il traffico di rete indesiderato in ingresso, non è necessario bloccare esplicitamente le porte di attesa predefinite di SQL Server. Per altre informazioni, vedere Windows Firewall con protezione avanzata e Configurazione di Windows Firewall per consentire l'accesso a SQL Server.
Configurazione di Windows Firewall per l'apertura di porte assegnate manualmente
Per accedere a un'istanza di SQL Server attraverso un firewall, è necessario configurare il firewall nel computer che esegue SQL Server in modo da consentire l'accesso. Tutte le porte assegnate manualmente devono essere aperte in Windows Firewall.
Per configurare Windows Firewall per l'apertura di porte assegnate manualmente
Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del ruolo predefinito del server sysadmin o serveradmin.
Nel Pannello di controllo aprire Sistema e sicurezza.
Fare clic su Windows Firewall e quindi su Impostazioni avanzate per aprire la finestra di dialogo Windows Firewall con sicurezza avanzata .
Nel riquadro di spostamento fare clic su Regole in entrata per visualizzare le opzioni disponibili nel riquadro Azioni.
Fare clic su Nuova regola per aprire la Creazione guidata nuova regola connessioni in entrata.
Utilizzare la procedura guidata per eseguire i passaggi necessari per consentire l'accesso alla porta definita in Configurazione di un'istanza di SQL Server per l'attesa su una porta non predefinita.
Nota
[!NOTA] È possibile configurare IPsec (Internet Protocol security) per proteggere la comunicazione da e verso il computer che esegue SQL Server configurando il firewall Windows. A tale scopo, selezionare Regole di sicurezza connessione nel riquadro di spostamento della finestra di dialogo Windows Firewall con sicurezza avanzata.
Configurazione di alias per client di SQL Server
Se si blocca la porta UDP 1434 o la porta TCP 1433 nel computer che esegue SQL Server, è necessario creare un alias per client SQL Server in tutti gli altri computer della server farm. È possibile usare i componenti client di SQL Server per creare un alias per client di SQL Server per i computer che si connettono a SQL Server.
Per configurare un alias per client di SQL Server
Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del ruolo predefinito del server sysadmin o serveradmin.
Eseguire il programma di installazione di SQL Server nel computer di destinazione e installare i componenti client seguenti:
Componenti di connettività
Strumenti di gestione
Aprire Gestione configurazione SQL Server.
Nel riquadro di spostamento fare clic su Configurazione SQL Native Client.
In Elementi nella finestra principale fare clic con il pulsante destro del mouse su Alias e quindi scegliere Nuovo alias.
Nel campo Nome alias della finestra di dialogo Alias - Nuovo immettere un nome per l'alias. Ad esempio, immettere SharePoint _alias.
Nel campo No porta immettere il numero di porta per l'istanza del database. Ad esempio, digitare 40000. Assicurarsi che il protocollo sia impostato su TCP/IP.
Nel campo Server immettere il nome del computer che esegue SQL Server.
Fare clic su Applica e quindi su OK.
Verifica: è possibile testare l'alias per client di SQL Server utilizzando SQL Server Management Studio, disponibile quando si installano i componenti client di SQL Server.
Aprire SQL Server Management Studio.
Quando viene richiesto di immettere un nome di server, specificare il nome dell'alias creato e quindi fare clic su Connetti. Se la connessione riesce, in SQL ServerManagement Studio vengono indicati gli oggetti corrispondenti al database remoto.
Per verificare la connettività ad altre istanze di database da SQL ServerManagement Studio, fare clic su Connetti e quindi su Motore di database.
Vedere anche
Ulteriori risorse
Blog sulla sicurezza di SQL Server
Valutazione della vulnerabilità SQL
Protezione di SharePoint: finalizzare SQL Server in ambienti SharePoint
Configurazione di Windows Firewall per l'accesso al Motore di database