Share via

Configurar a segurança do SQL Server para SharePoint Server

  • Artigo

APLICA-SE A:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint no Microsoft 365

Ao instalar o SQL Server, a configuração padrão ajuda a oferecer um banco de dados seguro. Além disso, é possível usar ferramentas do SQL Server e Windows Firewall para adicionar mais segurança ao SQL Server para ambientes do SharePoint Server.

Importante

[!IMPORTANTE] As etapas de segurança neste tópico são totalmente testadas pela equipe do SharePoint. Existem outras formas para ajudar a proteger o SQL Server em um SharePoint Server farm. Para obter mais informações, consulte Proteção de SQL Server.

Antes de começar

Antes de começar essa operação, revise a seguinte tarefas sobre como proteger seu farm de servidores:

  • Bloquear porta 1434 do UDP .

  • Configurar instâncias nomeadas do SQL Server para ouvir uma porta não padrão (além da porta TCP 1433 ou porta UDP 1434).

  • Para segurança adicional, bloqueie a porta TCP 1433 e reatribua a porta usada pela instância padrão para uma porta diferente.

  • Configure os aliases do cliente SQL Server em todos os servidores da Web de front-end e servidores de aplicativo no farm do servidores. Após bloquear a porta TCP 1433 ou porta UDP 1434, os aliases do cliente SQL Server são necessários em todos os computadores que se comunicam com o computador executando o SQL Server.

Configurando uma instância do SQL Server para ouvir uma porta não padrão

O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e qualquer instância nomeada. Em SQL Server, você reatribua a porta TCP usando SQL Server Configuration Manager. Ao alterar as portas padrões, você torna o ambiente mais seguro contra hackers que sabem as atribuições padrões e as usam para explorar seu ambiente do SharePoint.

Para configurar uma instância do SQL Server para ouvir uma porta não padrão

  1. Verifique se a conta de usuário realizando este procedimento é membro da função de servidor fixa serveradmin ou sysadmin.

  2. No computador executando o SQL Server, abra o Gerente de configuração do SQL Server.

  3. No painel de navegação, expanda Configuração de rede SQL Server.

  4. Clique na entrada correspondente para a instância que você está configurando.

    A instância padrão é listada como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.

  5. Na janela principal na coluna Nome do protocolo, clique com o botão direito em TCP/IP e clique em Propriedades.

  6. Clique na guia Endereço IP.

    Para cada endereço IP atribuído ao computador executando o SQL Server, há uma entrada correspondente nesta guia. Por padrão, o SQL Server ouve todos os endereços IP atribuídos ao computador.

  7. Para alterar globalmente a porta que a instância padrão está ouvindo, siga estas etapas:

    • para cada endereço IP exceto IPAll, limpe todos os valores para porta dinâmica TCP e Porta TCP.

    • Para IPAll, desmarque o valor para Portas dinâmicas TCP. No campo Porta TCP, insira a porta que você deseja que a instância do SQL Server ouça. Por exemplo, insira 40000.

  8. Para alterar globalmente a porta que uma instância nomeada está ouvindo, siga estas etapas:

    • Para cada endereço IP incluindo IPAll, desmarque todos os valores para Portas dinâmicas TCP. Um valor de 0 para este campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para este valor significa que o SQL Server não usará uma porta TCP dinâmica para o endereço IP.

    • Para cada endereço IP, exceto IPAll, desmarque todos os valores da Porta TCP.

    • Para IPAll, desmarque o valor para Portas dinâmicas TCP. No campo Porta TCP, insira a porta que você deseja que a instância do SQL Server ouça. Por exemplo, insira 40000.

  9. Clique em OK.

    Uma mensagem indica que a mudança não terá efeito até que o serviço do SQL Server seja reiniciado. Clique em OK.

  10. Feche o Gerente de configuração do SQL Server.

  11. Reinicie o serviço do SQL Server e confirme que o computador executando o SQL Server está ouvindo a porta selecionada.

    É possível confirmar isto procurando no log do Visualizador de eventos após reiniciar o serviço do SQL Server. Procure por um evento de informação semelhante ao seguinte evento:

    Tipo de evento: Informação

    Fonte do evento: MSSQL$MSSQLSERVER

    Categoria do evento: (2)

    ID do evento: 26022

    Data: 6/3/2008

    Hora: 1:46:11 PM

    Usuário: N/A

    Computador: nome_computador

    Descrição:

    O servidor ouvindo em [ 'any' <ipv4>50000]

  12. Verificação: Opcionalmente, inclua as etapas que os usuários devem realizar para verificar se a operação teve sucesso.

Bloqueando as portas ouvintes do SQL Server padrão

O Windows Firewall com Segurança Avançada usa Regras de Entrada e Regras de Saída para ajudar a proteger o tráfego de rede de entrada e saída. Como o Windows Firewall bloqueia todo o tráfego de rede de entrada não solicitado por padrão, não é necessário bloquear explicitamente as portas de escuta do SQL Server. Para saber mais, confira Windows Firewall com Segurança Avançada e Configurando o Windows Firewall para permitir o acesso ao SQL Server.

Configurando o Windows Firewall para abrir manualmente as portas atribuídas

Para acessar uma instância do SQL Server através de um firewall, você deve configurar o firewall no computador executando o SQL Server para permitir acesso. Qualquer porta que você deve atribuir manualmente deve abrir no Windows Firewall.

Para configurar o Windows Firewall para abrir manualmente portas atribuídas

  1. Verifique se a conta de usuário realizando este procedimento é membro da função de servidor fixa serveradmin ou sysadmin.

  2. No Painel de Controle, abra Sistema e Segurança.

  3. Clique em Firewall do Windows e clique em Configurações Avançadas para abrir o Firewall do Windows com a caixa de diálogo Segurança Avançada.

  4. No painel de navegação, clique em Regras de entrada para exibir as opções disponíveis no painel Ações.

  5. Clique em Nova regra para abrir o Novo Assistente de regra de entrada.

  6. Use o assistente para concluir as etapas necessárias para permitir acesso à porta definida em Configurando uma instância do SQL Server para ouvir uma porta não padrão.

    Observação

    [!OBSERVAçãO] É possível configurar a segurança de Protocolo Internet (IPsec) para ajudar a comunicação segura de e para seu computador executando o SQL Server configurando o firewall do Windows. Você faz isso selecionando Regras de Segurança de Conexão no painel de navegação do Firewall do Windows com a caixa de diálogo Segurança Avançada.

Configurando aliases do cliente SQL Server

Se você bloqueia a porta UDP 1434 ou porta TCP 1433 no computador executando o SQL Server, você deve criar um alias cliente do SQL Server em todos os outros computadores no farm de servidores. É possível usar os componentes clientes do SQL Server para criar um alias cliente do SQL Server para computadores conectados ao SQL Server.

Para configurar um alias cliente do SQL Server

  1. Verifique se a conta de usuário realizando este procedimento é membro da função de servidor fixa serveradmin ou sysadmin.

  2. Execute a Configuração do SQL Server no computador de destino e instalar os seguintes componentes cliente:

    • Componentes de Conectividade

    • Ferramentas de gerenciamento

  3. Abra o Gerente de configuração do SQL Server.

  4. No painel de navegação, clique em Configuração do cliente SQL Native.

  5. Na janela principal em Itens, clique com o botão direito do Aliases e selecione Novo alias.

  6. Na caixa de diálogo Alias – Novo , no campo Nome do Alias, insira um nome para o alias. Por exemplo, insira SharePoint _alias.

  7. No campo Número da porta, insira o número da porta para a instância do banco de dados. Por exemplo, insira o 40000. Certifique-se de que o protocolo é definido para TCP/IP.

  8. No campo Servidor, insira o nome do computador executando o SQL Server.

  9. Clique em Aplicar e em OK.

  10. Verificação: É possível testar o alias cliente do SQL Server usando o SQL Server Management Studio, que está disponível ao instalar os componentes clientes do SQL Server.

  11. Abra o SQL Server Management Studio.

  12. Quando você é solicitado a inserir um nome do servidor, insira o nome do alias criado e clique em Conectar. Se a conexão é realizada com sucesso, o SQL ServerManagement Studio e preenchido com objetos que correspondem ao banco de dados remoto.

  13. Para verificar a conectividade para instâncias do banco de dados adicional do SQL ServerManagement Studio, clique em Conectar e em Mecanismo do banco de dados.

Confira também

Outros recursos

Blog protegendo o SQL Server

Avaliação de vulnerabilidade do SQL

Protegendo o SharePoint: aumente a segurança do SQL Server em ambientes do SharePoint

Configurar um Firewall do Windows para acesso ao mecanismo de banco de dados

Configurar um servidor para escutar em uma porta TCP específica (SQL Server Configuration Manager)