Partilhar via


Proteger o SQL Server para ambientes do SharePoint (SharePoint Server 2010)

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-11-30

Este artigo descreve como aumentar a proteção do Microsoft SQL Server para ambientes do Produtos do Microsoft SharePoint 2010.

Neste artigo:

  • Resumo das recomendações de proteção

  • Configurar uma instância do SQL Server para que ela escute em uma porta não padrão

  • Bloquear portas de escuta padrão do SQL Server

  • Configurar o Firewall do Windows para abrir portas manualmente atribuídas

  • Configurar um alias de cliente do SQL Server

  • Testar o alias de cliente do SQL Server SQL

Resumo das recomendações de proteção

Para ambientes de farm de servidores seguros, é recomendado:

  • Bloquear a porta UDP 1434.

  • Configurar instâncias nomeadas do SQL Server para escutar em uma porta não padrão (que não seja a porta TCP 1433 ou a porta UDP 1434).

  • Para obter mais segurança, bloqueie a porta TCP 1433 e reatribua a porta usada pela instância padrão a uma porta diferente.

  • Configurar aliases de cliente do SQL Server em todos os servidores Web front-end e nos servidores de aplicativos do farm de servidores. Após o bloqueio da porta TCP 1433 ou UDP 1434, aliases de cliente SQL Server são necessários em todos os computadores que se comunicam com o computador que executa o SQL Server.

Para obter mais informações sobre essas recomendações, consulte Planejar proteção de segurança (SharePoint Server 2010).

Configurar uma instância do SQL Server para que ela escute em uma porta não padrão

Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server.

  1. No computador que executa o SQL Server, abra o SQL Server Configuration Manager.

  2. No painel esquerdo, expanda Configuração de Rede do SQL Server.

  3. Clique na entrada correspondente para a instância que você está configurando. A instância padrão aparece na lista como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.

  4. No painel direito, clique com o botão direito do mouse em TCP/IP e clique em Propriedades.

  5. Clique na guia Endereços IP. Para cada endereço IP atribuído ao computador que está executando o SQL Server, há uma entrada correspondente nessa guia. Por padrão, o SQL Server escuta em todos os endereços IP atribuídos ao computador.

  6. Para alterar de forma global a porta em que a instância padrão está escutando, siga estas etapas:

    1. Para cada endereço IP, exceto IPAll, limpe todos os valores de Portas TCP dinâmicas e Porta TCP.

    2. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta na qual a instância do SQL Server deve escutar. Por exemplo, digite 40000.

  7. Para alterar de forma global a porta em que a instância nomeada está escutando, execute as seguintes etapas:

    1. Para cada endereço IP, inclusive IPAll, limpe todos os valores de Portas TCP dinâmicas. O valor 0 para esse campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para esse valor significa que o SQL Server não usará uma porta TCP dinâmica para o endereço IP.

    2. Para cada endereço IP, exceto IPAll, limpe todos os valores de Porta TCP.

    3. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta na qual a instância do SQL Server deve escutar. Por exemplo, digite 40000.

  8. Clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.

  9. Feche o SQL Server Configuration Manager.

  10. Reinicie o serviço SQL Server e confirme se o computador que está executando o SQL Server está escutando na porta selecionada. Para isso, examine o log do visualizador de eventos após a reinicialização do serviço do SQL Server . Procure um evento de informação semelhante a este:

    Tipo de Evento:Informação

    Origem do Evento:MSSQL$MSSQLSERVER

    Categoria do Evento:(2)

    ID do Evento:   26022

    Data:6/3/2008

    Hora:13:46:11

    Usuário:N/D

    Computador:nome_do_computador

    Descrição:

    O servidor está escutando em [ 'any' <ipv4>50000]

Bloquear as portas de escuta padrão do SQL Server

O Firewall do Windows com Segurança Avançada usa Regras de Entrada e Regras de Saída para proteger o tráfego de rede de entrada e saída. Como o Firewall do Windows bloqueia por padrão todo o tráfego de rede de entrada não solicitado, não é necessário bloquear explicitamente as portas de escuta padrão do SQL Server. Para obter mais informações, consulte Firewall do Windows com Segurança Avançada (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x416) e Configurando o Firewall do Windows para permitir acesso ao SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x416)

Configurar o Firewall do Windows para abrir portas manualmente atribuídas

  1. No Painel de Controle, abra Sistema e Segurança.

  2. Clique em Firewall do Windows e clique em Configurações Avançadas para abrir a caixa de diálogo Firewall do Windows com Segurança Avançada.

  3. No painel de navegação, clique em Regras de Entrada para exibir as opções disponíveis no painel Ações.

  4. Clique em Nova Regra para abrir o Assistente para Nova Regra de Entrada.

  5. Use o assistente para completar as etapas necessárias para permitir o acesso à porta definida em Configurar uma instância do SQL Server para escutar em uma porta não padrão.

Observação

É possível configurar o IPsec (Segurança de Protocolo IP) para ajudar a proteger a comunicação realizada por meio de seu computador, que está executando o SQL Server, configurando o Firewall do Windows. Faça isso selecionando Regras de Segurança de Conexão no painel de navegação do Firewall do Windows com a caixa de diálogo Segurança Avançada.

Configurar um alias de cliente do SQL Server

Se você bloquear a porta UDP 1434 ou a porta TCP 1433 no computador que está executando o SQL Server, deverá criar um alias de cliente do SQL Server em todos os outros computadores do farm de servidores. É possível usar os componentes de cliente do SQL Server para criar um alias de cliente do SQL Server para computadores que se conectam ao SQL Server.

  1. Execute a Instalação do SQL Server no computador de destino e selecione os seguintes componentes de cliente para instalação:

    1. Componentes de Conectividade

    2. Ferramentas de Gerenciamento

  2. Abra o SQL Server Configuration Manager.

  3. No painel esquerdo, clique em Configuração do SQL Native Client.

  4. No painel direito, clique com o botão direito do mouse em Aliases e selecione Novo Alias.

  5. Na caixa de diálogo Alias, digite um nome para o alias e o número da porta da instância do banco de dados. Por exemplo, digite SharePoint*_alias*.

  6. No campo Número da Porta, digite o número da porta para a instância do banco de dados. Por exemplo, 40000. Verifique se o protocolo está definido como TCP/IP.

  7. No campo Servidor, digite o nome do computador que está executando o SQL Server.

  8. Clique em Aplicar e em OK.

Testar o alias de cliente do SQL Server SQL

Teste a conectividade com o computador que está executando o SQL Server usando o Microsoft SQL Server Management Studio, disponível por meio da instalação de componentes de cliente do SQL Server.

  1. Abra o SQL Server Management Studio.

  2. Quando um nome de servidor for solicitado, digite o nome do alias criado e clique em Conectar. Se a conexão for bem-sucedida, o SQL Server será preenchido por objetos que correspondem ao banco de dados remoto.

    Observação

    Para verificar a conectividade com instâncias adicionais do banco de dados no SQL Server Management Studio, clique em Conectar e em Mecanismo de Banco de Dados.