Härten von SQL Server für SharePoint-Umgebungen (SharePoint Foundation 2010)
Gilt für: SharePoint Foundation 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel wird beschrieben, wie Microsoft SQL Server für Microsoft SharePoint 2010-Produkte-Umgebungen gehärtet wird.
Inhalt dieses Artikels:
Zusammenfassung der Empfehlungen zum Härten
Konfigurieren einer SQL Server-Instanz zum Belauschen eines nicht standardmäßigen Ports
Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports
Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports
Konfigurieren eines SQL Server-Alias
Testen des SQL Server-Clientalias
Zusammenfassung der Empfehlungen zum Härten
Für sichere Farmumgebungen werden die folgenden Schritte empfohlen:
Blockieren Sie UDP-Port 1434.
Konfigurieren Sie benannte Instanzen von SQL Server zum Belauschen eines nicht standardmäßigen Ports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).
Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem anderen Port zuweisen.
Konfigurieren Sie SQL Server-Clientaliase auf allen Front-End-Webservern und Anwendungsservern in der Serverfarm. Wenn Sie TCP-Port 1433 oder UDP-Port 1434 blockiert haben, sind SQL Server-Clientaliase auf allen Computern erforderlich, die mit dem Computer kommunizieren, auf dem SQL Server ausgeführt wird.
Weitere Informationen zu diesen Empfehlungen finden Sie unter Planen der Verstärkung der Sicherheit (SharePoint Foundation 2010).
Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports
Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer SQL Server-Instanz verwendeten TCP-Port zu ändern.
Öffnen Sie auf dem Computer mit SQL Server den SQL Server-Konfigurations-Manager.
Erweitern Sie im linken Bereich SQL Server-Netzwerkkonfiguration.
Klicken Sie auf den entsprechenden Eintrag für die zu konfigurierende Instanz. Die Standardinstanz wird als Protokolle für MSSQLSERVER aufgeführt. Benannte Instanzen werden als Protokolle für benannte Instanz angezeigt.
Klicken Sie im rechten Bereich auf TCP/IP, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte IP-Adressen. Diese Registerkarte enthält für jede IP-Adresse, die dem Computer mit SQL Server zugewiesen ist, einen entsprechenden Eintrag. SQL Server belauscht standardmäßig alle dem Computer zugewiesenen IP-Adressen.
Führen Sie die folgenden Schritte aus, um den von der Standardinstanz belauschten Port global zu ändern:
Löschen Sie für jede IP-Adresse außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.
Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie im Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.
Führen Sie die folgenden Schritte aus, um den von einer benannten Instanz belauschten Port global zu ändern:
Löschen Sie für jede IP, einschließlich IPAll, alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass SQL Server für die IP-Adresse einen dynamischen TCP-Port verwendet. Ein leerer Eintrag für diesen Wert bedeutet, dass SQL Server keinen dynamischen TCP-Port für die IP-Adresse verwendet.
Löschen Sie für jede IP-Adresse außer IPAll alle Werte für TCP-Port.
Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie im Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.
Klicken Sie auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.
Schließen Sie den SQL Server-Konfigurations-Manager.
Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der Computer mit SQL Server den ausgewählten Port belauscht. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:
Ereignistyp:Information
Ereignisquelle:MSSQL$MSSQLSERVER
Ereigniskategorie:(2)
Ereignis-ID:26022
Datum:06.03.2008
Uhrzeit:13:46:11 Uhr
Benutzer:n/v
Computer:Computername
Beschreibung:
Der Server belauscht [ 'any' <ipv4>50000]
Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports
Die Windows-Firewall mit erweiterter Sicherheit verwendet eingehende und ausgehende Regeln, um den eingehenden und ausgehenden Netzwerkverkehr zu schützen. Da die Windows-Firewall den gesamten unerwünschten eingehenden Netzwerkverkehr standardmäßig blockiert, müssen Sie die standardmäßigen zum Belauschen verwendeten SQL Server-Ports nicht explizit blockieren. Weitere Informationen finden Sie unter Windows-Firewall mit erweiterter Sicherheit (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x407) und Konfigurieren der Windows-Firewall für den SQL Server-Zugriff (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x407).
Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports
Öffnen Sie in der Systemsteuerung den Bereich System und Sicherheit.
Klicken Sie auf Windows-Firewall und dann auf Erweiterte Einstellungen, um das Dialogfeld Windows-Firewall mit erweiterter Sicherheit zu öffnen.
Klicken Sie im Navigationsbereich auf Eingehende Regeln, um die verfügbaren Optionen im Bereich Aktionen anzuzeigen.
Klicken Sie auf Neue Regel, um den Assistenten für neue eingehende Regel zu öffnen.
Führen Sie mithilfe des Assistenten die nötigen Schritte aus, um Zugriff auf den Port zu gewähren, den Sie unter Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports definiert haben.
Hinweis
Sie können die Internet Protocol-Sicherheit (IPsec) konfigurieren, um die Kommunikation zu und von Ihrem Computer mit SQL Server zu schützen, indem Sie die Windows-Firewall konfigurieren. Dazu wählen Sie im Dialogfeld Windows-Firewall mit erweiterter Sicherheit im Navigationsbereich die Option Verbindungssicherheitsregeln aus.
Konfigurieren eines SQL Server-Alias
Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem Computer mit SQL Server blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL Server-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL Server-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server herstellen.
Führen Sie auf dem Zielcomputer das Setup für SQL Server aus, und wählen Sie die folgenden Clientkomponenten für die Installation aus:
Konnektivitätskomponenten
Verwaltungstools
Öffnen Sie den SQL Server-Konfigurations-Manager.
Klicken Sie im linken Bereich auf SQL Native Client-Konfiguration.
Klicken Sie im rechten Bereich auf Aliase, und wählen Sie Neuer Alias aus.
Geben Sie im Dialogfeld Alias einen Namen für den Alias ein, und geben Sie dann die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise SharePoint-Alias ein.
Geben Sie im Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.
Geben Sie im Feld Server den Namen des Computers mit SQL Server ein.
Klicken Sie auf Anwenden, und klicken Sie dann auf OK.
Testen des SQL Server-Clientalias
Testen Sie mit Microsoft SQL Server Management Studio, das nach dem Installieren von SQL Server-Clientkomponenten verfügbar ist, die Verbindung mit dem Computer, auf dem SQL Server ausgeführt wird.
Öffnen Sie SQL Server Management Studio.
Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.
Hinweis
Klicken Sie auf Verbinden und dann auf Datenbankmodul, um die Verbindung mit weiteren Datenbankinstanzen über SQL Server Management Studio zu überprüfen.