Freigeben über


Verstärken der Sicherheit von SQL Server für SharePoint-Umgebungen (SharePoint Server 2010)

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel wird das Verstärken der Sicherheit von Microsoft SQL Server für Umgebungen mit Microsoft SharePoint 2010-Produkte beschrieben.

Inhalt dieses Artikels:

  • Zusammenfassung der Empfehlungen für die Verstärkung der Sicherheit

  • Konfigurieren einer SQL Server-Instanz zum Abhören eines Nichtstandardports

  • Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports

  • Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports

  • Konfigurieren eines SQL Server-Clientalias

  • Testen des SQL Server-Clientalias

Zusammenfassung der Empfehlungen für die Verstärkung der Sicherheit

Für sichere Serverfarmumgebungen wird Folgendes empfohlen:

  • Blockieren Sie UDP-Port 1434.

  • Konfigurieren Sie benannte Instanzen von SQL Server zum Abhören eines Nichtstandardports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).

  • Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem anderen Port zuweisen.

  • Konfigurieren Sie SQL Server-Clientaliase auf allen Front-End-Webservern und Anwendungsservern in der Serverfarm. Wenn Sie TCP-Port 1433 oder UDP-Port 1434 blockiert haben, sind SQL Server-Clientaliase auf allen Computern notwendig, die mit dem Computer mit SQL Server kommunizieren.

Weitere Informationen zu diesen Empfehlungen finden Sie unter Planen des Verstärkens der Sicherheit (SharePoint Server 2010).

Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports

Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer Instanz von SQL Server verwendeten TCP-Port zu ändern.

  1. Öffnen Sie auf dem Computer mit SQL Server den SQL Server-Konfigurations-Manager.

  2. Erweitern Sie im linken Bereich die Option SQL Server-Netzwerkkonfiguration.

  3. Klicken Sie auf den entsprechenden Eintrag für die zu konfigurierende Instanz. Die Standardinstanz wird aufgelistet als Protokolle für MSSQLSERVER. Benannte Instanzen werden angezeigt als Protokolle für benannte Instanz.

  4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf TCP/IP, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte IP-Adressen. Für jede dem Computer mit SQL Server zugewiesene IP-Adresse befindet sich auf dieser Registerkarte ein entsprechender Eintrag. Standardmäßig werden von SQL Server alle IP-Adressen abgehört, die dem Computer zugewiesen sind.

  6. Führen Sie die folgenden Schritte aus, um den Port, der von der Standardinstanz abgehört wird, global zu ändern:

    1. Löschen Sie für alle IP-Adressen außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.

    2. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server abgehört werden soll. Geben Sie beispielsweise 40000 ein.

  7. Führen Sie die folgenden Schritte aus, um den Port, der von einer benannten Instanz abgehört wird, global zu ändern:

    1. Löschen Sie für alle IP-Adressen einschließlich IPAll alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass von SQL Server für die IP-Adresse ein dynamischer TCP-Port verwendet wird. Ein leerer Eintrag für diesen Wert bedeutet, dass von SQL Server kein dynamischer TCP-Port für die IP-Adresse verwendet wird.

    2. Löschen Sie für alle IP-Adressen außer IPAll alle Werte für TCP-Port.

    3. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server abgehört werden soll. Geben Sie beispielsweise 40000 ein.

  8. Klicken Sie auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.

  9. Schließen Sie den SQL Server-Konfigurations-Manager.

  10. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der ausgewählte Port vom Computer mit SQL Server abgehört wird. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:

    Ereignistyp: Information

    Ereignisquelle: MSSQL$MSSQLSERVER

    Ereigniskategorie: (2)

    Ereignis-ID: 26022

    Datum: 06.03.2008

    Uhrzeit: 1:46:11 Uhr

    Benutzer: n/v

    Computer: Computername

    Beschreibung:

    Der Server überwacht [ 'any' <ipv4>50000]

Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports

Die Windows-Firewall mit erweiterter Sicherheit verwendet eingehende und ausgehende Regeln, um den eingehenden und ausgehenden Netzwerkverkehr zu schützen. Da die Windows-Firewall den gesamten unerwünschten eingehenden Netzwerkverkehr standardmäßig blockiert, müssen Sie die standardmäßigen zum Belauschen verwendeten SQL&nbsp;Server-Ports nicht explizit blockieren. Weitere Informationen finden Sie unter Windows-Firewall mit erweiterter Sicherheit (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x407) und Konfigurieren der Windows-Firewall für den SQL&nbsp;Server-Zugriff (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x407).

Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports

  1. Öffnen Sie in der Systemsteuerung den Bereich System und Sicherheit.

  2. Klicken Sie auf Windows-Firewall und dann auf Erweiterte Einstellungen, um das Dialogfeld Windows-Firewall mit erweiterter Sicherheit zu öffnen.

  3. Klicken Sie im Navigationsbereich auf Eingehende Regeln, um die verfügbaren Optionen im Bereich Aktionen anzuzeigen.

  4. Klicken Sie auf Neue Regel, um den Assistenten für neue eingehende Regel zu öffnen.

  5. Führen Sie mithilfe des Assistenten die nötigen Schritte aus, um Zugriff auf den Port zu gewähren, den Sie unter Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports definiert haben.

Hinweis

Sie können die Internet Protocol-Sicherheit (IPsec) konfigurieren, um die Kommunikation zu und von Ihrem Computer mit SQL Server zu schützen, indem Sie die Windows-Firewall konfigurieren. Dazu wählen Sie im Dialogfeld Windows-Firewall mit erweiterter Sicherheit im Navigationsbereich die Option Verbindungssicherheitsregeln aus.

Konfigurieren eines SQL Server-Clientalias

Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem Computer mit SQL Server blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL Server-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL Server-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server herstellen.

  1. Führen Sie auf dem Zielcomputer das Setup für SQL Server aus, und wählen Sie die folgenden Clientkomponenten für die Installation aus:

    1. Konnektivitätskomponenten

    2. Verwaltungstools

  2. Öffnen Sie den SQL Server-Konfigurations-Manager.

  3. Klicken Sie im linken Bereich auf SQL Native Client-Konfiguration.

  4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Aliase, und wählen Sie Neuer Alias aus.

  5. Geben Sie in das Dialogfeld Alias einen Namen für den Alias ein, und geben Sie dann die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise SharePoint-Alias ein.

  6. Geben Sie in das Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.

  7. Geben Sie in das Feld Server den Namen des Computers mit SQL Server ein.

  8. Klicken Sie auf Anwenden, und klicken Sie dann auf OK.

Testen des SQL Server-Clientalias

Testen Sie die Konnektivität mit dem Computer mit SQL Server mithilfe des Programms Microsoft SQL Server Management Studio, das nach dem Installieren der SQL Server-Clientkomponenten verfügbar ist.

  1. Öffnen Sie SQL Server Management Studio.

  2. Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.

    Hinweis

    Zum Überprüfen der Konnektivität mit weiteren Datenbankinstanzen über SQL Server Management Studio klicken Sie auf Verbinden und dann auf Datenbankmodul.