Configurar a segurança do SQL Server para SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
Ao instalar o SQL Server, a configuração padrão ajuda a oferecer um banco de dados seguro. Além disso, é possível usar ferramentas do SQL Server e Windows Firewall para adicionar mais segurança ao SQL Server para ambientes do SharePoint Server.
Importante
[!IMPORTANTE] As etapas de segurança neste tópico são totalmente testadas pela equipe do SharePoint. Existem outras formas para ajudar a proteger o SQL Server em um SharePoint Server farm. Para obter mais informações, veja Proteger o SQL Server.
Antes de começar
Antes de começar essa operação, revise a seguinte tarefas sobre como proteger seu farm de servidores:
Bloquear porta 1434 do UDP .
Configurar instâncias nomeadas do SQL Server para ouvir uma porta não padrão (além da porta TCP 1433 ou porta UDP 1434).
Para segurança adicional, bloqueie a porta TCP 1433 e reatribua a porta usada pela instância padrão para uma porta diferente.
Configure os aliases do cliente SQL Server em todos os servidores da Web de front-end e servidores de aplicativo no farm do servidores. Após bloquear a porta TCP 1433 ou porta UDP 1434, os aliases do cliente SQL Server são necessários em todos os computadores que se comunicam com o computador executando o SQL Server.
Configurando uma instância do SQL Server para ouvir uma porta não padrão
O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e qualquer instância nomeada. No SQL Server, reatribui a porta TCP com o Gestor de Configuração do SQL Server. Ao alterar as portas padrões, você torna o ambiente mais seguro contra hackers que sabem as atribuições padrões e as usam para explorar seu ambiente do SharePoint.
Para configurar uma instância do SQL Server para ouvir uma porta não padrão
Verifique se a conta de usuário realizando este procedimento é membro da função de servidor fixa serveradmin ou sysadmin.
No computador executando o SQL Server, abra o Gerente de configuração do SQL Server.
No painel de navegação, expanda Configuração de rede SQL Server.
Clique na entrada correspondente para a instância que você está configurando.
A instância padrão é listada como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.
Na janela principal na coluna Nome do protocolo, clique com o botão direito em TCP/IP e clique em Propriedades.
Clique na guia Endereço IP.
Para cada endereço IP atribuído ao computador executando o SQL Server, há uma entrada correspondente nesta guia. Por padrão, o SQL Server ouve todos os endereços IP atribuídos ao computador.
Para alterar globalmente a porta que a instância padrão está ouvindo, siga estas etapas:
para cada endereço IP exceto IPAll, limpe todos os valores para porta dinâmica TCP e Porta TCP.
Para IPAll, desmarque o valor para Portas dinâmicas TCP. No campo Porta TCP, insira a porta que você deseja que a instância do SQL Server ouça. Por exemplo, insira 40000.
Para alterar globalmente a porta que uma instância nomeada está ouvindo, siga estas etapas:
Para cada endereço IP incluindo IPAll, desmarque todos os valores para Portas dinâmicas TCP. Um valor de 0 para este campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para este valor significa que o SQL Server não usará uma porta TCP dinâmica para o endereço IP.
Para cada endereço IP, exceto IPAll, desmarque todos os valores da Porta TCP.
Para IPAll, desmarque o valor para Portas dinâmicas TCP. No campo Porta TCP, insira a porta que você deseja que a instância do SQL Server ouça. Por exemplo, insira 40000.
Clique em OK.
Uma mensagem indica que a mudança não terá efeito até que o serviço do SQL Server seja reiniciado. Clique em OK.
Feche o Gerente de configuração do SQL Server.
Reinicie o serviço do SQL Server e confirme que o computador executando o SQL Server está ouvindo a porta selecionada.
É possível confirmar isto procurando no log do Visualizador de eventos após reiniciar o serviço do SQL Server. Procure por um evento de informação semelhante ao seguinte evento:
Tipo de evento: Informação
Fonte do evento: MSSQL$MSSQLSERVER
Categoria do evento: (2)
ID do evento: 26022
Data: 6/3/2008
Hora: 1:46:11 PM
Usuário: N/A
Computador: nome_computador
Descrição:
O servidor ouvindo em [ 'any' <ipv4>50000]
Verificação: Opcionalmente, inclua as etapas que os usuários devem realizar para verificar se a operação teve sucesso.
Bloqueando as portas ouvintes do SQL Server padrão
O Windows Firewall com Segurança Avançada usa Regras de Entrada e Regras de Saída para ajudar a proteger o tráfego de rede de entrada e saída. Como o Windows Firewall bloqueia todo o tráfego de rede de entrada não solicitado por padrão, não é necessário bloquear explicitamente as portas de escuta do SQL Server. Para saber mais, confira Windows Firewall com Segurança Avançada e Configurando o Windows Firewall para permitir o acesso ao SQL Server.
Configurando o Windows Firewall para abrir manualmente as portas atribuídas
Para acessar uma instância do SQL Server através de um firewall, você deve configurar o firewall no computador executando o SQL Server para permitir acesso. Qualquer porta que você deve atribuir manualmente deve abrir no Windows Firewall.
Para configurar o Windows Firewall para abrir manualmente portas atribuídas
Verifique se a conta de usuário realizando este procedimento é membro da função de servidor fixa serveradmin ou sysadmin.
No Painel de Controle, abra Sistema e Segurança.
Clique em Firewall do Windows e, em seguida, clique em Definições Avançadas para abrir a caixa de diálogo Firewall do Windows com Segurança Avançada .
No painel de navegação, clique em Regras de entrada para exibir as opções disponíveis no painel Ações.
Clique em Nova regra para abrir o Novo Assistente de regra de entrada.
Use o assistente para concluir as etapas necessárias para permitir acesso à porta definida em Configurando uma instância do SQL Server para ouvir uma porta não padrão.
Observação
[!OBSERVAçãO] É possível configurar a segurança de Protocolo Internet (IPsec) para ajudar a comunicação segura de e para seu computador executando o SQL Server configurando o firewall do Windows. Para tal, selecione Regras de Segurança de Ligação no painel de navegação da Caixa de diálogo Firewall do Windows com Segurança Avançada.
Configurando aliases do cliente SQL Server
Se você bloqueia a porta UDP 1434 ou porta TCP 1433 no computador executando o SQL Server, você deve criar um alias cliente do SQL Server em todos os outros computadores no farm de servidores. É possível usar os componentes clientes do SQL Server para criar um alias cliente do SQL Server para computadores conectados ao SQL Server.
Para configurar um alias cliente do SQL Server
Verifique se a conta de usuário realizando este procedimento é membro da função de servidor fixa serveradmin ou sysadmin.
Execute a Configuração do SQL Server no computador de destino e instalar os seguintes componentes cliente:
Componentes de Conectividade
Ferramentas de gerenciamento
Abra o Gerente de configuração do SQL Server.
No painel de navegação, clique em Configuração do cliente SQL Native.
Na janela principal em Itens, clique com o botão direito do Aliases e selecione Novo alias.
Na caixa de diálogo Alias – Novo , no campo Nome do Alias , introduza um nome para o alias. Por exemplo, introduza _alias do SharePoint.
No campo Número da porta, insira o número da porta para a instância do banco de dados. Por exemplo, insira o 40000. Certifique-se de que o protocolo é definido para TCP/IP.
No campo Servidor, insira o nome do computador executando o SQL Server.
Clique em Aplicar e em OK.
Verificação: É possível testar o alias cliente do SQL Server usando o SQL Server Management Studio, que está disponível ao instalar os componentes clientes do SQL Server.
Abra o SQL Server Management Studio.
Quando você é solicitado a inserir um nome do servidor, insira o nome do alias criado e clique em Conectar. Se a conexão é realizada com sucesso, o SQL ServerManagement Studio e preenchido com objetos que correspondem ao banco de dados remoto.
Para verificar a conectividade para instâncias do banco de dados adicional do SQL ServerManagement Studio, clique em Conectar e em Mecanismo do banco de dados.
Confira também
Outros recursos
Avaliação de Vulnerabilidades do SQL
Protegendo o SharePoint: aumente a segurança do SQL Server em ambientes do SharePoint
Configurar um Firewall do Windows para acesso ao mecanismo de banco de dados
Configurar um servidor para escutar em uma porta TCP específica (SQL Server Configuration Manager)