Härten von SQL Server für SharePoint-Umgebungen (SharePoint Foundation 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel wird beschrieben, wie Microsoft SQL Server für Microsoft SharePoint 2010-Produkte-Umgebungen gehärtet wird.

Inhalt dieses Artikels:

  • Zusammenfassung der Empfehlungen zum Härten

  • Konfigurieren einer SQL Server-Instanz zum Belauschen eines nicht standardmäßigen Ports

  • Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports

  • Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports

  • Konfigurieren eines SQL Server-Alias

  • Testen des SQL Server-Clientalias

Zusammenfassung der Empfehlungen zum Härten

Für sichere Farmumgebungen werden die folgenden Schritte empfohlen:

  • Blockieren Sie UDP-Port 1434.

  • Konfigurieren Sie benannte Instanzen von SQL Server zum Belauschen eines nicht standardmäßigen Ports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).

  • Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem anderen Port zuweisen.

  • Konfigurieren Sie SQL Server-Clientaliase auf allen Front-End-Webservern und Anwendungsservern in der Serverfarm. Wenn Sie TCP-Port 1433 oder UDP-Port 1434 blockiert haben, sind SQL Server-Clientaliase auf allen Computern erforderlich, die mit dem Computer kommunizieren, auf dem SQL Server ausgeführt wird.

Weitere Informationen zu diesen Empfehlungen finden Sie unter Planen der Verstärkung der Sicherheit (SharePoint Foundation 2010).

Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports

Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer SQL Server-Instanz verwendeten TCP-Port zu ändern.

  1. Öffnen Sie auf dem Computer mit SQL Server den SQL Server-Konfigurations-Manager.

  2. Erweitern Sie im linken Bereich SQL Server-Netzwerkkonfiguration.

  3. Klicken Sie auf den entsprechenden Eintrag für die zu konfigurierende Instanz. Die Standardinstanz wird als Protokolle für MSSQLSERVER aufgeführt. Benannte Instanzen werden als Protokolle für benannte Instanz angezeigt.

  4. Klicken Sie im rechten Bereich auf TCP/IP, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte IP-Adressen. Diese Registerkarte enthält für jede IP-Adresse, die dem Computer mit SQL Server zugewiesen ist, einen entsprechenden Eintrag. SQL Server belauscht standardmäßig alle dem Computer zugewiesenen IP-Adressen.

  6. Führen Sie die folgenden Schritte aus, um den von der Standardinstanz belauschten Port global zu ändern:

    1. Löschen Sie für jede IP-Adresse außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.

    2. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie im Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.

  7. Führen Sie die folgenden Schritte aus, um den von einer benannten Instanz belauschten Port global zu ändern:

    1. Löschen Sie für jede IP, einschließlich IPAll, alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass SQL Server für die IP-Adresse einen dynamischen TCP-Port verwendet. Ein leerer Eintrag für diesen Wert bedeutet, dass SQL Server keinen dynamischen TCP-Port für die IP-Adresse verwendet.

    2. Löschen Sie für jede IP-Adresse außer IPAll alle Werte für TCP-Port.

    3. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie im Feld TCP-Port den Port ein, der von der Instanz von SQL Server belauscht werden soll. Geben Sie beispielsweise 40000 ein.

  8. Klicken Sie auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.

  9. Schließen Sie den SQL Server-Konfigurations-Manager.

  10. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der Computer mit SQL Server den ausgewählten Port belauscht. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:

    Ereignistyp:Information

    Ereignisquelle:MSSQL$MSSQLSERVER

    Ereigniskategorie:(2)

    Ereignis-ID:26022

    Datum:06.03.2008

    Uhrzeit:13:46:11 Uhr

    Benutzer:n/v

    Computer:Computername

    Beschreibung:

    Der Server belauscht [ 'any' <ipv4>50000]

Blockieren der standardmäßigen zum Belauschen verwendeten SQL Server-Ports

Die Windows-Firewall mit erweiterter Sicherheit verwendet eingehende und ausgehende Regeln, um den eingehenden und ausgehenden Netzwerkverkehr zu schützen. Da die Windows-Firewall den gesamten unerwünschten eingehenden Netzwerkverkehr standardmäßig blockiert, müssen Sie die standardmäßigen zum Belauschen verwendeten SQL&nbsp;Server-Ports nicht explizit blockieren. Weitere Informationen finden Sie unter Windows-Firewall mit erweiterter Sicherheit (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x407) und Konfigurieren der Windows-Firewall für den SQL&nbsp;Server-Zugriff (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x407).

Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports

  1. Öffnen Sie in der Systemsteuerung den Bereich System und Sicherheit.

  2. Klicken Sie auf Windows-Firewall und dann auf Erweiterte Einstellungen, um das Dialogfeld Windows-Firewall mit erweiterter Sicherheit zu öffnen.

  3. Klicken Sie im Navigationsbereich auf Eingehende Regeln, um die verfügbaren Optionen im Bereich Aktionen anzuzeigen.

  4. Klicken Sie auf Neue Regel, um den Assistenten für neue eingehende Regel zu öffnen.

  5. Führen Sie mithilfe des Assistenten die nötigen Schritte aus, um Zugriff auf den Port zu gewähren, den Sie unter Konfigurieren einer SQL Server-Instanz zum Belauschen eines Nichtstandardports definiert haben.

Hinweis

Sie können die Internet Protocol-Sicherheit (IPsec) konfigurieren, um die Kommunikation zu und von Ihrem Computer mit SQL Server zu schützen, indem Sie die Windows-Firewall konfigurieren. Dazu wählen Sie im Dialogfeld Windows-Firewall mit erweiterter Sicherheit im Navigationsbereich die Option Verbindungssicherheitsregeln aus.

Konfigurieren eines SQL Server-Alias

Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem Computer mit SQL Server blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL Server-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL Server-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server herstellen.

  1. Führen Sie auf dem Zielcomputer das Setup für SQL Server aus, und wählen Sie die folgenden Clientkomponenten für die Installation aus:

    1. Konnektivitätskomponenten

    2. Verwaltungstools

  2. Öffnen Sie den SQL Server-Konfigurations-Manager.

  3. Klicken Sie im linken Bereich auf SQL Native Client-Konfiguration.

  4. Klicken Sie im rechten Bereich auf Aliase, und wählen Sie Neuer Alias aus.

  5. Geben Sie im Dialogfeld Alias einen Namen für den Alias ein, und geben Sie dann die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise SharePoint-Alias ein.

  6. Geben Sie im Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.

  7. Geben Sie im Feld Server den Namen des Computers mit SQL Server ein.

  8. Klicken Sie auf Anwenden, und klicken Sie dann auf OK.

Testen des SQL Server-Clientalias

Testen Sie mit Microsoft SQL Server Management Studio, das nach dem Installieren von SQL Server-Clientkomponenten verfügbar ist, die Verbindung mit dem Computer, auf dem SQL Server ausgeführt wird.

  1. Öffnen Sie SQL Server Management Studio.

  2. Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.

    Hinweis

    Klicken Sie auf Verbinden und dann auf Datenbankmodul, um die Verbindung mit weiteren Datenbankinstanzen über SQL Server Management Studio zu überprüfen.