Tin tức

Cấu hình bảo mật SQL Server cho các môi trường SharePoint 2013

07/01/2014

Khi cài đặt SQL Server, các thiết đặt ngm định giúp cung cp mt cơ s d liu an toàn. Ngoài ra, bn có th s dng các công cụ SQL Server và Windows Firewall để thêm bo mt SQL Server cho môi trường Server cho SharePoint 2013.

Trước khi bạn bắt đầu

Trước khi bt đầu thự chin xem li các công vic dưới đây v cách bo mt server farm:

  • Chặn UDP cổng 1434.
  • Cấu hình các instance của SQL Server được đặt tên nghe trên một cổng chỉ định (có nghĩa khác với TCP cổng 1433 hoặc UDP cổng 1434).
  • Để thêm bảo mật, chặn cổng TCP cổng 1433 và gán lại cổng được sử dụng bởi instance ngầm định bằng một cổng khác.
  • Cấu hình SQL Server client aliases trên tất cả các máy chủ Web front-end và các máy chủ ứng dụng trong server farm. Sau khi chặn TCP cổng 1433 hoặc UDP cổng 1434, SQL Server client aliases là cần thiết cho tất cả các máy tính kết nối tới máy chủ chạy SQL Server.

       Lưu ý:

Bi vì SharePoint 2013 chy như các website trong IIS, Nhng người qun tr và người dùng ph thuc vào các tính năng có thể truy cp mà các trình duyt cung cp. Để biếtthêm thông tin, xem thêm các tàinguyên dưới đây:

Cấu hình SQL Server để nghe trên cổng chỉ định

SQL Server cho phép gán li cng được s dng bi Instance mc định và các Instance được đặt tên khác. Trong SQL Server 2008 R2, và SQL Server 2012, bn gán li cng TCP s dng SQL Server Configuration Manager. Khi thay đổi cng mc định, cho phép bn to môi trường bo mt hơn t các haker, nhng người nm rõ các cng ngm định và h có thể khai thác môi trường SharePoint ca bn.

Để cấu hình một instance SQLServer nghe trên cổng chỉ định

  1. Kiểm tra tài khoản người dùng thực hiện các thủ tục này có phải là thành viên của server role cố định sysadmin hoặc serveradmin.
  2. Trên máy tính chạy SQL Server, mở SQLServer Configuration Manager.
  3. Trong ngăn điều hướng, mở SQL Server Network Configuration.
  4. Bấm chọn mục tin với tên instance bạn muốn cấu hình.

Instance mc định đượclit kê dng Protocols for MSSQLSERVER. Các Instance được đặt tên s xuthin dưới dng Protocols for named_instance.

  1. Tại cửa sổ chính trong cột Protocol Name, bấm chuột phải vào TCP/IP, và bấm Properties.
  2. Bấm vào tab IP Addresses.

Mi địa ch  IP được gán cho máy tính đang chy SQL Server, có mc tin tương ng trên tab này. Theo mc định ,SQL Server nghe trên tt c các địa ch IP được gán cho máy tính.

  1. Để thay đổi toàn bộ cổng mà instance mặc định đang nghe, thực hiện các bước sau:
  • Mỗi địa chỉ IP loại trừ IPAll, xóa tất cả các giá trị cho cả TCP dynamic ports TCP Port.
  • Đối với IPAll, xóa giá trị cho TCP dynamic ports. Trong trường TCP Port, nhập cổng bạn muốn instance của SQL Serve nghe trên cổng đó. Ví dụ, nhập 40000.
  1. Để thay đổi toàn bộ cổng của instance được đặt tên đang nghe trên đang nghe theo cổng đó, thực hiện các bước sau:
  • Đối với từng địa chỉ IP bao gồm IPAll, xóa tất cả các giá trị  cho TCP dynamic ports. Giá trị 0 cho trường này chỉ ra rằng SQL Server sử dụng một cổng TCP động cho các địa chỉ IP. Để giá trị trống có nghĩa rằng SQL Server sẽ không sử dụng cổng TCP cho các địa chỉ IP.
  • Đối với từng địa chỉ IP ngoại trừ IPAll, Xóa tất cả các giá trị cho TCP Port.
  • Đối với IPAll, xóa giá trị cho TCP dynamic ports. Trong trường TCP Port, Nhập cổng bạn muốn instance của SQL Server nghe trên đó. Ví dụ, nhập 40000.
  1. Bấm OK.

Mt thông báo ch ra rng vic thay đổi s không có hiu lc cho ti khi dch v SQL Server được khi động li. Bm OK.

10.  Đóng SQL Server Configuration Manager.

11.  Khi động li dch v SQL Server và xác nhn rng máy tính chy SQL Server đang nghe trên cng bn đã chn.

Bn có th xácnhn điu này bngcách xem Event Viewer log sau khi khi động li dch v SQL Server. Tìm thôngtin s kin tươngt như s kin dưới đây:

Event Type:Information

Event Source:MSSQL$MSSQLSERVER

Event Category:(2)

Event ID:26022

Date:3/6/2008

Time:1:46:11 PM

User:N/A

Computer:computer_name

Description:

Server is listening on [ 'any' <ipv4>50000]

12.  Kiểm tra: Mt cách tùy chn, kim tra các thc hin để xác nhn các thao tác đã thành công.

Khóa các cổng ngầm định SQL Server

WindowsFirewall vi  Advanced Security s dng Inbound Rules và Outbound Rules giúp bo mt thông tin vào và ra. Bi vì Windows Firewall khóa t c các truyn thông vào theo mc định, bn không phi khóa các cng ngm định SQL Server mt cách tường minh. Để thêm thông tin, xem WindowsFirewall with Advanced Security and Configuring the Windows Firewall to Allow SQL Server Access.

Cấu hình Windows Firewall để mở các cổng được gán thủ công

Để truy cp mt instance SQL Server instance thông qua mt firewall, bn phi cu hình firewall trên máy tính chy SQL Server cho phép truy cp. Các cng bn gán th công phi được mở trong Windows Firewall.

Để cấu hình WindowsFirewall mở các cổng bằng thủ công

  1. Kiểm tra tài khoản người dùng đang thực hiện các thủ tục là một thành viên của sysadmin hoặc serveradmin server role cố định.
  2. Trong ControlPanel, mở System and Security.
  3. Bấm  Windows Firewall, sau đó bấm Advanced Settings để mở hộp thoại Windows Firewall with Advanced Security.
  4. Trên ngăn điều hướng, bấm Inbound Rules để hiển thị các tùy chọn có sắn trong ngăn Actions.
  5. Bấm New Rule để mở New Inbound Rule Wizard.
  6. Sử dụng wizard để hoàn tất các bước được yêu cầu cho phép truy cập tới cổng bạn đã định nghĩa ở trên (Cấu hình một instance SQL Server nghe trên cổng chỉ định )

Lưu ý:

Bn có th cu hình Internet Protocol security (IPsec) để h tr bo mt thông tin cho máy tính chy SQL Server bng cách cu hình Windows firewall. Thực hin điu này bng cách chn Connection Security Rules trong ngăn điu hướng ca Windows Firewall vi hp thoi Advanced Security.

Cấu hình SQL Server client aliases

Nếu khóa cng UDP 1434 hoc TCP 1433 trên máy tínhc hy SQL Server, bn phi to mt SQL Server client alias trên các máy tính khác trong server farm. Bn có th s dng các thành phn SQL Server client để to mt SQL Server client alias cho các máy tính kết ni ti SQL Server.

Để cấu hình một SQL Server client alias

  1. Kiểm tra tài khoản người dùng đang thực hiện các thủ tục là một thành viên của sysadmin hoặc serveradmin server role cố định.
  2. Chạy Setup cho SQL Server trên máy tính đích, và cài các thành phần client sau:
  • Connectivity Components
  • Management Tools
  1. Mở SQL Server Configuration Manager.
  2. Trong ngăn điều hướng, bấm SQL Native Client Configuration.
  3. Trong cửa sổ chính bên dưới các mục, bấm chuột phải lên Aliases, và chọn New Alias.
  4. Trong hộp thoại Alias - New, trong trường Alias Name, nhập tên cho alias. Ví dụ, nhập SharePoint_alias.
  5. Trong trường Port No, nhập số cổng cho instance cơ sở dữ liệu. Ví dụ, nhập 40000. Đảm bảo rằng giao thức được gán là TCP/IP.
  6. Trong trường Server, nhập tên của máy tính đang chạy SQL Server.
  7. Bấm  Apply, và bấm OK.

10.  Kiểm tra: Bạn có th kim th SQL Server client alias bng s dng SQL Server Management Studio, có sn khi bn cài đặt các thành phn SQL Server client.

11.  M SQL Server Management Studio.

12.  Khi được nhc, nhp tên mt máy ch server name, nhp tên ca alias bn đã to, và bm Connect. Nếu vic kết ni thành công, SQL Server Management Studio hin th các đối tượng được phn hi t cơ s d liu xa.

Để kim tra kế ti ti các instance t SQL ServerManagement Studio, bm Connect,sau đó  bm Database Engine.

Quý khách có nhu cầu Đào tạo SharePoint  Hãy liên hệ với chúng tôi để được tư vấn và hỗ trợ thông tin đào tạo một cách tốt nhất!
Email: dungdq@esvn.com.vn
Hotline: 098-953.2900
Công ty ESVN luôn sẵn sàng tư vấn, hỗ trợ và hợp tác về lĩnh vực: Đào tạo sharepoint, triển khai hệ thống SharePoint, Cổng thông tin SharePoint

Công ty Cổ phần Eastern Sun Việt Nam