Accueil > SharePoint 2013, SQL Server > SharePoint 2013 : Améliorer la sécurité de SQL Server

SharePoint 2013 : Améliorer la sécurité de SQL Server


Cet article fait partie d’une série concernant le déploiement de SharePoint 2013 :

Introduction

Nous allons voir dans cet article la manière d’améliorer la sécurité de SQL Server, par le biais des opérations suivantes :

  • La configuration d’un port d’écoute spécifique pour SQL Server (instance par défaut ou nommée),
  • Le blocage des ports standards d’écoute de SQL Server (TCP 1433, UDP 1434) via le firewall Windows,
  • La création d’une « Inbound Rule » sur le firewall Windows,
  • L’utilisation d’un alias SQL.

TCP 1433, UDP 1434 ?

L’instance SQL hébergeant vos bases de données SharePoint peut être de 2 types : « Par défaut » ou « Nommée ».

Si cela ne vous rappelle rien vous retrouvez ce choix pendant l’installation de SQL Server.

1

Lorsqu’une requête arrive au serveur SQL, elle est traitée différemment selon le type d’instance sollicitée.

Instance par défaut :

Le port TCP 1433 est utilisé, et ne change pas (sauf modification effectuée par l’administrateur).

Instance nommée :

Le port d’une instance nommée est par défaut dite dynamique, c’est-à-dire qu’un port disponible lui est affecté à chaque redémarrage de SQL Server.

A l’utilisation, le client envoie un message en UDP sur le port 1434 au serveur SQL, message traité par le service « SQL Server Browser » qui renvoie au client le numéro de port TCP/IP utilisé par l’instance. Le client peut ensuite envoyer sa requête.

Au final, vous passez donc soit en TCP-1433, soit en UDP-1434.

Dans l’attente de l’autorisation de son auteur d’utiliser cette image, je vous invite à aller la consulter.

Alias SQL ?

Les alias SQL se configurent au niveau de vos serveurs frontaux et applicatifs; voyez-les comme un raccourci vers votre serveur SQL – Un peu comme quand vous modifiez votre fichier hosts.

Pour SharePoint, le serveur SQL s’appellera désormais « le nom de votre alias »; évitez les noms tels que « Casimir » ou « JamesBond, car vous retrouvez ce nom dans l’administration centrale, par exemple dans la liste des serveurs …

Etape 1 : Configuration d’un port d’écoute spécifique pour SQL Server

L’idée est de :

  • Modifier le port TCP utilisé par l’instance par défaut (1433),
  • Arrêter d’utiliser des ports dynamiques pour les instances nommées, et leur attribuer des ports fixes.

Ces opérations s’effectuent à l’aide du « Configuration Manager » de SQL Server, en utilisant un compte ayant le rôle sysadmin ou serveradmin.

1. Ouvrez le « Configuration Manager » de SQL Server.

2

2. Déployez la partie « SQL Server Network Configuration », et cliquer sur l’instance à modifier.
J’ai ici 2 instances :

  • Celle par défaut – MSSQLSERVER,
  • Une nommée – SHAREPOINT (La syntaxe est Protocols for « NomInstanceNommée »).

A

Je modifie ici l’instance nommée; cliquez-droit sur « TCP/IP », et sélectionnez « Properties ».

C

3. Cliquez sur l’onglet « IP Addresses ».

Vous trouvez ici une entrée pour chacune des adresses IP de votre serveur, SQL Server écoutant sur chacune de ces adresses.

Modifiez les paramètres comme suit :

  • Pour les entrées IPx, effacez les valeurs des champs « TCP dynamic ports » et « TCP Port »,
  • Pour l’entrée IPAll, effacez la valeur du champ « TCP dynamic ports », et saisissez dans le champ « TCP Port » le nouveau port d’écoute que SQL Server devra utiliser pour cette instance (je choisis ici 22000).

Cliquez sur « OK ».

4

4. Redémarrez le service « SQL Server », vous ne pourrez pas dire qu’on ne vous aura pas prévenu :

5

Cliquez sur « SQL Server Services », puis clic-droit « Restart » sur le service appelé « SQL Server (VotreInstance) »

D

5. Jetez un oeil dans les logs SQL pour vérifier que votre modification a bien été prise en compte.

On voit bien ici que l’instance SQL écoute désormais sur le port précédemment paramétré : 22000.

7

Etape 2 : Blocage des ports standards d’écoute de SQL Server

Il n’y a rien à faire, le firewall de Windows se chargeant de bloquer par défaut toute communication non autorisée via une « Inbound Rule ».

Etape 3 : Création d’une « Inbound Rule » sur le firewall Windows

Partant du principe de l’étape 2 (tout ce qui n’est pas explicitement autorisé est bloqué), il va vous falloir créer une « Inbound Rule » afin d’autoriser les flux sur le port TCP (dans notre cas 22000).

1. Lancez « Windows Firewall with Advanced Security »

8

2. Cliquez-droit sur « Inbound Rules », puis cliquez sur « New rule ».

9

3. L’assistant s’ouvre; cliquez sur « Port ».

10

4. Conservez « TCP » sélectionné, et saisissez le port configuré plus haut (ici 22000)

11

5. Passez les autres étapes du wizard (en choisissant « Allow the connection ») – L' »Inbound Rule » est créée avec le nom de votre choix.

12

Etape 4 : Création et utilisation d’un alias SQL

La procédure de création et d’utilisation d’un alias est décrite dans cet article, consacré à l’installation d’un serveur SharePoint 2013 en mode ferme.

La seule différence ici est qu’il faut désormais décocher la case « Dynamically determine port » et saisir le port configuré (ici 22000).

13

Références

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :