Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In einer Hochsicherheitsumgebung ist das Windows-Sicherheitsprotokoll der geeignete Speicherort zum Schreiben von Ereignissen, die den Objektzugriff aufzeichnen. Andere Prüfungsorte werden unterstützt, sind jedoch anfälliger für Manipulationen.
Es gibt zwei wichtige Anforderungen zum Schreiben von SQL Server-Serverüberwachungen in das Windows-Sicherheitsprotokoll:
Die Zugriffseinstellung des Überwachungsobjekts muss so konfiguriert werden, dass die Ereignisse erfasst werden. Das Überwachungsrichtlinientool (
auditpol.exe) macht eine Vielzahl von Unterrichtlinieneinstellungen in der Überwachungsobjektzugriffskategorie verfügbar. Damit SQL Server den Objektzugriff überwachen kann, konfigurieren Sie die von der Anwendung generierte Einstellung.Das Konto, unter dem der SQL Server-Dienst ausgeführt wird, muss über die Berechtigung zum Generieren von Sicherheitsüberwachungen verfügen, um in das Windows-Sicherheitsprotokoll zu schreiben. Standardmäßig verfügen der LOKALE DIENST und die NETWORK SERVICE-Konten über diese Berechtigung. Dieser Schritt ist nicht erforderlich, wenn SQL Server unter einem dieser Konten ausgeführt wird.
Die Windows-Überwachungsrichtlinie kann sich auf die SQL Server-Überwachung auswirken, wenn sie für das Schreiben in das Windows-Sicherheitsprotokoll konfiguriert ist, wobei das Risiko von Verlustereignissen besteht, wenn die Überwachungsrichtlinie falsch konfiguriert ist. In der Regel ist das Windows-Sicherheitsprotokoll so festgelegt, dass die älteren Ereignisse überschrieben werden. Dadurch bleiben die neuesten Ereignisse erhalten. Wenn das Windows-Sicherheitsprotokoll jedoch nicht so eingestellt ist, dass ältere Ereignisse überschrieben werden, wird das System windows-Ereignis 1104 ausstellen (Protokoll ist voll). Zu diesem Zeitpunkt:
Es werden keine weiteren Sicherheitsereignisse aufgezeichnet.
SQL Server kann nicht erkennen, dass das System die Ereignisse im Sicherheitsprotokoll nicht aufzeichnen kann, was zu einem potenziellen Verlust von Überwachungsereignissen führt.
Nachdem der Boxadministrator das Sicherheitsprotokoll behebt, wird der Protokollierungsprozess wieder normal.
In diesem Themenbereich
Bevor Sie beginnen:
So schreiben Sie SQL Server-Überwachungsereignisse in das Sicherheitsprotokoll:
Konfigurieren der Überwachungsobjektzugriffseinstellung in Windows mithilfe von auditpol
Konfigurieren der Überwachungsobjektzugriffseinstellung in Windows mithilfe von secpol
Erteilen Sie einem Konto die Berechtigung zum Erstellen von Sicherheitsprüfungen mithilfe von secpol
Bevor Sie beginnen
Einschränkungen und Beschränkungen
Administratoren des SQL Server-Computers sollten verstehen, dass lokale Einstellungen für das Sicherheitsprotokoll von einer Domänenrichtlinie überschrieben werden können. In diesem Fall kann die Domänenrichtlinie die Unterkategorieeinstellung überschreiben (auditpol /get /subcategory:"application generated"). Dies kann sich auf die Fähigkeit von SQL Server auswirken, Ereignisse zu protokollieren, ohne eine Möglichkeit, zu erkennen, dass die Ereignisse, die SQL Server zu überprüfen versucht, nicht aufgezeichnet werden.
Sicherheit
Erlaubnisse
Sie müssen ein Windows-Administrator sein, um diese Einstellungen zu konfigurieren.
So konfigurieren Sie die Überwachungsobjektzugriffseinstellung in Windows mithilfe von auditpol
Öffnen Sie eine Eingabeaufforderung mit Administratorberechtigungen.
Zeigen Sie im Startmenü auf "Alle Programme", zeigen Sie auf " Zubehör", klicken Sie mit der rechten Maustaste auf "Eingabeaufforderung", und klicken Sie dann auf "Als Administrator ausführen".
Wenn das Dialogfeld "Benutzerkontensteuerung " geöffnet wird, klicken Sie auf "Weiter".
Führen Sie die folgende Anweisung aus, um die Überwachung über SQL Server zu aktivieren.
auditpol /set /subcategory:"application generated" /success:enable /failure:enableSchließen Sie das Eingabeaufforderungsfenster.
So erteilen Sie der generierenden Sicherheitsüberwachungsberechtigung für ein Konto mithilfe von secpol
Klicken Sie für ein beliebiges Windows-Betriebssystem im Startmenü auf "Ausführen".
Geben Sie "secpol.msc " ein, und klicken Sie dann auf "OK". Wenn das Dialogfeld "Benutzerzugriffssteuerung " angezeigt wird, klicken Sie auf "Weiter".
Erweitern Sie im Tool für lokale Sicherheitsrichtlinien die Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und klicken Sie dann auf Benutzerrechtezuweisung.
Doppelklicken Sie im Ergebnisbereich auf "Sicherheitsüberwachung generieren".
Klicken Sie auf der Registerkarte " Lokale Sicherheitseinstellung " auf "Benutzer oder Gruppe hinzufügen".
Geben Sie im Dialogfeld "Benutzer, Computer oder Gruppen auswählen " entweder den Namen des Benutzerkontos ein, z. B. "Domäne1\Benutzer1" , und klicken Sie dann auf "OK", oder klicken Sie auf " Erweitert ", und suchen Sie nach dem Konto.
Klicke auf OK.
Schließen Sie das Sicherheitsrichtlinientool.
Starten Sie SQL Server neu, um diese Einstellung zu aktivieren.
So konfigurieren Sie die Überwachungsobjektzugriffseinstellung in Windows mithilfe von secpol
Wenn das Betriebssystem vor Windows Vista oder Windows Server 2008 liegt, klicken Sie im Startmenü auf "Ausführen".
Geben Sie "secpol.msc " ein, und klicken Sie dann auf "OK". Wenn das Dialogfeld "Benutzerzugriffssteuerung " angezeigt wird, klicken Sie auf "Weiter".
Erweitern Sie im Tool "Lokale Sicherheitsrichtlinie " die Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und klicken Sie dann auf "Überwachungsrichtlinie".
Doppelklicken Sie im Ergebnisbereich auf Überwachen des Objektzugriffs.
Wählen Sie auf der Registerkarte "Lokale Sicherheitseinstellung " im Bereich "Diese Versuche überwachen " sowohl "Erfolg" als auch "Fehler" aus.
Klicke auf OK.
Schließen Sie das Sicherheitsrichtlinientool.