Écrire des événements d’audit SQL Server dans le journal de sécurité
S’applique à :SQL Server - Windows uniquement
Dans un environnement extrêmement sécurisé, le journal de sécurité Windows est l'emplacement approprié pour consigner des événements d'accès aux objets. D'autres emplacements d'audit sont pris en charge mais ils sont plus exposés au risque de falsification.
Il existe trois exigences clés pour écrire des audits de serveur SQL Server dans le journal de sécurité Windows :
Le paramètre Auditer l'accès aux objets doit être configuré pour capturer les événements. L’outil de stratégie d’audit (
auditpol.exe
) expose différents paramètres de sous-stratégie dans la catégorie d’accès aux objets d’audit. Pour permettre à SQL Server d’auditer l’accès aux objets, configurez le paramètre généré par l’application.Le compte sous lequel le service SQL Server s’exécute doit disposer de l’autorisation générer des audits de sécurité pour écrire dans le journal de sécurité Windows. Par défaut, les comptes Service local et Service réseau disposent de cette autorisation. Cette étape n’est pas nécessaire si SQL Server s’exécute sous l’un de ces comptes.
Fournissez l’autorisation complète pour le compte de service SQL Server sur la ruche
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
du Registre.Important
Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant d'apporter des modifications au Registre, nous vous recommandons de sauvegarder les données importantes qui se trouvent sur l'ordinateur.
Limitations et restrictions
Les paramètres locaux du journal de sécurité peuvent être remplacés par une stratégie de domaine. Dans ce cas, la stratégie de domaine peut remplacer le paramètre de sous-catégorie (
auditpol /get /subcategory:"application generated"
). SQL Server n’a aucun moyen de détecter que les événements qu’il essaie d’audit ne seront pas enregistrés.Les événements peuvent être perdus si la stratégie d’audit est configurée de manière incorrecte. La stratégie d’audit Windows peut affecter l’audit SQL Server s’il est configuré pour écrire dans le journal de sécurité Windows. En général, le journal de sécurité Windows est configuré pour remplacer les événements les plus anciens. Les événements les plus récents sont ainsi préservés. Toutefois, si le journal de sécurité Windows n’est pas défini pour remplacer les événements plus anciens, si le journal de sécurité est plein, le système émet l’événement Windows 1104 (le journal est complet). À ce stade :
Aucun autre événement de sécurité n’est enregistré
SQL Server ne peut pas détecter que le système n’est pas en mesure d’enregistrer les événements dans le journal de sécurité, ce qui entraîne une perte potentielle d’événements d’audit
Une fois le journal de sécurité reconfiguré par l'administrateur, le comportement de consignation retourne à la normale.
Les enregistrements d’audit SQL Server contiennent beaucoup plus de données que les entrées régulières du journal des événements Windows. En outre, selon la configuration de la spécification d’audit, SQL Server peut générer plusieurs milliers d’enregistrements d’audit sur une courte période (milliers par seconde). Dans les périodes de charge élevée, cela peut entraîner des conditions défavorables si les enregistrements d’audit sont écrits dans le journal des applications ou dans le journal de sécurité.
Ces conditions défavorables peuvent inclure :
Vélo rapide du journal des événements (les événements sont remplacés très rapidement lorsque le fichier journal atteint sa limite de taille)
D’autres applications ou services lus dans le journal des événements Windows peuvent être affectés négativement
Le journal des événements ciblés peut être inutilisable par les administrateurs en raison d’événements remplacés si rapidement
Étapes que les administrateurs peuvent prendre pour atténuer ces conditions défavorables :
Augmentez la taille du journal cible (4 Go n’est pas déraisonnable lorsque la spécification d’audit est très détaillée).
Réduisez le nombre d’événements audités.
Affichez les enregistrements d’audit dans un fichier au lieu des journaux d’événements.
Autorisations
Vous devez être un administrateur Windows pour configurer ces paramètres.
Configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide de auditpol
Ouvrez une invite de commandes avec des autorisations d'administrateur.
Dans le menu Démarrer , accédez à l’invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, sélectionnez Continuer.
Exécutez l’instruction suivante pour activer l’audit à partir de SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enable
Fermez la fenêtre d'invite de commandes.
Accordez l’autorisation générer des audits de sécurité à un compte à l’aide de secpol
Pour tout système d’exploitation Windows, dans le menu Démarrer , sélectionnez Exécuter.
Tapez
secpol.msc
, puis sélectionnez OK. Si la boîte de dialogue Contrôle d’accès utilisateur s’affiche, sélectionnez Continuer.Dans l’outil Stratégie de sécurité locale, accédez à l’affectation des droits utilisateur des paramètres > de sécurité locaux>.
Dans le volet de résultats, ouvrez Générer des audits de sécurité.
Sous l’onglet Paramètre de sécurité local, sélectionnez Ajouter un utilisateur ou un groupe.
Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs ou groupes , tapez le nom du compte d’utilisateur, tel que domaine1\utilisateur1 , puis sélectionnez OK, ou sélectionnez Avancé et recherchez le compte.
Cliquez sur OK.
Fermez l'outil Stratégie de sécurité locale.
Redémarrez SQL Server pour activer ce paramètre.
Configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide de secpol
Si le système d’exploitation est antérieur à Windows Vista ou Windows Server 2008, dans le menu Démarrer , sélectionnez Exécuter.
Tapez
secpol.msc
, puis sélectionnez OK. Si la boîte de dialogue Contrôle d’accès utilisateur s’affiche, sélectionnez Continuer.Dans l’outil Stratégie de sécurité locale, accédez à la stratégie d’audit des stratégies > locales des paramètres > de sécurité.
Dans le volet de résultats, ouvrez l’accès à l’objet Audit.
Sous l'onglet Paramètre de sécurité locale , dans la zone Auditer les tentatives des types suivants , sélectionnez Succès et Échec.
Cliquez sur OK.
Fermez l'outil Stratégie de sécurité locale.
Voir aussi
Commentaires
https://aka.ms/ContentUserFeedback.
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir:Soumettre et afficher des commentaires pour