Écrire des événements d'audit SQL Server dans le journal de sécurité

Dans un environnement extrêmement sécurisé, le journal de sécurité Windows est l'emplacement approprié pour consigner des événements d'accès aux objets. D'autres emplacements d'audit sont pris en charge mais ils sont plus exposés au risque de falsification.

Il existe deux conditions clés pour écrire des audits de serveur SQL Server dans le journal Sécurité Windows :

• Le paramètre Auditer l'accès aux objets doit être configuré pour capturer les événements. L’outil de stratégie d’audit (auditpol.exe) expose différents paramètres de sous-stratégies dans la catégorie Auditer l’accès aux objets . Pour permettre à SQL Server d’auditer l’accès aux objets, configurez le paramètre généré par l’application.

• Le compte sous lequel le service SQL Server s’exécute doit disposer de l’autorisation générer des audits de sécurité pour écrire dans le journal Sécurité Windows. Par défaut, les comptes Service local et Service réseau disposent de cette autorisation. Cette étape n’est pas obligatoire si SQL Server s’exécute sous l’un de ces comptes.

La stratégie d’audit Windows peut affecter SQL Server’audit si elle est configurée pour écrire dans le journal Sécurité Windows, avec le risque de perdre des événements si la stratégie d’audit n’est pas configurée de manière incorrecte. En général, le journal de sécurité Windows est configuré pour remplacer les événements les plus anciens. Les événements les plus récents sont ainsi préservés. Toutefois, si le journal de sécurité Windows n'est pas configuré pour remplacer les événements les plus anciens, et si le journal de sécurité est plein, le système publie alors l'événement Windows 1104 (le journal est plein). À ce stade :

• Plus aucun événement de sécurité supplémentaire n'est consigné

• SQL Server ne seront pas en mesure de détecter que le système n’est pas en mesure d’enregistrer les événements dans le journal de sécurité, ce qui entraîne la perte potentielle des événements d’audit

• Une fois le journal de sécurité reconfiguré par l'administrateur, le comportement de consignation retourne à la normale.

Dans cette rubrique

• Avant de commencer :

  Limitations et restrictions

  Sécurité

• Pour écrire des événements d'audit SQL Server dans le journal de sécurité :

  Configurer le paramètre Auditer l'accès aux objets dans Windows à l'aide de l'outil auditpol

  Configurer le paramètre Auditer l'accès aux objets dans Windows à l'aide de l'outil secpol

  Octroyer l'autorisation Générer des audits de sécurité à un compte à l'aide de l'outil secpol

Avant de commencer

Limitations et restrictions

Les administrateurs de l’ordinateur SQL Server doivent comprendre que les paramètres locaux du journal de sécurité peuvent être remplacés par une stratégie de domaine. Dans ce cas, la stratégie de domaine peut remplacer le paramètre de sous-catégorie (auditpol /get /subcategory:"généré par application" ). Cela peut affecter SQL Server capacité à journaliser les événements sans avoir aucun moyen de détecter que les événements que SQL Server tente d’auditer ne seront pas enregistrés.

Sécurité

Autorisations

Vous devez être un administrateur Windows pour configurer ces paramètres.

Pour configurer le paramètre Auditer l'accès aux objets dans Windows à l'aide de l'outil auditpol

1. Ouvrez une invite de commandes avec des autorisations d'administrateur.

   1. Dans le menu Démarrer , pointez sur Tous les programmes, sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

   2. Si la boîte de dialogue Contrôle de compte d'utilisateur s'ouvre, cliquez sur Continuer.

2. Exécutez l’instruction suivante pour activer l’audit à partir de SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
   

3. Fermez la fenêtre d'invite de commandes.

Pour octroyer l'autorisation Générer des audits de sécurité à un compte à l'aide de l'outil secpol

1. Sur un système d'exploitation Windows, dans le menu Démarrer , cliquez sur Exécuter.

2. Tapez secpol.msc , puis cliquez sur OK. Si la boîte de dialogue Contrôle d'accès d'utilisateur s'affiche, cliquez sur Continuer.

3. Dans l'outil Stratégie de sécurité locale, développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

4. Dans le volet de résultats, double-cliquez sur Générer des audits de sécurité.

5. Sous l'onglet Paramètre de sécurité locale , cliquez sur Ajouter un utilisateur ou un groupe.

6. Dans la boîte de dialogue Sélectionnez les utilisateurs, les ordinateurs ou les groupes , tapez le nom du compte d’utilisateur, tel que domaine1\utilisateur1 , puis cliquez sur OK, ou cliquez sur Avancé et recherchez le compte.

7. Cliquez sur OK.

8. Fermez l'outil Stratégie de sécurité locale.

9. Redémarrez SQL Server pour activer ce paramètre.

Pour configurer le paramètre Auditer l'accès aux objets dans Windows à l'aide de l'outil secpol

1. Si le système d’exploitation est antérieur à Windows Vista ou Windows Server 2008, dans le menu Démarrer , cliquez sur Exécuter.

2. Tapez secpol.msc , puis cliquez sur OK. Si la boîte de dialogue Contrôle d'accès d'utilisateur s'affiche, cliquez sur Continuer.

3. Dans l'outil Stratégie de sécurité locale, développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Stratégie d'audit.

4. Dans le volet de résultats, double-cliquez sur Auditer l’accès aux objets.

5. Sous l'onglet Paramètre de sécurité locale , dans la zone Auditer les tentatives des types suivants , sélectionnez Succès et Échec.

6. Cliquez sur OK.

7. Fermez l'outil Stratégie de sécurité locale.

Voir aussi

SQL Server Audit (moteur de base de données)