Scrittura di eventi di controllo di SQL Server nel registro di sicurezza

In un ambiente con sicurezza elevata il registro di sicurezza di Windows rappresenta la posizione appropriata per la scrittura di eventi che registrano l'accesso agli oggetti. Sono supportati altre posizioni di controllo che tuttavia sono più soggette alla manomissione.

Esistono due requisiti chiave per la scrittura di controlli server SQL Server nel log di Sicurezza di Windows:

• È necessario configurare l'impostazione di controllo dell'accesso agli oggetti per l'acquisizione degli eventi. Lo strumento dei criteri di controllo (auditpol.exe) espone varie impostazioni di criteri secondari nella categoria controllo dell'accesso agli oggetti . Per consentire SQL Server di controllare l'accesso agli oggetti, configurare l'impostazione generata dall'applicazione.

• L'account in cui è in esecuzione il servizio SQL Server deve avere l'autorizzazione genera controlli di sicurezza per scrivere nel log di Sicurezza di Windows. Per impostazione predefinita, gli account LOCAL SERVICE e NETWORK SERVICE dispongono di questa autorizzazione. Questo passaggio non è obbligatorio se SQL Server è in esecuzione in uno di questi account.

I criteri di controllo di Windows possono influire sul controllo SQL Server se è configurato per scrivere nel log Sicurezza di Windows, con il potenziale di perdita di eventi se il criterio di controllo è configurato correttamente. In genere il registro di sicurezza di Windows è impostato in modo che gli eventi meno recenti vengano sovrascritti e vengano mantenuti quelli più recenti. Tuttavia, se il registro di sicurezza di Windows è impostato in modo diverso e il registro di sicurezza è pieno, verrà generato l'evento di Windows 1104 che indica che il registro è pieno. A questo punto si verificano le situazioni seguenti:

• Non verranno registrati ulteriori eventi di sicurezza

• SQL Server non sarà in grado di rilevare che il sistema non è in grado di registrare gli eventi nel log di sicurezza, causando la potenziale perdita di eventi di controllo

• Dopo che l'amministratore ha apportato correzioni al registro di sicurezza, il comportamento relativo alla registrazione tornerà normale.

Contenuto dell'articolo

• Prima di iniziare:

  Limitazioni e restrizioni

  Sicurezza

• Per registrare eventi di controllo di SQL Server nel registro di sicurezza:

  Configurare l'impostazione di controllo dell'accesso agli oggetti in Windows mediante auditpol

  Configurare l'impostazione di controllo dell'accesso agli oggetti in Windows mediante secpol

  Concedere l'autorizzazione di generazione dei controlli di sicurezza a un account mediante secpol

Prima di iniziare

Limitazioni e restrizioni

Gli amministratori del computer SQL Server devono comprendere che le impostazioni locali per il log di sicurezza possono essere sovrascritte da un criterio di dominio. In questo caso i criteri del dominio potrebbero sovrascrivere l'impostazione della sottocategoria (auditpol/get/subcategory:"application generated" ). Ciò può influire sulla possibilità di registrare gli eventi SQL Server senza dover rilevare che gli eventi che SQL Server tentano di controllare non verranno registrati.

Sicurezza

Autorizzazioni

È necessario essere amministratore di Windows per configurare queste impostazioni.

Per configurare l'impostazione di controllo dell'accesso agli oggetti in Windows mediante auditpol

1. Aprire un prompt dei comandi con autorizzazioni amministrative.

   1. Nel menu Start scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi, quindi fare clic su Esegui come amministratore.

   2. Se viene visualizzata la finestra di dialogo Controllo account utente , fare clic su Continua.

2. Eseguire l'istruzione seguente per abilitare il controllo da SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
   

3. Chiudere la finestra del prompt dei comandi.

Per concedere l'autorizzazione di generazione dei controlli di sicurezza a un account mediante secpol

1. Per qualsiasi sistema operativo Windows, scegliere Esegui dal menu Start.

2. Digitare secpol.msc , quindi fare clic su OK. Se viene visualizzata la finestra di dialogo Controllo account utente , fare clic su Continua.

3. Nello strumento Criteri di sicurezza locale espandere Impostazioni di sicurezza, Criteri locali, quindi fare clic su Assegnazione diritti utente.

4. Nel riquadro dei risultati fare doppio clic su Generazione di controlli di sicurezza.

5. Nella scheda Impostazioni di sicurezza locali fare clic su Aggiungi utente o gruppo.

6. Nella finestra di dialogo Seleziona utenti, computer o gruppi digitare il nome dell'account utente, ad esempio dominio1\utente1 , quindi fare clic su OKoppure su Avanzate e cercare l'account.

7. Fare clic su OK.

8. Chiudere lo strumento Criteri di sicurezza.

9. Riavviare SQL Server per abilitare questa impostazione.

Per configurare l'impostazione di controllo dell'accesso agli oggetti in Windows mediante secpol

1. Se il sistema operativo è precedente a Windows Vista o Windows Server 2008, nel menu Start fare clic su Esegui.

2. Digitare secpol.msc , quindi fare clic su OK. Se viene visualizzata la finestra di dialogo Controllo account utente , fare clic su Continua.

3. Nello strumento Criteri di sicurezza locale espandere Impostazioni di sicurezza, Criteri locali, quindi fare clic su Criteri di controllo.

4. Nel riquadro dei risultati fare doppio clic su Controlla accesso agli oggetti.

5. Nella scheda Impostazioni di sicurezza locali , nell'area Controlla i seguenti tentativi selezionare sia Esito positivo sia Esito negativo.

6. Fare clic su OK.

7. Chiudere lo strumento Criteri di sicurezza.

Vedere anche

SQL Server Audit (Database Engine)