Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In un ambiente con sicurezza elevata il registro di sicurezza di Windows rappresenta la posizione appropriata per la scrittura di eventi che registrano l'accesso agli oggetti. Sono supportate altre sedi di audit, ma sono più soggette alla manomissione.
Esistono due requisiti chiave per la scrittura di controlli di SQL Server nel log di sicurezza di Windows:
È necessario configurare l'impostazione di controllo dell'accesso agli oggetti per l'acquisizione degli eventi. Lo strumento criteri di controllo (
auditpol.exe) espone un'ampia gamma di impostazioni di sotto-criteri nella categoria di accesso agli oggetti di controllo . Per consentire il controllo dell'accesso agli oggetti in SQL Server, configura l'impostazione generata dall'applicazione.L'account in cui viene eseguito il servizio SQL Server deve disporre dell'autorizzazione generazione controlli di sicurezza per scrivere nel registro di sicurezza di Windows. Per impostazione predefinita, gli account LOCAL SERVICE e NETWORK SERVICE dispongono di questa autorizzazione. Questo passaggio non è obbligatorio se SQL Server è in esecuzione con uno di questi account.
I criteri di controllo di Windows possono influire sul controllo di SQL Server se è configurato per scrivere nel log di sicurezza di Windows, con il rischio di perdere eventi se i criteri di controllo non sono configurati correttamente. In genere il registro di sicurezza di Windows è impostato in modo che gli eventi meno recenti vengano sovrascritti Questo preserva gli eventi più recenti. Tuttavia, se il registro di sicurezza di Windows non è impostato per sovrascrivere gli eventi meno recenti, se il log di sicurezza è pieno, il sistema eseguirà l'evento di Windows 1104 (Log è pieno). A questo punto:
Non verranno registrati altri eventi di sicurezza
SQL Server non sarà in grado di rilevare che il sistema non è in grado di registrare gli eventi nel log di sicurezza, causando la potenziale perdita di eventi di controllo
Dopo che l'amministratore ha apportato correzioni al registro di sicurezza, il comportamento relativo alla registrazione tornerà normale.
Contenuto dell'articolo
Prima di iniziare:
Per scrivere eventi di controllo di SQL Server nel log di sicurezza:
Configurare l'impostazione di controllo dell'accesso agli oggetti in Windows tramite auditpol
Configurare l'impostazione di controllo dell'accesso agli oggetti in Windows usando secpol
Concedere l'autorizzazione di generazione dei controlli di sicurezza a un account usando secpol
Prima di iniziare
Limitazioni e restrizioni
Gli amministratori del computer SQL Server devono comprendere che le impostazioni locali per il log di sicurezza possono essere sovrascritte da un criterio di dominio. In questo caso, i criteri di dominio potrebbero sovrascrivere l'impostazione della sottocategoria (auditpol /get /subcategory:"application generated"). Ciò può influire sulla capacità di SQL Server di registrare gli eventi senza dover rilevare che gli eventi che SQL Server sta tentando di controllare non verranno registrati.
Sicurezza
Autorizzazioni
È necessario essere amministratore di Windows per configurare queste impostazioni.
Per configurare l'impostazione di controllo dell'accesso agli oggetti in Windows tramite auditpol
Aprire un prompt dei comandi con autorizzazioni amministrative.
Scegliere Tutti i programmi dal menu Start, accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.
Se viene visualizzata la finestra di dialogo Controllo account utente , fare clic su Continua.
Esegui l'istruzione seguente per abilitare il controllo da SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enableChiudere la finestra del prompt dei comandi.
Per concedere l'autorizzazione per generare audit di sicurezza a un account utilizzando secpol
Per qualsiasi sistema operativo Windows, scegliere Esegui dal menu Start.
Digitare secpol.msc e quindi fare clic su OK. Se viene visualizzata la finestra di dialogo Controllo accesso utente , fare clic su Continua.
Nello strumento Criteri di sicurezza locali espandere Impostazioni di sicurezza, espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
Nel riquadro dei risultati fare doppio clic su Genera controlli di sicurezza.
Nella scheda Impostazioni di sicurezza locali fare clic su Aggiungi utente o gruppo.
Nella finestra di dialogo Seleziona utenti, computer o gruppi digitare il nome dell'account utente, ad esempio domain1\user1 , quindi fare clic su OK oppure fare clic su Avanzate e cercare l'account.
Fare clic su OK.
Chiudere lo strumento Criteri di sicurezza.
Riavvia SQL Server per abilitare questa impostazione.
Per configurare l'impostazione di controllo dell'accesso agli oggetti in Windows tramite secpol
Se il sistema operativo è precedente a Windows Vista o Windows Server 2008, scegliere Esegui dal menu Start.
Digitare secpol.msc e quindi fare clic su OK. Se viene visualizzata la finestra di dialogo Controllo accesso utente , fare clic su Continua.
Nello strumento Criteri di sicurezza locali espandere Impostazioni di sicurezza, espandere Criteri locali e quindi fare clic su Criteri di controllo.
Nel riquadro dei risultati fare doppio clic su Controlla accesso agli oggetti.
Nella scheda Impostazioni di sicurezza locali , nell'area Controlla i seguenti tentativi selezionare sia Esito positivo sia Esito negativo.
Fare clic su OK.
Chiudere lo strumento Criteri di sicurezza.