Udostępnij za pośrednictwem

  • Artykuł

Jak Pisanie zdarzenia inspekcji serwera do dziennika zabezpieczeń

W środowisku wysoki poziom zabezpieczeń w dzienniku zabezpieczeń systemu Windows jest odpowiednią lokalizację zapisu program access obiektu rekordu zdarzenia.Inne lokalizacje inspekcji są obsługiwane, ale są z zastrzeżeniem włamania.

Istnieją dwa klucz wymagania dotyczące pisania SQL Server serwera inspekcje w dzienniku zabezpieczeń systemu Windows:

  • Inspekcja dostępu do obiektów, ustawienie musi być skonfigurowany do przechwytywania zdarzeń.Najlepszym sposobem na to zależy od systemu operacyjnego.

    • W Windows Vista i Windows Server 2008, użyj narzędzie Zasady inspekcji (auditpol.exe).Program zasad inspekcji udostępnia różne ustawienia sub-policies w inspekcji dostępu do obiektów kategorii.Aby umożliwić SQL Server Konfigurowanie inspekcji dostępu do obiektów, generowanych przez aplikację ustawienie.

    • We wcześniejszych wersjach systemu Windows narzędzie zasad inspekcji nie jest dostępne.Za pomocą przystawki Zasady zabezpieczeń (secpol.msc) zamiast.Dostępne zasady inspekcji jest preferowana, ponieważ można skonfigurować ustawienia szczegółowo.

  • Konto, SQL Server jest uruchomiona w musi mieć Generowanie inspekcji zabezpieczeń uprawnienia do zapisu w dzienniku zabezpieczeń systemu Windows. Domyślnie usługa lokalna i konta Usługa sieciowa mają to uprawnienie.Ten krok nie jest wymagane, jeśli SQL Server jest uruchomiony jeden z tych kont.

Zasady inspekcji systemu Windows może wpłynąć na SQL Server inspekcji, jeśli jest skonfigurowany do zapisu w dzienniku zabezpieczeń systemu Windows z potencjalnym utraty zdarzenia, jeśli zasady inspekcji jest niepoprawnie skonfigurowany.Dziennik zabezpieczeń systemu Windows jest zwykle zestaw do Zastąp zdarzenia starsze.Zachowuje ostatnich zdarzeń.Jednakże jeśli dziennik zabezpieczeń systemu Windows nie jest zestaw zastąpienie starszych zdarzeń, a następnie, jeśli dziennik zabezpieczeń jest pełny, system wystawia zdarzeń systemu Windows 1104 (dziennik jest pełny).W tym punkcie:

  • Będą rejestrowane żadne zdarzenia zabezpieczeń

  • SQL Server nie będą mogli wykrywać system nie jest możliwe rejestrowanie zdarzeń w dzienniku zabezpieczeń wynikające utratę zdarzeń inspekcji

  • Po polu dziennik zabezpieczeń rozwiązuje administratora zachowanie rejestrowania powróci do normalnego.

Administratorzy SQL Server komputera należy zrozumieć, że lokalne ustawienia dziennika zabezpieczeń mogą zostać zastąpione przez zasady domena.W takim przypadek zasady domena może zastąpić ustawienia podkategorii (auditpol /subcategory/Get: "Wygenerowano aplikację").Może to wpłynąć na SQL Server możliwość rejestrowania zdarzeń bez konieczności jakiejkolwiek wykrywać , zdarzenia, SQL Server jest próba inspekcji nie będą rejestrowane.

Musi być administratorem systemu Windows, aby skonfigurować te ustawienia.

Konfigurowanie inspekcji dostępu do obiektów w systemu Windows przy użyciu auditpol

  1. Jeśli system operacyjny jest Windows Vista lub Windows Server 2008, otwórz wiersz polecenia z uprawnieniami administracyjnymi.

    1. Na Start menu, wskaż Wszystkie programy, wskaż Akcesoria, kliknij prawym przyciskiem myszy wiersza polecenia, a następnie kliknij przycisk Uruchom jako administrator.

    2. Jeśli Kontrola konta użytkownika otwiera okno dialogowe, kliknij przycisk Kontynuuj.

  2. Wykonać następujące instrukcja Aby włączyć inspekcję z SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Zamknij okno wiersz polecenia.

    To ustawienie zacznie obowiązywać natychmiast.

Konfigurowanie inspekcji dostępu do obiektów w systemu Windows przy użyciu secpol

  1. Jeśli system operacyjny jest wcześniejsza niż Windows Vista lub Windows Server 2008, na Start menu, kliknij uruchomić.

  2. Typ secpol.msc , a następnie kliknij przycisk OK.Jeśli Kontrola dostępu użytkownika pojawi się okno dialogowe, kliknij przycisk Kontynuuj.

  3. narzędzie Zasady zabezpieczeń lokalnych rozwiń Ustawienia zabezpieczeń, rozwiń Zasady lokalne, a następnie kliknij przycisk Zasady inspekcji.

  4. W okienku wyniki kliknij dwukrotnie inspekcji dostępu do obiektów.

  5. Na Ustawienia zabezpieczeń lokalnych kartę w inspekcji tych prób obszaru, zaznacz Sukces i awarii.

  6. Kliknij przycisk OK.

  7. Zamknij narzędzie zasady zabezpieczeń.

    To ustawienie zacznie obowiązywać natychmiast.

Przyznanie Generowanie inspekcji zabezpieczeń uprawnień do konta przy użyciu secpol

  1. Dla wszystkich okien systemu operacyjnego na Start menu, kliknij uruchomić.

  2. Typ secpol.msc , a następnie kliknij przycisk OK.Jeśli Kontrola dostępu użytkownika pojawi się okno dialogowe, kliknij przycisk Kontynuuj.

  3. narzędzie Zasady zabezpieczeń lokalnych rozwiń Ustawienia zabezpieczeń, rozwiń Zasady lokalne, a następnie kliknij przycisk Przypisywanie praw użytkownika.

  4. W okienku wyniki kliknij dwukrotnie Generowanie inspekcji zabezpieczeń.

  5. Na Ustawienia zabezpieczeń lokalnych , kliknij pozycję Dodaj użytkownika lub grupę.

  6. W Wybieranie użytkowników, komputerów lub grup okno dialogowe albo wpisz nazwę konta użytkownika, takich jak Domena1\użytkownik1, a następnie kliknij przycisk OK, lub kliknij przycisk Zaawansowane i wyszukiwania dla konta.

  7. Kliknij przycisk OK.

  8. Zamknij narzędzie zasady zabezpieczeń.

    To ustawienie ma wpływ podczas SQL Server jest ponownie uruchamiany.