Gravar eventos de auditoria do SQL Server no log de segurança

Em um ambiente de alta segurança, o log de Segurança do Windows é o local apropriado para gravar eventos que registram o acesso ao objeto. Outros locais de auditoria têm suporte, mas estão mais sujeitos a adulteração.

Há dois requisitos principais para gravar auditorias do SQL Server Server no log de Segurança do Windows:

• A configuração de acesso ao objeto de auditoria deve ser configurada para capturar os eventos. A ferramenta de política de auditoria (auditpol.exe) expõe uma variedade de configurações de sub-políticas na categoria de acesso ao objeto de auditoria . Para permitir que o SQL Server audite o acesso a objetos, defina a configuração gerada pelo aplicativo .

• A conta em que o serviço do SQL Server está em execução deve ter a permissão gerar auditorias de segurança para gravar no log de Segurança do Windows. Por padrão, o SERVIÇO LOCAL e as contas DE SERVIÇO DE REDE têm essa permissão. Essa etapa não será necessária se o SQL Server estiver em execução em uma dessas contas.

A política de auditoria do Windows poderá afetar a auditoria do SQL Server se ela estiver configurada para gravar no log de Segurança do Windows, com o potencial de perder eventos se a política de auditoria estiver configurada incorretamente. Normalmente, o log de Segurança do Windows é definido para substituir os eventos mais antigos. Isso preserva os eventos mais recentes. No entanto, se o log de Segurança do Windows não estiver definido para substituir eventos mais antigos, se o log de segurança estiver cheio, o sistema emitirá o evento 1104 do Windows (o log está cheio). Nesse ponto:

• Nenhum evento de segurança adicional será registrado

• O SQL Server não será capaz de detectar que o sistema não é capaz de registrar os eventos no log de segurança, resultando na possível perda de eventos de auditoria

• Depois que o administrador do sistema corrigir o log de segurança, o comportamento de registro voltará ao normal.

Nesse Tópico

• Antes de começar:

  limitações e restrições

  Segurança

• Para gravar eventos de auditoria do SQL Server no Log de Segurança:

  Definir a configuração de acesso ao objeto de auditoria no Windows usando auditpol

  Definir a configuração de acesso ao objeto de auditoria no Windows usando secpol

  Conceder a permissão gerar auditorias de segurança a uma conta usando secpol

Antes de começar

Limitações e restrições

Os administradores do computador SQL Server devem entender que as configurações locais do log de segurança podem ser substituídas por uma política de domínio. Nesse caso, a política de domínio pode substituir a configuração de subcategoria (auditpol /get /subcategory:"application generated"). Isso pode afetar a capacidade do SQL Server de registrar eventos sem ter nenhuma maneira de detectar que os eventos que o SQL Server está tentando auditar não serão registrados.

Segurança

Permissões

Você deve ser um administrador do Windows para definir essas configurações.

Para definir a configuração de acesso ao objeto de auditoria no Windows usando auditpol

1. Abra um prompt de comando com permissões administrativas.

   1. No menu Iniciar , aponte para Todos os Programas, aponte para Acessórios, clique com o botão direito do mouse no Prompt de Comando e clique em Executar como administrador.

   2. Se a caixa de diálogo Controle de Conta de Usuário for aberta, clique em Continuar.

2. Execute a instrução a seguir para habilitar a auditoria do SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable  
   

3. Feche a janela do prompt de comando.

Para conceder a permissão de gerar auditorias de segurança a uma conta usando o secpol

1. Para qualquer sistema operacional Windows, no menu Iniciar , clique em Executar.

2. Digite secpol.msc e clique em OK. Se a caixa de diálogo Controle de Acesso do Usuário for exibida, clique em Continuar.

3. Na ferramenta Política de Segurança Local, expanda As Configurações de Segurança, expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.

4. No painel de resultados, clique duas vezes em Gerar auditorias de segurança.

5. Na guia Configuração de Segurança Local , clique em Adicionar Usuário ou Grupo.

6. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, digite o nome da conta de usuário, como domain1\user1 e clique em OK, ou clique em Avançado e pesquise a conta.

7. Clique em OK.

8. Feche a ferramenta Política de Segurança.

9. Reinicie o SQL Server para habilitar essa configuração.

Para definir a configuração de acesso ao objeto de auditoria no Windows usando secpol

1. Se o sistema operacional for anterior ao Windows Vista ou ao Windows Server 2008, no menu Iniciar , clique em Executar.

2. Digite secpol.msc e clique em OK. Se a caixa de diálogo Controle de Acesso do Usuário for exibida, clique em Continuar.

3. Na ferramenta Política de Segurança Local, expanda As Configurações de Segurança, expanda Políticas Locais e clique em Política de Auditoria.

4. No painel de resultados, clique duas vezes no acesso ao objeto Audit.

5. Na guia Configuração de Segurança Local , na área Auditar essas tentativas , selecione Êxito e Falha.

6. Clique em OK.

7. Feche a ferramenta Política de Segurança.

Consulte Também

Auditoria do SQL Server (Mecanismo de Banco de Dados)