Gravar eventos de auditoria do SQL Server no log de segurança
em um ambiente de alta segurança, o log de Segurança do Windows é o local apropriado para gravar eventos que registram o acesso a objetos. Outros locais de auditoria têm suporte, mas estão mais sujeitos a falsificações.
Há dois requisitos principais para gravar auditorias do servidor SQL Server no log de Segurança do Windows:
É necessário configurar o acesso ao objeto de auditoria para capturar os eventos. O melhor modo de fazer isso varia, de acordo com o seu sistema operacional.
No Windows Vista e no Windows Server 2008, use a ferramenta de política de auditoria (auditpol.exe). O programa de política de auditoria expõe uma variedade de configurações de subpolíticas na categoria auditar acesso ao objeto. Para permitir que o SQL Server audite o acesso a objetos, defina a configuração de aplicativo gerado.
Para as versões anteriores do Windows, a ferramenta de política de auditoria não está disponível. Use o snap-in de política de segurança (secpol.msc). Quando disponível, a política de auditoria é preferencial porque você pode definir configurações mais detalhadas.
A conta que o serviço SQL Server está executando deve ter a permissão gerar auditorias de segurança para gravar no log de Segurança do Windows. Por padrão, as contas LOCAL SERVICE e NETWORK SERVICE têm esta permissão. Esta etapa não será necessária se o SQL Server estiver sendo executado em uma dessas contas.
A política de auditoria do Windows poderá afetar a auditoria do SQL Server se estiver configurada para gravar no log de segurança do Windows, com a possibilidade de se perder eventos se a política de auditoria não estiver configurada corretamente. Normalmente, o log de segurança do Windows é definido para substituir os eventos mais antigos. Isso preserva os eventos mais recentes. No entanto, se o log de segurança do Windows não estiver definido para substituir eventos mais antigos, quando ele estiver cheio, o sistema emitirá o evento 1104 do Windows (O log está cheio). Nesse momento:
Nenhum outro evento de segurança será registrado
O SQL Server não conseguirá detectar que o sistema não pode registrar os eventos no log de segurança, o que resultará na possível perda de eventos de auditoria
Depois que o administrador do computador corrigir o log de segurança, o comportamento de log voltará ao normal.
Neste tópico
Antes de começar:
Limitações e restrições
Segurança
Para gravar eventos de auditoria do SQL Server no log de segurança:
Definir a configuração de acesso ao objeto de auditoria no Windows usando auditpol
Definir a configuração de acesso ao objeto de auditoria no Windows usando secpol
Conceder a permissão gerar auditorias de segurança a uma conta usando secpol
Antes de começar
Limitações e restrições
Os administradores do computador com o SQL Server devem entender que as configurações locais do log de segurança podem ser substituídas por uma política de domínio. Neste caso, a política de domínio pode substituir a configuração de subcategoria (auditpol /get /subcategory:"application generated"). Isso pode afetar a capacidade do SQL Server de registrar eventos em log, sem que haja uma maneira de detectar que os eventos que o SQL Server está tentando auditar não serão registrados.
Segurança
Permissões
Você deve ser um administrador do Windows para definir essas configurações.
[Top]
Para definir a configuração de acesso ao objeto de auditoria no Windows usando auditpol
Se o sistema operacional for Windows Vista ou Windows Server 2008, abra um prompt de comando com permissões administrativas.
No menu Iniciar , aponte para Todos os Programas, para Acessórios, clique com o botão direito do mouse no Prompt de Comando e clique em Executar como administrador.
Se a caixa de diálogo Controle de Conta de Usuário for aberta, clique em Continuar.
Execute a instrução a seguir para habilitar a auditoria de SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enable
Feche a janela do prompt de comando.
[Top]
Para conceder a permissão gerar auditorias de segurança a uma conta usando secpol
Para qualquer sistema operacional Windows, no menu Iniciar, clique em Executar.
Digite secpol.msc e clique em OK. Se a caixa de diálogo Controle de Acesso de Usuário aparecer, clique em Continuar.
Na ferramenta Política de Segurança Local, expanda Configurações de Segurança, Políticas Locais e clique em Atribuição de Direitos de Usuário.
No painel de resultados, clique duas vezes em Gerar auditoria de segurança.
Na guia Configuração de Segurança Local, clique em Adicionar Usuário ou Grupo.
Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, digite o nome da conta de usuário, como domain1\user1 e clique em OK ou em Avançado e procure a conta.
Clique em OK.
Feche a ferramenta Política de Segurança.
Reinicie SQL Server para habilitar essa configuração.
Para definir a configuração de acesso ao objeto de auditoria no Windows usando secpol
Se o sistema operacional for anterior ao Windows Vista ou Windows Server 2008, no menu Iniciar, clique em Executar.
Digite secpol.msc e clique em OK. Se a caixa de diálogo Controle de Acesso de Usuário aparecer, clique em Continuar.
Na ferramenta Política de Segurança Local, expanda Configurações de segurança, Políticas Locais e clique em Política de Auditoria.
No painel de resultados, clique duas vezes em Auditar acesso ao objeto.
Na guia Configuração de Segurança Local, na área Fazer a auditoria dessas tentativas, selecione Êxito e Falha.
Clique em OK.
Feche a ferramenta Política de Segurança.
[Top]