Gravar eventos de Auditoria do SQL Server no log de Segurança

Aplica-se a:SQL Server no Windows

Em um ambiente de alta segurança, o log de Segurança do Windows é o local apropriado para gravar eventos que registram o acesso a objetos. Outros locais de auditoria são suportados, mas são mais suscetíveis a adulteração.

Há três requisitos principais para escrever auditorias de servidor do SQL Server no log de Segurança do Windows:

• A configuração de acesso ao objeto de auditoria deve ser configurada para capturar os eventos. A ferramenta de política de auditoria (auditpol.exe) expõe várias configurações de subpolíticas na categoria de acesso ao objeto de auditoria. Para permitir que o SQL Server audite o acesso a objetos, configure a definição gerada pelo aplicativo.

• A conta na qual o serviço do SQL Server está sendo executado deve ter o gerar auditorias de segurança permissão para gravar no log de Segurança do Windows. Por padrão, as contas SERVIÇO LOCAL e SERVIÇO DE REDE têm essa permissão. Esta etapa não é necessária se o SQL Server estiver sendo executado em uma dessas contas.

• Forneça permissão total à conta de serviço do SQL Server para a chave do registo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.

  Importante

  A edição incorreta do registo pode danificar gravemente o seu sistema. Antes de fazer alterações no Registro, recomendamos que você faça backup de todos os dados valiosos no computador.

Limitações e restrições

• As configurações locais do log de segurança podem ser substituídas por uma diretiva de domínio. Nesse caso, a diretiva de domínio pode substituir a configuração de subcategoria (auditpol /get /subcategory:"application generated"). O SQL Server não tem nenhuma maneira de detetar que os eventos que está tentando auditar não serão registrados.

• Os eventos podem ser perdidos se a política de auditoria estiver configurada incorretamente. A política de auditoria do Windows pode afetar a auditoria do SQL Server se estiver configurada para gravar no log de Segurança do Windows. Normalmente, o log de Segurança do Windows é definido para substituir os eventos mais antigos. Isto preserva os acontecimentos mais recentes. No entanto, se o log de Segurança do Windows não estiver definido para substituir eventos mais antigos, se o log de Segurança estiver cheio, o sistema emitirá o evento 1104 do Windows (Log está cheio). Nessa altura:

  • Não são registados mais eventos de segurança

  • O SQL Server não consegue detetar que o sistema não consegue registrar os eventos no log de segurança, resultando na perda potencial de eventos de auditoria

  • Depois que o administrador da caixa de correio corrigir o registo de segurança, o comportamento de registo voltará ao normal.

• Os registros de auditoria do SQL Server contêm significativamente mais dados do que as entradas regulares do log de eventos do Windows. Além disso, dependendo da configuração da especificação de auditoria, o SQL Server pode gerar muitos milhares de registros de auditoria em um curto período de tempo (milhares por segundo). Em períodos de alta carga, isso pode resultar em condições adversas se os registros de auditoria forem gravados no log do aplicativo ou no log de segurança.

  Estas condições adversas podem incluir:

  • Ciclo rápido do log de eventos (os eventos são substituídos muito rapidamente à medida que o arquivo de log atinge seu limite de tamanho)

  • Outros aplicativos ou serviços lidos do log de eventos do Windows podem ser afetados negativamente

  • O log de eventos de destino pode ser inutilizável pelos administradores devido a eventos sendo substituídos tão rapidamente

  Etapas que os administradores podem tomar para mitigar essas condições adversas:

  1. Aumente o tamanho do log de destino (4 GB não é irrazoável quando a especificação de auditoria é muito detalhada).

  2. Reduza o número de eventos que estão sendo auditados.

  3. Envie os registros de auditoria para um arquivo em vez dos logs de eventos.

Permissões

Você deve ser um administrador do Windows para definir essas configurações.

Configure a configuração de acesso ao objeto de auditoria no Windows usando auditpol

1. Abra um prompt de comando com permissões administrativas.

   1. No menu Iniciar, navegue até Prompt de Comandoe selecione, em seguida, Executar como administrador.

   2. Se a caixa de diálogo Controle de Conta de Usuário for aberta, selecione Continuar.

2. Execute a instrução a seguir para habilitar a auditoria do SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable
   

3. Feche a janela do prompt de comando.

Conceder a permissão gerar auditorias de segurança a uma conta usando secpol

1. Para qualquer sistema operacional Windows, no menu Iniciar, selecione Executar.

2. Digite secpol.msc e, em seguida, selecione OK. Caso a caixa de diálogo Controle de Acesso de Utilizador seja exibida, selecione Continuar.

3. Na ferramenta Política de Segurança Local, navegue até Configurações de Segurança > Diretivas Locais > Atribuição de Direitos de Usuário.

4. No painel de resultados, abra Gerar auditorias de segurança.

5. Na guia Configuração de Segurança Local, selecione Adicionar Usuário ou Grupo.

6. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, digite o nome da conta de usuário, como domain1\user1 e, em seguida, selecione OKou selecione Avançado e procure a conta.

7. Selecione OK.

8. Feche a ferramenta Política de Segurança.

9. Reinicie o SQL Server para habilitar essa configuração.

Configure a configuração de acesso ao objeto de auditoria no Windows usando secpol

1. Se o sistema operacional for anterior ao Windows Vista ou Windows Server 2008, no menu Iniciar, selecione Executar.

2. Digite secpol.msc e, em seguida, selecione OK. Caso a caixa de diálogo Controle de Acesso de Utilizador seja exibida, selecione Continuar.

3. Na ferramenta Política de Segurança Local, navegue até Configurações de Segurança > Políticas Locais > Política de Auditoria.

4. No painel de resultados, abra Acesso ao objeto de auditoria.

5. Na guia Configuração de Segurança Local, na área Auditar essas tentativas, selecione ambos Sucesso e Falha.

6. Selecione OK.

7. Feche a ferramenta Política de Segurança.

Ver também

• Auditoria do SQL Server (Mecanismo de Banco de Dados)