Запись событий подсистемы аудита SQL Server в журнал безопасности
В среде с повышенной безопасностью подходящим местом для записи событий доступа к объектам является журнал безопасности Windows. Другие местонахождения аудита поддерживаются, но они более уязвимы для вторжения злоумышленников.
Для записи событий аудита сервера SQL Server в журнал безопасности Windows существует два основных требования.
Параметр аудита доступа к объектам должен быть настроен для записи событий. Конкретный способ этой настройки зависит от операционной системы.
В среде Windows Vista и Windows Server 2008 используется средство политики аудита (auditpol.exe). Программа политики аудита предоставляет доступ к ряду внутренних параметров политик категории Аудит доступа к объектам. Чтобы позволить SQL Server проводить аудит доступа к объектам, нужно настроить параметр формируется приложением.
В более ранних версиях Windows средство политики аудита недоступно. Вместо него следует использовать оснастку политики безопасности (secpol.msc). Однако политика аудита, если она доступна, является более предпочтительной, так как позволяет проводить более детализированную настройку.
Для записи в журнал безопасности Windows учетная запись, в которой эксплуатируется служба SQL Server, должна иметь разрешение Создание аудитов безопасности. По умолчанию этим разрешением обладают учетные записи LOCAL SERVICE и NETWORK SERVICE. Если служба SQL Server выполняется от имени одной из этих учетных записей, данный шаг не требуется.
Политика аудита Windows может повлиять на аудит SQL Server, если включена запись в журнал безопасности Windows, при этом существует опасность потери событий, если политика аудита настроена неправильно. Обычно журнал безопасности Windows перезаписывает более старые события. В результате сохраняются самые последние события. Однако, если журнал безопасности Windows не настроен на перезапись более старых событий, при заполнении журнала безопасности система создаст событие Windows 1104 (журнал заполнен). После этого:
Последующие события безопасности не будут регистрироваться
SQL Server не сможет установить, что система не регистрирует события в журнале безопасности, в результате чего возможна потеря событий аудита
После того как администратор настроит журнал безопасности, режим записи в журнал вернется в нормальное состояние.
В этом разделе
Перед началом работы выполните следующие действия.
Ограничения
Безопасность
Чтобы записывать события подсистемы аудита SQL Server в журнал безопасности:
Настройте параметр аудита доступа к объектам в Windows с помощью средства auditpol
Настройте параметр аудита доступа к объектам в Windows с помощью средства secpol
Предоставьте разрешения на создание аудитов безопасности конкретной учетной записи с помощью средства secpol
Перед началом
Ограничения
Администраторы компьютера с SQL Server должны учитывать, что локальные параметры журнала безопасности могут быть переопределены политикой домена. В этом случае политики домена могут перезаписывать параметр подкатегории (auditpol /get /subcategory:"application generated"). Это может повлиять на способность SQL Server регистрировать события, причем будет невозможно определить, что события, для которых SQL Server пытается провести аудит, не регистрируются.
Безопасность
Разрешения
Для настройки этих параметров необходимо быть администратором Windows.
[Top]
Настройка параметра аудита доступа к объектам в Windows с помощью средства auditpol
Если операционная система — Windows Vistaили Windows Server 2008, откройте командную строку с административными разрешениями.
В меню Пуск последовательно укажите пункты Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите пункт Запуск от имени администратора.
В диалоговом окне Контроль учетных записей нажмите кнопку Продолжить.
Выполните следующую инструкцию для включения аудита из SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enable
Закройте окно командной строки.
[Top]
Предоставление разрешения на создание аудитов безопасности конкретной учетной записи с помощью средства secpol
В любой версии операционной системы Windows в меню Пуск выберите пункт Выполнить.
Введите secpol.msc, а затем нажмите кнопку ОК. В диалоговом окне Управление доступом на уровне пользователей нажмите кнопку Продолжить.
В средстве «Локальная политика безопасности» разверните узел Настройки безопасности, разверните узел Локальные политики, а затем щелкните Назначение прав пользователя.
На панели результатов дважды щелкните Создание аудитов безопасности.
На вкладке Параметр локальной безопасности нажмите кнопку Добавить пользователя или группу.
В диалоговом окне Выбор — пользователи, компьютеры или группы введите имя учетной записи, например «домен1\пользователь1», и нажмите кнопку ОК либо нажмите кнопку Дополнительно и найдите нужную учетную запись.
Нажмите кнопку ОК.
Закройте средство политики безопасности.
Перезапустите SQL Server, чтобы включить этот параметр.
Настройка параметра аудита доступа к объектам в Windows с помощью средства secpol
Если операционная система имеет более раннюю версию, чем Windows Vista или Windows Server 2008, в меню Пуск выберите пункт Выполнить.
Введите secpol.msc, а затем нажмите кнопку ОК. В диалоговом окне Управление доступом на уровне пользователей нажмите кнопку Продолжить.
В средстве «Локальная политика безопасности» разверните узел Настройки безопасности, разверните узел Локальные политики, а затем Политика аудита.
На панели результатов дважды щелкните Аудит доступа к объектам.
На вкладке Параметр локальной безопасности в области Вести аудит следующих попыток доступа выберите оба параметра: Успешно и Ошибка.
Нажмите кнопку ОК.
Закройте средство политики безопасности.
[Top]