Как записывать события аудита сервера в журнал безопасности

В среде с повышенной безопасностью подходящим местом для записи событий доступа к объектам является журнал безопасности Windows. Другие местонахождения аудита поддерживаются, но они более уязвимы для вторжения злоумышленников.

Для записи событий аудита сервера SQL Server в журнал безопасности Windows существует два основных требования.

  • Параметр аудита доступа к объектам должен быть настроен для записи событий. Конкретный способ этой настройки зависит от операционной системы.

    • В среде Windows Vista и Windows Server 2008 используется средство политики аудита (auditpol.exe). Программа политики аудита предоставляет доступ к ряду внутренних параметров политик категории Аудит доступа к объектам. Чтобы позволить SQL Server проводить аудит доступа к объектам, нужно настроить параметр формируется приложением.

    • В более ранних версиях Windows средство политики аудита недоступно. Вместо него следует использовать оснастку политики безопасности (secpol.msc). Однако политика аудита, если она доступна, является более предпочтительной, так как позволяет проводить более детализированную настройку.

  • Для записи в журнал безопасности Windows учетная запись, из-под которой выполняется служба SQL Server, должна иметь разрешение Создание аудитов безопасности. По умолчанию этим разрешением обладают учетные записи и Locale Service, и Network Service. Если служба SQL Server выполняется от имени одной из этих учетных записей, данный шаг не требуется.

Политика аудита Windows может влиять на аудит SQL Server, если она настроена на запись в журнал безопасности Windows. Если политика аудита настроена неправильно, возможна потеря событий. Обычно журнал безопасности Windows настроен на перезапись поверх более старых событий. Таким образом, сохраняются наиболее недавние события. Однако если журнал безопасности Windows не настроен на перезапись поверх более старых событий, то при его переполнении система создаст событие Windows 1104 (журнал заполнился). С этого момента происходит следующее.

  • Занесение событий безопасности в журнал прекращается.

  • SQL Server не сможет определить, что система не может записывать события в журнал безопасности, что ведет к потенциальной потере событий аудита.

  • После того как системный администратор исправит проблему с журналом безопасности, занесение событий в журнал начнется снова в обычном режиме.

Администраторы компьютера, на котором выполняется SQL Server, должны понимать, что журнал безопасности может быть перезаписан политикой домена. В этом случае политика домена может перезаписать настройку этой подкатегории (auditpol /get /subcategory:"application generated"). Это может повлиять на способность SQL Server заносить события в журнал. При этом у системы нет никакой возможности узнать, что события, для которых SQL Server пытается проводить аудит, не будут занесены в журнал.

Для настройки этих параметров необходимо быть администратором Windows.

Настройка параметра аудита доступа к объектам в Windows с помощью средства auditpol

  1. Если операционная система — Windows Vista или Windows Server 2008, откройте командную строку с административными разрешениями.

    1. В меню Пуск последовательно укажите пункты Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите пункт Запуск от имени администратора.

    2. В диалоговом окне Контроль учетных записей нажмите кнопку Продолжить.

  2. Выполните следующую инструкцию для включения аудита из служб SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable
    
  3. Закройте окно командной строки.

    Изменение этой настройки вступает в силу немедленно.

Настройка параметра аудита доступа к объектам в Windows с помощью средства secpol

  1. Если операционная система имеет более раннюю версию, чем Windows Vista или Windows Server 2008, в меню Пуск выберите пункт Выполнить.

  2. Введите secpol.msc, а затем нажмите кнопку ОК. В диалоговом окне Управление доступом на уровне пользователей нажмите кнопку Продолжить.

  3. В средстве «Локальная политика безопасности» разверните узел Параметры безопасности, разверните узел Локальные политики, а затем Политика аудита.

  4. В области результатов дважды щелкните Аудит доступа к объектам.

  5. На вкладке Параметры локальной безопасности в области Вести аудит следующих попыток доступа выберите оба параметра: Успешно и Ошибка.

  6. Нажмите кнопку ОК.

  7. Закройте средство политики безопасности.

    Изменение этой настройки вступает в силу немедленно.

Предоставление разрешения на создание аудитов безопасности конкретной учетной записи с помощью средства secpol

  1. В любой версии операционной системы Windows в меню Пуск выберите пункт Выполнить.

  2. Введите secpol.msc, а затем нажмите кнопку ОК. В диалоговом окне Управление доступом на уровне пользователей нажмите кнопку Продолжить.

  3. В средстве «Локальная политика безопасности» разверните узел Настройки безопасности, разверните узел Локальные политики, а затем щелкните Назначение прав пользователя.

  4. В области результатов дважды щелкните Создание аудитов безопасности.

  5. На вкладке Параметры локальной безопасности нажмите кнопку Добавить пользователя или группу.

  6. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы либо введите имя учетной записи, например домен1\пользователь1, а затем нажмите кнопку ОК, либо нажмите кнопку Дополнительно... и найдите нужную учетную запись.

  7. Нажмите кнопку ОК.

  8. Закройте средство политики безопасности.

    Изменения вступят в силу после перезапуска SQL Server.