Запись событий аудита SQL Server в журнал безопасности

Область применения: SQL Server — только Для Windows

В среде с повышенной безопасностью подходящим местом для записи событий доступа к объектам является журнал безопасности Windows. Другие местонахождения аудита поддерживаются, но они более уязвимы для вторжения злоумышленников.

Существует три основных требования для записи аудита сервера SQL Server в журнал Безопасность Windows:

  • Параметр аудита доступа к объектам должен быть настроен для записи событий. Средство политики аудита (auditpol.exe) предоставляет различные параметры подполии в категории доступа к объекту аудита. Чтобы разрешить SQL Server аудиту доступа к объектам, настройте созданный приложением параметр.

  • Учетная запись, в которую выполняется служба SQL Server, должна иметь разрешение на создание аудита безопасности для записи в журнал Безопасность Windows. По умолчанию этим разрешением обладают учетные записи и Locale Service и Network Service. Этот шаг не требуется, если SQL Server работает под одной из этих учетных записей.

  • Предоставьте полное разрешение для учетной записи службы SQL Server в куст HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Securityреестра.

    Внимание

    Неправильное изменение реестра может вызвать серьезные проблемы. Перед внесением изменений в реестр рекомендуется создать резервную копию всех важных данных.

ограничения

  • Локальные параметры для журнала безопасности могут быть перезаписаны политикой домена. В этом случае политика домена может перезаписать параметр подкатегории (auditpol /get /subcategory:"application generated"). SQL Server не имеет способа обнаружить, что события, которые он пытается выполнить аудит, не записываются.

  • События могут быть потеряны, если политика аудита настроена неправильно. Политика аудита Windows может повлиять на аудит SQL Server, если она настроена для записи в журнал Безопасность Windows. Обычно журнал безопасности Windows перезаписывает более старые события. В результате сохраняются самые последние события. Однако если журнал Безопасность Windows не настроен на перезапись старых событий, то если журнал безопасности заполнен, система выдает событие Windows 1104 (журнал заполнен). После этого:

    • Никакие дополнительные события безопасности не записываются

    • SQL Server не может обнаружить, что система не может записывать события в журнале безопасности, что приводит к потере событий аудита.

    • После того как администратор настроит журнал безопасности, режим записи в журнал вернется в нормальное состояние.

  • Записи аудита SQL Server содержат значительно больше данных, чем обычные записи журнала событий Windows. Кроме того, в зависимости от конфигурации спецификации аудита SQL Server может создавать множество тысяч записей аудита в течение короткого периода времени (тысячи в секунду). В периоды высокой нагрузки это может привести к неблагоприятным условиям, если записи аудита записываются в журнал приложений или журнал безопасности.

    К этим неблагоприятным условиям могут относиться следующие:

    • Быстрое велоспорт журнала событий (события перезаписываются очень быстро, так как файл журнала достигает ограничения размера)

    • Другие приложения или службы, которые считываются из журнала событий Windows, могут негативно повлиять на

    • Целевой журнал событий может быть непригодным для администраторов из-за перезаписи событий так быстро

    Действия, которые могут предпринять администраторы для устранения этих неблагоприятных условий:

    1. Увеличьте размер целевого журнала (4 ГБ не является необоснованным, если спецификация аудита очень подробна).

    2. Уменьшите количество событий аудита.

    3. Выводит записи аудита в файл вместо журналов событий.

Разрешения

Для настройки этих параметров необходимо быть администратором Windows.

Настройка параметра доступа к объекту аудита в Windows с помощью auditpol

  1. Откройте командную строку с правами администратора.

    1. В меню "Пуск" перейдите в командную строку и выберите "Запуск от имени администратора".

    2. Если откроется диалоговое окно "Контроль учетных записей пользователей", нажмите кнопку "Продолжить".

  2. Выполните следующую инструкцию, чтобы включить аудит из SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable
    
  3. Закройте окно командной строки.

Предоставление разрешения на создание аудита безопасности учетной записи с помощью secpol

  1. Для любой операционной системы Windows в меню "Пуск " выберите "Выполнить".

  2. Введите secpol.msc и нажмите кнопку "ОК". Если появится диалоговое окно "Пользователь контроль доступа", нажмите кнопку "Продолжить".

  3. В средстве "Локальная политика безопасности" перейдите к параметру "Параметры безопасности" для назначения прав пользователей локальных > политик>.

  4. В области результатов откройте окно "Создать аудит безопасности".

  5. На вкладке "Локальный параметр безопасности" выберите "Добавить пользователя или группу".

  6. В диалоговом окне выбора пользователей, компьютеров или групп введите имя учетной записи пользователя, например domain1\user1, а затем нажмите кнопку "ОК" или "Дополнительно" и выполните поиск учетной записи.

  7. Нажмите ОК.

  8. Закройте средство политики безопасности.

  9. Перезапустите SQL Server, чтобы включить этот параметр.

Настройка параметра доступа к объекту аудита в Windows с помощью secpol

  1. Если операционная система более ранняя, чем Windows Vista или Windows Server 2008, в меню "Пуск " выберите "Запустить".

  2. Введите secpol.msc и нажмите кнопку "ОК". Если появится диалоговое окно "Пользователь контроль доступа", нажмите кнопку "Продолжить".

  3. В средстве локальной политики безопасности перейдите к политике аудита локальных > политик > безопасности.

  4. В области результатов откройте доступ к объекту audit.

  5. На вкладке Параметр локальной безопасности в области Вести аудит следующих попыток доступа выберите оба параметра: Успешно и Ошибка.

  6. Нажмите ОК.

  7. Закройте средство политики безопасности.

См. также