Compartir a través de

Escribir eventos de auditoría de SQL Server en el registro de seguridad

  • Artículo

En un entorno de alta seguridad, el registro de seguridad de Windows es la ubicación adecuada para escribir los eventos que registran el acceso a los objetos. Se admiten otras ubicaciones de auditoría pero están más expuestas a alteraciones.

Hay dos requisitos clave para escribir auditorías de servidor SQL Server en el registro de Seguridad de Windows:

  • El valor Auditar el acceso a objetos se debe configurar para capturar los eventos. La herramienta de directiva de auditoría (auditpol.exe) expone diversos valores de subdirectivas en la categoría Auditar el acceso a objetos . Para permitir que SQL Server auditar el acceso a objetos, configure la configuración generada por la aplicación.

  • La cuenta en la que se ejecuta el servicio SQL Server debe tener el permiso generar auditorías de seguridad para escribir en el registro de Seguridad de Windows. De forma predeterminada, las cuentas LOCAL SERVICE y NETWORK SERVICE tienen este permiso. Este paso no es necesario si SQL Server se ejecuta en una de esas cuentas.

La directiva de auditoría de Windows puede afectar a SQL Server auditoría si está configurado para escribir en el registro de Seguridad de Windows, con el potencial de perder eventos si la directiva de auditoría está configurada incorrectamente. Por lo general, el registro de seguridad de Windows se establece para sobrescribir los eventos más antiguos. De esta forma se conservan los eventos más recientes. Sin embargo, si el registro de seguridad de Windows no se establece para sobrescribir los eventos más antiguos, entonces, si el registro de seguridad se llena, el sistema emitirá el evento 1104 de Windows (el registro está lleno). En ese punto:

  • No se registrará ningún evento de seguridad más

  • SQL Server no podrá detectar que el sistema no puede registrar los eventos en el registro de seguridad, lo que da lugar a la posible pérdida de eventos de auditoría.

  • Después de que el administrador corrija el registro de seguridad, el comportamiento de registro volverá a la normalidad.

En este tema

Antes de empezar

Limitaciones y restricciones

Los administradores del equipo SQL Server deben comprender que una directiva de dominio puede sobrescribir la configuración local del registro de seguridad. En este caso, la directiva de dominio puede sobrescribir el valor de subcategoría (auditpol /get /subcategory:"aplicación generada" ). Esto puede afectar a SQL Server capacidad de registrar eventos sin tener ninguna manera de detectar que los eventos que SQL Server está intentando auditar no se van a registrar.

Seguridad

Permisos

Debe ser administrador de Windows para configurar estos valores.

Para configurar el valor Auditar el acceso a objetos en Windows utilizando auditpol

  1. Abra un símbolo del sistema con permisos administrativos.

    1. En el menú Inicio , seleccione Todos los programas, Accesorios, haga clic con el botón derecho en Símbolo del sistemay, después, haga clic en Ejecutar como administrador.

    2. Si se abre el cuadro de diálogo Control de cuentas de usuario , haga clic en Continuar.

  2. Ejecute la siguiente instrucción para habilitar la auditoría desde SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Cierre la ventana del símbolo del sistema.

Para conceder el permiso Generar auditorías de seguridad a una cuenta utilizando secpol

  1. En cualquier sistema operativo Windows, en el menú Inicio , haga clic en Ejecutar.

  2. Escriba secpol.msc y, a continuación, haga clic en Aceptar. Si aparece el cuadro de diálogo Control de cuentas de usuario , haga clic en Continuar.

  3. En la herramienta Directiva de seguridad local, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.

  4. En el panel de resultados, haga doble clic en Generar auditorías de seguridad.

  5. En la pestaña Configuración de seguridad local , haga clic en Agregar usuario o grupo.

  6. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , escriba el nombre de la cuenta de usuario, como domain1\user1 y, después, haga clic en Aceptar, o haga clic en Opciones avanzadas y busque la cuenta.

  7. Haga clic en OK.

  8. Cierre la herramienta Directiva de seguridad.

  9. Reinicie SQL Server para habilitar esta configuración.

Para configurar el valor Auditar el acceso a objetos en Windows utilizando secpol

  1. Si el sistema operativo es anterior a Windows Vista o Windows Server 2008, en el menú Inicio , haga clic en Ejecutar.

  2. Escriba secpol.msc y, a continuación, haga clic en Aceptar. Si aparece el cuadro de diálogo Control de cuentas de usuario , haga clic en Continuar.

  3. En la herramienta Directiva de seguridad local, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Directiva de auditoría.

  4. En el panel de resultados, haga doble clic en Auditar el acceso a objetos.

  5. En la pestaña Configuración de seguridad local , en el área Auditar estos intentos , seleccione Correcto y Error.

  6. Haga clic en OK.

  7. Cierre la herramienta Directiva de seguridad.

Consulte también

SQL Server Audit (motor de base de datos)