SQL Server-auditgebeurtenissen schrijven naar het beveiligingslogboek

van toepassing op:SQL Server- - alleen Windows

In een omgeving met hoge beveiliging is het Windows-beveiligingslogboek de juiste locatie voor het schrijven van gebeurtenissen die objecttoegang registreren. Andere controlelocaties worden ondersteund, maar zijn meer onderhevig aan manipulatie.

Er zijn drie belangrijke vereisten voor het schrijven van SQL Server-servercontroles naar het Windows-beveiligingslogboek:

• De instelling voor toegang tot auditobjecten moet worden geconfigureerd om de gebeurtenissen vast te leggen. Het auditbeleidsinstrument (auditpol.exe) bevat verschillende subbeleidsinstellingen in de categorie van auditobjecttoegang. Om SQL Server toe te staan objecttoegang te auditen, configureert u de door de applicatie gegenereerde-instelling.

• Het account waaronder de SQL Server-service wordt uitgevoerd, moet de beveiligingscontroles genereren machtiging om naar het Windows-beveiligingslogboek te schrijven. De LOKALE SERVICE en de NETWORK SERVICE-accounts hebben standaard deze machtiging. Deze stap is niet vereist als SQL Server wordt uitgevoerd onder een van deze accounts.

• Geef de volledige machtiging voor het SQL Server-serviceaccount op voor het register-hive-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.

  Belangrijk

  Het onjuist bewerken van het register kan uw systeem ernstig beschadigen. Voordat u wijzigingen aanbrengt in het register, raden we u aan een back-up te maken van waardegegevens op de computer.

Beperkingen en beperkingen

• Lokale instellingen voor het beveiligingslogboek kunnen worden overschreven door een domeinbeleid. In dit geval kan het domeinbeleid de instelling voor subcategorie (auditpol /get /subcategory:"application generated") overschrijven. SQL Server heeft geen manier om te detecteren dat de gebeurtenissen die worden gecontroleerd, niet worden vastgelegd.

• Gebeurtenissen kunnen verloren gaan als het controlebeleid onjuist is geconfigureerd. Het Windows-controlebeleid kan van invloed zijn op SQL Server-controle als het is geconfigureerd om naar het Windows-beveiligingslogboek te schrijven. Normaal gesproken is het Windows-beveiligingslogboek ingesteld om de oudere gebeurtenissen te overschrijven. Hierdoor blijven de meest recente gebeurtenissen behouden. Als het Windows-beveiligingslogboek echter niet is ingesteld op het overschrijven van oudere gebeurtenissen, dan als het beveiligingslogboek vol is, geeft het systeem problemen met Windows-gebeurtenis 1104 (logboek is vol). Op dat moment:

  • Er worden geen verdere beveiligingsevenementen vastgelegd

  • SQL Server kan niet detecteren dat het systeem de gebeurtenissen niet kan vastleggen in het beveiligingslogboek, wat resulteert in het potentiële verlies van controlegebeurtenissen

  • Nadat de boxbeheerder het beveiligingslogboek heeft opgelost, wordt het logboekgedrag weer normaal.

• SQL Server-controlerecords bevatten aanzienlijk meer gegevens dan reguliere vermeldingen in het Windows-gebeurtenislogboek. Daarnaast kan SQL Server, afhankelijk van de configuratie van de controlespecificatie, in korte tijd vele duizenden controlerecords genereren (duizenden per seconde). Onder perioden van hoge belasting kan dit leiden tot ongunstige omstandigheden als de auditrecords naar het toepassingslogboek of het beveiligingslogboek worden geschreven.

  Deze ongunstige omstandigheden kunnen onder andere zijn:

  • Snelle cyclus van het gebeurtenislogboek (gebeurtenissen worden zeer snel overschreven wanneer het logbestand de groottelimiet bereikt)

  • Andere toepassingen of services die in het Windows-gebeurtenislogboek worden gelezen, kunnen negatief worden beïnvloed

  • Het doelgebeurtenislogboek kan onbruikbaar zijn door beheerders omdat gebeurtenissen zo snel worden overschreven

  Stappen die beheerders kunnen nemen om deze ongunstige omstandigheden te beperken:

  1. Vergroot de grootte van het doellogboek (4 GB is niet onredelijk wanneer de auditspecificatie zeer gedetailleerd is).

  2. Verminder het aantal gebeurtenissen dat wordt gecontroleerd.

  3. Voer de controlerecords uit naar een bestand in plaats van de gebeurtenislogboeken.

Machtigingen

U moet een Windows-beheerder zijn om deze instellingen te configureren.

De instelling voor toegang tot auditobjecten configureren in Windows met behulp van auditpol

1. Open een opdrachtprompt met beheerdersmachtigingen.

   1. Ga in het menu Start naar Opdrachtprompten selecteer Uitvoeren als administrator.

   2. Als het dialoogvenster Gebruikersaccountbeheer wordt geopend, selecteert u Doorgaan.

2. Voer de volgende instructie uit om controle vanuit SQL Server in te schakelen.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable
   

3. Sluit het opdrachtpromptvenster.

Geef toestemming om beveiligingsaudits te genereren aan een account met behulp van secpol

1. Voor elk Windows-besturingssysteem selecteert u in het menu Startuitvoeren.

2. Typ secpol.msc en selecteer OK-. Als het dialoogvenster Gebruikerstoegangsbeheer wordt weergegeven, selecteert u Doorgaan.

3. Navigeer in het hulpprogramma Lokaal beveiligingsbeleid naar Beveiligingsinstellingen > Lokaal beleid > toewijzing van gebruikersrechten.

4. Open in het resultatenvenster Genereer beveiligingscontroles.

5. Selecteer op het tabblad Lokale beveiligingsinstellingGebruiker of groep toevoegen.

6. Typ in het dialoogvenster Gebruikers, computers of groepen selecteren de naam van het gebruikersaccount, zoals domein1\gebruiker1 en selecteer OKof selecteer Geavanceerd en zoek naar het account.

7. Selecteer OK-.

8. Sluit het hulpprogramma Beveiligingsbeleid.

9. Start SQL Server opnieuw op om deze instelling in te schakelen.

De instelling voor toegang tot auditobjecten configureren in Windows met behulp van secpol

1. Als het besturingssysteem ouder is dan Windows Vista of Windows Server 2008, selecteert u in het menu StartUitvoeren.

2. Typ secpol.msc en selecteer OK-. Als het dialoogvenster Gebruikerstoegangsbeheer wordt weergegeven, selecteert u Doorgaan.

3. Navigeer in het hulpprogramma Lokaal beveiligingsbeleid naar Beveiligingsinstellingen > Lokaal beleid > auditbeleid.

4. Open in het resultatenvenster Toegang tot objecten controleren.

5. Selecteer op het tabblad Lokale beveiligingsinstelling in het Controle deze pogingen gebied zowel geslaagde als mislukte.

6. Selecteer OK-.

7. Sluit het hulpprogramma Beveiligingsbeleid.

Zie ook

• SQL Server-audit (databasesysteem)