Udostępnij za pośrednictwem

Zapisywanie zdarzeń inspekcji programu SQL Server w dzienniku zabezpieczeń

  • Artykuł

Dotyczy:programu SQL Server — tylko system Windows

W środowisku o wysokim poziomie zabezpieczeń dziennik zabezpieczeń systemu Windows jest odpowiednią lokalizacją do zapisywania zdarzeń rejestrujących dostęp do obiektu. Inne lokalizacje inspekcji są obsługiwane, ale są bardziej narażone na manipulowanie.

Istnieją trzy kluczowe wymagania dotyczące pisania inspekcji programu SQL Server w dzienniku zabezpieczeń systemu Windows:

  • Aby przechwycić zdarzenia, należy skonfigurować ustawienie dostępu do obiektu inspekcji. Narzędzie zasad inspekcji (auditpol.exe) uwidacznia różne ustawienia zasad podrzędnych w kategorii inspekcji dostępu do obiektów. Aby zezwolić programowi SQL Server na inspekcję dostępu do obiektów, skonfiguruj ustawienie wygenerowane przez aplikację.

  • Konto, w ramach którego działa usługa SQL Server, musi mieć wygenerować inspekcje zabezpieczeń uprawnienia do zapisywania w dzienniku zabezpieczeń systemu Windows. Domyślnie konta USŁUGI LOKALNEJ i USŁUGI SIECIOWEJ mają to uprawnienie. Ten krok nie jest wymagany, jeśli program SQL Server działa w ramach jednego z tych kont.

  • Podaj pełne uprawnienia dla konta usługi programu SQL Server w gałęzi rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security.

    Ważny

    Niepoprawne edytowanie rejestru może poważnie uszkodzić system. Przed wprowadzeniem zmian w rejestrze zalecamy wykonanie kopii zapasowej wszystkich wartościowych danych na komputerze.

Ograniczenia i ograniczenia

  • Ustawienia lokalne dziennika zabezpieczeń można zastąpić zasadami domeny. W takim przypadku zasady domeny mogą zastąpić ustawienie podkategorii (auditpol /get /subcategory:"application generated"). Program SQL Server nie ma możliwości wykrycia, że zdarzenia, które stara się poddać audytowi, nie mają być zarejestrowane.

  • Zdarzenia mogą zostać utracone, jeśli zasady inspekcji są niepoprawnie skonfigurowane. Zasady inspekcji systemu Windows mogą mieć wpływ na inspekcję programu SQL Server, jeśli jest skonfigurowany do zapisywania w dzienniku zabezpieczeń systemu Windows. Zazwyczaj dziennik zabezpieczeń systemu Windows jest ustawiony na zastąpienie starszych zdarzeń. To zachowuje najnowsze zdarzenia. Jeśli jednak dziennik zabezpieczeń systemu Windows nie jest ustawiony na zastępowanie starszych zdarzeń, jeśli dziennik zabezpieczeń jest pełny, system wystawia zdarzenie systemu Windows 1104 (dziennik jest pełny). W tym momencie:

    • Nie są rejestrowane żadne dalsze zdarzenia zabezpieczeń

    • Program SQL Server nie może wykryć, że system nie może zarejestrować zdarzeń w dzienniku zabezpieczeń, co powoduje potencjalną utratę zdarzeń inspekcji

    • Po usunięciu dziennika zabezpieczeń przez administratora pola zachowanie rejestrowania powróci do normalnego.

  • Rekordy inspekcji programu SQL Server zawierają znacznie więcej danych niż zwykłe wpisy dziennika zdarzeń systemu Windows. Ponadto w zależności od konfiguracji specyfikacji inspekcji program SQL Server może generować wiele tysięcy rekordów inspekcji w krótkim czasie (tysiące na sekundę). W okresach dużego obciążenia może to spowodować niekorzystne warunki, jeśli rekordy inspekcji są zapisywane w dzienniku aplikacji lub dzienniku zabezpieczeń.

    Te niekorzystne warunki mogą obejmować:

    • Szybkie nadpisywanie dziennika zdarzeń (zdarzenia są zastępowane bardzo szybko, gdy osiągnięto limit rozmiaru pliku dziennika)

    • Inne aplikacje lub usługi odczytywane z dziennika zdarzeń systemu Windows mogą mieć negatywny wpływ

    • Docelowy dziennik zdarzeń może być bezużyteczny dla administratorów ze względu na to, że zdarzenia są zastępowane tak szybko

    Kroki, które administratorzy mogą podjąć w celu ograniczenia tych niekorzystnych warunków:

    1. Zwiększ rozmiar dziennika docelowego (4 GB nie jest przesadą, gdy specyfikacja inspekcji jest bardzo szczegółowa).

    2. Zmniejsz liczbę zdarzeń, które są poddawane inspekcji.

    3. Wyprowadź rekordy inspekcji do pliku zamiast dzienników zdarzeń.

Uprawnienia

Aby skonfigurować te ustawienia, musisz być administratorem systemu Windows.

Konfigurowanie ustawienia dostępu do obiektów inspekcji w systemie Windows przy użyciu auditpol

  1. Otwórz wiersz polecenia z uprawnieniami administracyjnymi.

    1. W menu Start przejdź do wiersza polecenia, a następnie wybierz pozycję Uruchom jako administrator.

    2. Jeśli zostanie otwarte okno dialogowe kontrola konta użytkownika, wybierz Kontynuuj.

  2. Wykonaj następującą instrukcję, aby włączyć inspekcję z programu SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Zamknij okno wiersza polecenia.

Udziel uprawnienia do generowania audytu bezpieczeństwa dla konta przy użyciu secpol

  1. W przypadku dowolnego systemu operacyjnego Windows w menu Start Start wybierz pozycję Uruchom.

  2. Wpisz secpol.msc, a następnie wybierz pozycję OK. Jeśli zostanie wyświetlone okno dialogowe kontroli dostępu użytkowników, wybierz pozycję Kontynuuj.

  3. W narzędziu Zasady zabezpieczeń lokalnych przejdź do Ustawienia zabezpieczeń > Zasady lokalne > Przydzielanie praw użytkownika.

  4. W okienku wyników otwórz Wygeneruj audyty zabezpieczeń.

  5. Na karcie ustawienia zabezpieczeń lokalnych wybierz pozycję Dodaj użytkownika lub grupę.

  6. W oknie dialogowym Wybierz użytkowników, komputery lub grupy wpisz nazwę konta użytkownika, na przykład domain1\user1, a następnie wybierz pozycję OKlub wybierz Zaawansowane i wyszukaj konto.

  7. Wybierz pozycję OK.

  8. Zamknij narzędzie Polityka zabezpieczeń.

  9. Uruchom ponownie program SQL Server, aby włączyć to ustawienie.

Konfigurowanie ustawienia dostępu do obiektów inspekcji w systemie Windows przy użyciu secpol

  1. Jeśli system operacyjny jest starszy niż Windows Vista lub Windows Server 2008, w menu Start wybierz pozycję Uruchom.

  2. Wpisz secpol.msc, a następnie wybierz pozycję OK. Jeśli zostanie wyświetlone okno dialogowe kontroli dostępu użytkowników, wybierz pozycję Kontynuuj.

  3. W narzędziu Zasady zabezpieczeń lokalnych przejdź do Ustawienia zabezpieczeń > Zasady lokalne > Zasady inspekcji.

  4. W okienku wyników otwórz Inspekcja dostępu do obiektów.

  5. Na karcie Ustawienia zabezpieczeń lokalnych na karcie Przeprowadź inspekcję tych prób w obszarze wybierz powodzenia i niepowodzenie .

  6. Wybierz pozycję OK.

  7. Zamknij narzędzie Zasady zabezpieczeń.

Zobacz też