Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В среде с повышенной безопасностью подходящим местом для записи событий доступа к объектам является журнал безопасности Windows. Другие местонахождения аудита поддерживаются, но они более уязвимы для вторжения злоумышленников.
Существует два основных требования к написанию аудита сервера SQL Server в журнал безопасности Windows:
Параметр аудита доступа к объектам должен быть сконфигурирован для фиксации событий. Средство политики аудита (
auditpol.exe) предоставляет различные настройки подполитик в категории доступа к объектам аудита. Чтобы разрешить SQL Server аудиту доступа к объектам, настройте созданный приложением параметр.Учетная запись, под которой выполняется служба SQL Server, должна иметь разрешение на создание аудитов безопасности для записи в журнал безопасности Windows. По умолчанию этим разрешением обладают учетные записи и Locale Service и Network Service. Этот шаг не требуется, если SQL Server работает под одной из этих учетных записей.
Политика аудита Windows может повлиять на аудит SQL Server, если она настроена для записи в журнал безопасности Windows, с возможностью потери событий, если политика аудита настроена неправильно. Обычно журнал безопасности Windows перезаписывает более старые события. В результате сохраняются самые последние события. Однако если журнал безопасности Windows не перезаписывает старые события, то если журнал безопасности заполнен, система выдает событие Windows 1104 (журнал заполнен). После этого:
Дальнейшие события безопасности не записываются
SQL Server не сможет обнаружить, что система не может записывать события в журнале безопасности, что приведет к потере событий аудита.
После того как администратор настроит журнал безопасности, режим записи в журнал вернется в нормальное состояние.
В этом разделе
Перед началом:
Чтобы записать события аудита SQL Server в журнал безопасности:
Настройка параметра доступа к объекту аудита в Windows с помощью auditpol
Настройка параметра доступа к объекту аудита в Windows с помощью secpol
Предоставьте учетной записи разрешение на создание аудитов безопасности с помощью secpol
Перед началом работы
Ограничения и условия
Администраторы компьютера SQL Server должны понимать, что локальные параметры для журнала безопасности могут быть перезаписаны политикой домена. В этом случае политика домена может перезаписать параметр подкатегории (auditpol /get /subcategory:"application generated"). Это может повлиять на способность SQL Server регистрировать события, не имея возможности обнаружить, что события, которые он пытается аудировать, не будут записаны.
Безопасность
Разрешения
Для настройки этих параметров необходимо быть администратором Windows.
Настройка параметра доступа к объекту аудита в Windows с помощью auditpol
Откройте командную строку с правами администратора.
В меню "Пуск " наведите указатель на все программы, наведите указатель на аксессуары, щелкните правой кнопкой мыши командную строку и нажмите кнопку "Запустить от имени администратора".
Если откроется диалоговое окно "Контроль учетных записей пользователей ", нажмите кнопку "Продолжить".
Выполните следующую инструкцию, чтобы включить аудит из SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enableЗакройте окно командной строки.
Предоставление разрешения на создание аудита безопасности учетной записи с помощью secpol
Для любой операционной системы Windows в меню "Пуск " нажмите кнопку "Выполнить".
Введите secpol.msc и нажмите кнопку "ОК". Если появится диалоговое окно "Управление доступом пользователей ", нажмите кнопку "Продолжить".
В средстве "Локальная политика безопасности" разверните раздел "Параметры безопасности", разверните "Локальные политики" и выберите пункт "Назначение прав пользователя".
В области результатов дважды щелкните "Создать аудит безопасности".
На вкладке "Локальный параметр безопасности" нажмите кнопку "Добавить пользователя или группу".
В диалоговом окне выбора пользователей, компьютеров или групп введите имя учетной записи пользователя, например domain1\user1 , а затем нажмите кнопку "ОК" или нажмите кнопку "Дополнительно " и выполните поиск учетной записи.
Нажмите кнопку ОК.
Закройте средство политики безопасности.
Перезапустите SQL Server, чтобы включить этот параметр.
Настройка параметра доступа к объекту аудита в Windows с помощью secpol
Если операционная система более ранняя, чем Windows Vista или Windows Server 2008, в меню "Пуск " нажмите кнопку "Запустить".
Введите secpol.msc и нажмите кнопку "ОК". Если появится диалоговое окно "Управление доступом пользователей ", нажмите кнопку "Продолжить".
В средстве локальной политики безопасности разверните узел "Параметры безопасности", разверните узел "Локальные политики" и щелкните "Политика аудита".
В области результатов дважды щелкните аудит доступа к объекту.
На вкладке Параметр локальной безопасности в области Вести аудит следующих попыток доступа выберите оба параметра: Успешно и Ошибка.
Нажмите кнопку ОК.
Закройте средство политики безопасности.
См. также
Система аудита SQL Server (Система управления базами данных)