auditar Microsoft SQL Server é fundamental para identificar questões de segurança e violações. Além disso, a auditoria do SQL Server é um requisito para o cumprimento de regulamentos como PCI DSS e HIPAA.
o primeiro passo é definir o que auditar. Por exemplo, você pode auditar logins do Usuário, configuração do servidor, alterações do esquema e modificações de dados de auditoria. Em seguida, você tem que escolher quais recursos de auditoria de segurança a usar. As características úteis incluem o seguinte::
- Auditoria de C2
- Comum de Critérios de Conformidade
- Auditoria de início de sessão
- Auditoria do SQL Server
- Rastreamento do SQL
- Extended Events
- Captura de Dados de Alteração
- DML, DDL, e Gatilhos Logon
Este artigo é para administradores de banco de dados (DBAs) que estão à procura de utilizar a auditoria de C2, Comum Critérios de Conformidade e Auditoria do SQL Server. Não vamos olhar para quaisquer ferramentas de auditoria de terceiros, embora possam ser de grande ajuda, especialmente para ambientes maiores e em indústrias regulamentadas.
habilitando a auditoria C2 e a conformidade com critérios comuns
se você não estiver atualmente auditando seu servidor SQL, o lugar mais fácil de iniciar é habilitando a auditoria C2. A auditoria C2 é um padrão internacionalmente aceito que pode ser ativado no servidor SQL. Ele audita eventos como logins de usuário, procedimentos armazenados, e a criação e remoção de objetos. Mas é tudo ou nada — você não pode escolher o que ele audita, e ele pode gerar um monte de dados. Além disso, a auditoria C2 está em Modo de manutenção, por isso provavelmente será removido em uma versão futura do servidor SQL.
a conformidade com critérios comuns é um padrão mais recente que substitui a auditoria C2. Foi desenvolvido pela União Europeia e pode ser ativado nas edições Enterprise e Datacenter do servidor SQL 2008 R2 e mais tarde. Mas pode causar problemas de desempenho se o seu servidor não for suficientemente específico para lidar com a sobrecarga extra.
aqui está como permitir a auditoria C2 no servidor SQL 2017:
1. Abra o Estúdio de gestão de servidores SQL.
2. Conecte-se ao motor de banco de dados para o qual você deseja permitir a auditoria C2. Na janela de ligação ao servidor, certifique-se de que o tipo de servidor está configurado para o motor de banco de dados e, em seguida, clique em ligar.
3. No painel do Explorador de objectos à esquerda, carregue com o botão direito na sua instância do servidor de SQL no topo e seleccione as propriedades do menu.
4. Na janela de Propriedades do servidor, carregue em segurança em Seleccionar uma página.
5. Na página de segurança, você pode configurar o monitoramento de login. Por padrão, apenas as logins falhadas são gravadas. Alternativamente, você pode auditar apenas logins bem sucedidos, ou ambos logins mal-sucedidos e bem-sucedidos.
Figura 1. Configurar a auditoria de acesso
6. Verificar activar o rastreio de auditoria C2 em Opções.
7. Se você quiser permitir a auditoria de conformidade com critérios comuns C2, verifique permitir a conformidade com critérios comuns.
a conformidade com critérios comuns (CC) é um padrão flexível que pode ser implementado com diferentes níveis de garantia de avaliação (EALs), de 1 a 7. Os EALs superiores têm um processo de verificação mais exigente. Quando você verificar a conformidade de critérios comuns no servidor SQL, você está ativando CC Compliance EAL1. É possível configurar manualmente o servidor SQL para EAL4+.
activar CC Compliance altera o comportamento do servidor SQL. Por exemplo, permissões de negação de nível de tabela terão precedência sobre as subvenções de nível de coluna, e logins bem sucedidos e fracassados serão auditados. Além disso, proteção de informação Residual (RIP) está habilitado, que escreve alocações de memória com um padrão de bits antes de serem usados por um novo recurso.
8. clicar.
9. Com base nas opções seleccionadas, poderá ser-lhe pedido para reiniciar o servidor de SQL. Se receber esta mensagem, carregue em OK na janela de aviso. Se você ativou a conformidade de critérios comuns C2, reinicie o servidor. Caso contrário, carregue com o botão direito na sua instância do servidor SQL no Object Explorer de novo e seleccione reiniciar do menu. Na janela de aviso, carregue em Sim para confirmar se deseja reiniciar o servidor de SQL.
activar a auditoria do servidor SQL
a auditoria do servidor SQL pode ser activada em vez da auditoria C2; você também pode optar por activar ambas. Os objetos de auditoria do servidor SQL podem ser configurados para coletar eventos ao nível do servidor ou ao nível da base de dados do servidor SQL.
Create Server Audit Object
Let’s create a server-level SQL Server audit object:
1. No painel do Object Explorer à esquerda, expandir a segurança.
2. Carregue com o botão direito nas auditorias e seleccione Nova auditoria… no menu. Isto irá criar um novo objecto de auditoria ao servidor SQL para a auditoria ao nível do servidor.
3. Na janela de auditoria Create, dê às definições de auditoria um nome no nome da auditoria
4. Indique o que deve acontecer se a auditoria do servidor SQL falhar usando a falha no Registo de auditoria, você pode escolher Continuar ou optar por desligar o servidor ou parar as operações da base de dados que são auditadas. Se você selecionar operação falha, as operações de banco de dados que não são auditadas continuarão a funcionar.
Figure 2. A criar um objecto de auditoria ao servidor SQL ao nível do servidor
5. No menu destino de auditoria, você pode optar por escrever a trilha de auditoria SQL em um arquivo ou para auditar eventos no registro de segurança do Windows ou no registro de eventos da aplicação. Se você escolher um arquivo, você deve especificar um caminho para o arquivo.
Note que se quiser escrever no registo de eventos de segurança do Windows, o servidor de SQL terá de ter permissão. Por uma questão de simplicidade, selecione o registro de eventos da aplicação. Além disso, você pode incluir um filtro como parte do objeto de auditoria para fornecer um conjunto Estreito de resultados; os filtros devem ser escritos em Transact-SQL (T-SQL).
6. clicar.
7. Agora você vai encontrar a nova configuração de auditoria no Object Explorer abaixo de auditorias. Carregue com o botão direito na nova configuração da auditoria e seleccione Activar a auditoria no menu.
8. Carregue em Fechar na janela de activar a auditoria.
Create Database Audit Object
To create a SQL Server audit object for database-level audit, the process is a little different and you need to create at least one server-level audit object first.
1. Expandir as bases de dados no Object Explorer e expandir a base de dados na qual você deseja configurar a auditoria.
2. Expande a pasta de segurança, carregue com o botão direito nas especificações de auditoria da Base de dados e seleccione a nova especificação de auditoria da Base de dados… do menu.
Figure 3. Criar uma especificação de auditoria ao servidor para a auditoria ao nível da base de dados
3. Na janela de Propriedades sob as acções, use os menus da lista para configurar um ou mais tipos de acções de auditoria, seleccionando as declarações que deseja auditar (como apagar ou inserir), a classe de objectos em que a acção é executada, e assim por diante.
4. Quando terminar, carregue em OK e active o objecto de auditoria, Carregando com o botão direito nele e seleccionando activar a especificação de auditoria da Base de dados.
Vision SQL Server Audit Logs
C2 Audit SQL Server audit logs are stored in the default data directory of the SQL Server instance. Cada arquivo de log pode ser um máximo de 200 megabytes. Um novo ficheiro é criado automaticamente quando o limite é atingido.
a native solution that is recommended to view SQL Server audit logs called Log File Viewer. Para a utilizar, tome as seguintes medidas:
1. In SQL Server Management Studio, in The Object Explorer panel, expand Security and
2. Carregue com o botão direito no objecto de auditoria que deseja ver e seleccione Ver os registos de auditoria do menu.
3. No Visualizador de arquivos de Log, os registros serão exibidos no lado direito. Independentemente de os registos serem escritos num ficheiro ou no Registo de Eventos do Windows, O Visualizador de Ficheiros de registo irá mostrar os registos.
4. No topo do Visualizador de Ficheiros de registo, poderá carregar no filtro para personalizar os itens de registo que são apresentados. Os registos de ficheiros do servidor SQL são gravados .o formato sqlaudit e não é legível, por isso o Log File Explorer permite-lhe carregar em Exportar para gravar os registos numa vírgula delimitada .formato do ficheiro de Registo.
Figure 4. A rever o registo de auditoria do servidor de SQL no Visualizador de Ficheiros de Registo
consultor de TI e autor especializado em tecnologias de gestão e segurança. Russell tem mais de 15 anos de experiência nele, ele escreveu um livro sobre Segurança do Windows, e ele co-autor de um texto para a série oficial de curso acadêmico da Microsoft (MOAC).
