La auditoría de Microsoft SQL Server es fundamental para identificar problemas e infracciones de seguridad. Además, la auditoría de SQL Server es un requisito para cumplir con regulaciones como PCI DSS e HIPAA.
El primer paso es definir qué auditar. Por ejemplo, puede auditar los inicios de sesión de los usuarios, la configuración del servidor, los cambios de esquema y las modificaciones de datos de auditoría. A continuación, debe elegir qué funciones de auditoría de seguridad usar. Las características útiles incluyen las siguientes:
- Auditoría C2
- Criterios comunes de cumplimiento
- Auditoría de inicio de sesión
- Auditoría de SQL Server
- Seguimiento SQL
- Eventos extendidos
- Captura de datos de cambio
- DML, DDL y disparadores de inicio de sesión
Este artículo está dirigido a los administradores de bases de datos (DBA) que buscan usar la auditoría C2, los Criterios de cumplimiento comunes y la auditoría de SQL Server. No buscaremos herramientas de auditoría de terceros, aunque pueden ser de gran ayuda, especialmente para entornos más grandes y en industrias reguladas.
Habilitar la Auditoría de C2 y el cumplimiento de Criterios comunes
Si actualmente no está auditando su servidor SQL, el lugar más fácil para comenzar es habilitar la auditoría de C2. La auditoría C2 es un estándar internacionalmente aceptado que se puede activar en SQL Server. Audita eventos como inicios de sesión de usuarios, procedimientos almacenados y la creación y eliminación de objetos. Pero es todo o nada: no puede elegir qué auditorías de ti, y puede generar una gran cantidad de datos. Además, la auditoría de C2 está en modo de mantenimiento, por lo que es probable que se elimine en una versión futura de SQL Server.
El cumplimiento de los Criterios comunes es un estándar más nuevo que reemplaza a la auditoría C2. Fue desarrollado por la Unión Europea y se puede habilitar en las ediciones Enterprise y Datacenter de SQL Server 2008 R2 y posteriores. Pero puede causar problemas de rendimiento si su servidor no está lo suficientemente especificado para hacer frente a la sobrecarga adicional.
A continuación se explica cómo habilitar la auditoría de C2 en SQL Server 2017:
1. Abra SQL Server Management Studio.
2. Conéctese al motor de base de datos para el que desea habilitar la auditoría de C2. En el cuadro de diálogo Conectar al servidor, asegúrese de que el tipo de servidor esté establecido en Motor de base de datos y, a continuación, haga clic en Conectar.
3. En el panel Explorador de objetos de la izquierda, haga clic con el botón derecho en su instancia de SQL Server en la parte superior y seleccione Propiedades en el menú.
4. En la ventana Propiedades del servidor, haga clic en Seguridad en Seleccionar una página.
5. En la página Seguridad, puede configurar la supervisión de inicio de sesión. De forma predeterminada, solo se registran los inicios de sesión fallidos. Alternativamente, puede auditar solo inicios de sesión exitosos, o inicios de sesión fallidos y exitosos.
Figura 1. Configuración de auditoría de acceso
6. Marque Habilitar seguimiento de auditoría de C2 en Opciones.
7. Si desea habilitar la auditoría de Cumplimiento de Criterios Comunes de C2, marque Habilitar cumplimiento de Criterios comunes.
El cumplimiento de los Criterios Comunes (CC) es un estándar flexible que se puede implementar con diferentes Niveles de Garantía de Evaluación (EAL), del 1 al 7. Los EAL más altos tienen un proceso de verificación más exigente. Cuando marca Habilitar cumplimiento de criterios comunes en SQL Server, está habilitando el cumplimiento de CC EAL1. Es posible configurar SQL Server manualmente para EAL4+.
Habilitar el cumplimiento de CC cambia el comportamiento de SQL Server. Por ejemplo, los permisos de denegación a nivel de tabla tendrán prioridad sobre las concesiones a nivel de columna, y se auditarán los inicios de sesión exitosos y fallidos. Además, está habilitada la Protección de Información Residual (RIP), que sobreescribe las asignaciones de memoria con un patrón de bits antes de que sean utilizadas por un nuevo recurso.
8. Haga clic en Aceptar.
9. En función de las opciones seleccionadas, es posible que se le solicite reiniciar SQL Server. Si recibe este mensaje, haga clic en Aceptar en el cuadro de diálogo de advertencia. Si ha habilitado el cumplimiento de Criterios Comunes de C2, reinicie el servidor. De lo contrario, haga clic con el botón secundario en su instancia de SQL Server en el Explorador de objetos de nuevo y seleccione Reiniciar en el menú. En el cuadro de diálogo de advertencia, haga clic en Sí para confirmar que desea reiniciar SQL Server.
Habilitar la auditoría de SQL Server
La auditoría de SQL Server se puede habilitar en lugar de la auditoría de C2; también puede optar por habilitar ambas. Los objetos de auditoría de SQL Server se pueden configurar para recopilar eventos a nivel de servidor o de base de datos de SQL Server.
Crear objeto de auditoría de servidor
Vamos a crear un objeto de auditoría SQL Server a nivel de servidor:
1. En el panel Explorador de objetos de la izquierda, expanda Seguridad.
2. Haga clic con el botón derecho en Auditorías y seleccione Nueva auditoría from en el menú. Esto creará un nuevo objeto de auditoría de SQL Server para la auditoría a nivel de servidor.
3. En la ventana Crear auditoría, asigne un nombre a la configuración de auditoría en el nombre de auditoría
4. Especifique lo que debe suceder si falla la auditoría de SQL Server mediante el error En el registro de auditoría, puede elegir Continuar o cerrar el servidor o detener las operaciones de base de datos que se auditan. Si selecciona Operación fallida, las operaciones de base de datos que no se auditen seguirán funcionando.
Figura 2. Creación de un objeto de auditoría SQL Server a nivel de servidor
5. En el menú desplegable Destino de auditoría, puede elegir escribir la pista de auditoría SQL en un archivo o auditar eventos en el registro de seguridad de Windows o el registro de eventos de aplicaciones. Si elige un archivo, debe especificar una ruta de acceso para el archivo.
Tenga en cuenta que si desea escribir en el registro de eventos de seguridad de Windows, se deberá dar permiso a SQL Server. En aras de la simplicidad, seleccione el registro de eventos de la aplicación. Además, puede incluir un filtro como parte del objeto de auditoría para proporcionar un conjunto limitado de resultados; los filtros deben escribirse en Transact-SQL (T-SQL).
6. Haga clic en Aceptar.
7. Ahora encontrará la nueva configuración de auditoría en el Explorador de objetos debajo de Auditorías. Haga clic con el botón secundario en la nueva configuración de auditoría y seleccione Habilitar auditoría en el menú.
8. Haga clic en Cerrar en el cuadro de diálogo Habilitar auditoría.
Crear objeto de auditoría de base de datos
Para crear un objeto de auditoría de SQL Server para la auditoría a nivel de base de datos, el proceso es un poco diferente y primero debe crear al menos un objeto de auditoría a nivel de servidor.
1. Expanda las bases de datos en el Explorador de objetos y expanda la base de datos en la que desea configurar la auditoría.
2. Expanda la carpeta Seguridad, haga clic con el botón derecho en Especificaciones de auditoría de base de datos y seleccione Nueva Especificación de auditoría de base de datos from en el menú.
Figura 3. Creación de una especificación de auditoría de servidor para auditorías a nivel de base de datos
3. En la ventana Propiedades, en Acciones, use los menús desplegables para configurar uno o más tipos de acción de auditoría, seleccionando las instrucciones que desea auditar (como ELIMINAR o INSERTAR), la clase de objeto en la que se realiza la acción, etc.
4. Cuando haya terminado, haga clic en Aceptar y, a continuación, habilite el objeto de auditoría haciendo clic con el botón secundario en él y seleccionando Habilitar Especificación de auditoría de base de datos.
Visualización de registros de auditoría de SQL Server
Auditoría C2 Los registros de auditoría de SQL Server se almacenan en el directorio de datos predeterminado de la instancia de SQL Server. Cada archivo de registro puede tener un máximo de 200 megabytes. Se crea automáticamente un nuevo archivo cuando se alcanza el límite.
Una solución nativa que se recomienda para ver los registros de auditoría de SQL Server llamada Visor de archivos de registro. Para usarlo, siga los siguientes pasos:
1. En SQL Server Management Studio, en el panel Explorador de objetos, expanda Seguridad y
2. Haga clic con el botón secundario en el objeto de auditoría que desea ver y seleccione Ver registros de auditoría en el menú.
3. En el Visor de archivos de registro, los registros se mostrarán en el lado derecho. Independientemente de si los registros se escriben en un archivo o en el Registro de eventos de Windows, el Visor de archivos de registro mostrará los registros.
4. En la parte superior del Visor de archivos de registro, puede hacer clic en Filtrar para personalizar las entradas de registro que se muestran. Los registros de archivos de SQL Server se guardan.sqlaudit y no son legibles, por lo que el Explorador de archivos de registro le permite hacer clic en Exportar para guardar los registros en un espacio delimitado por comas .formato de archivo de registro.
Figura 4. Revisión del registro de auditoría de SQL Server en el Visor de archivos de registro
Consultor de TI y autor especializado en tecnologías de gestión y seguridad. Russell tiene más de 15 años de experiencia en TI, ha escrito un libro sobre seguridad de Windows y es coautor de un texto para la serie de Cursos Académicos Oficiales de Microsoft (MOAC).
