auditarea Microsoft SQL Server este esențială pentru identificarea problemelor de securitate și a încălcărilor. În plus, auditarea SQL Server este o cerință pentru respectarea reglementărilor precum PCI DSS și HIPAA.
primul pas este de a defini ce să auditeze. De exemplu, puteți audita datele de conectare ale utilizatorilor, configurația serverului, modificările schemei și modificările datelor de audit. Apoi, alegeți ce caracteristici de audit de securitate să utilizați. Caracteristicile utile includ următoarele:
- C2 audit
- criterii comune de conformitate
- autentificare audit
- SQL Server audit
- SQL urmă
- evenimente extinse
- schimbare de captare de date
- DML, DDL, și log on declanșează
acest articol este pentru administratorii de baze de date (dBA) care sunt în căutarea la utilizarea C2 audit, criterii comune de Conformitate și SQL Server audit. Nu ne vom uita la instrumente de audit terțe, deși acestea pot fi de mare ajutor, în special pentru medii mai mari și în industriile reglementate.
activarea auditului C2 și a conformității criteriilor comune
dacă nu auditați în prezent serverul SQL, cel mai simplu loc pentru a începe este activarea auditului C2. Auditul C2 este un standard acceptat la nivel internațional care poate fi activat în SQL Server. Auditează evenimente precum autentificările utilizatorilor, procedurile stocate și crearea și eliminarea obiectelor. Dar este totul sau nimic — nu puteți alege ce auditează it și poate genera o mulțime de date. În plus, auditul C2 este în modul de întreținere, deci va fi probabil eliminat într-o versiune viitoare a SQL Server.
conformitatea criteriilor comune este un standard mai nou care înlocuiește auditul C2. Acesta a fost dezvoltat de Uniunea Europeană și poate fi activat în edițiile Enterprise și Datacenter de SQL Server 2008 R2 și mai târziu. Dar poate provoca probleme de performanță dacă serverul dvs. nu este suficient de spec ‘ d pentru a face față cheltuielilor suplimentare.
Iată cum să activați auditul C2 în SQL Server 2017:
1. Deschideți SQL Server Management Studio.
2. Conectați-vă la motorul bazei de date pentru care doriți să activați auditul C2. În Conectare la server dialog, asigurați-vă că tipul de Server este setat la motor de baze de date și apoi faceți clic pe Conectare.
3. În Panoul Object Explorer din stânga, faceți clic dreapta pe instanța SQL Server din partea de sus și selectați Proprietăți din meniu.
4. În fereastra Proprietăți Server, faceți clic pe Securitate sub Selectați o pagină.
5. Pe pagina de securitate, puteți configura monitorizarea autentificării. În mod implicit, sunt înregistrate numai autentificări eșuate. Alternativ, puteți audita doar autentificări reușite sau ambele autentificări eșuate și reușite.
Figura 1. Configurarea auditului de acces
6. Verificați activați urmărirea auditului C2 sub Opțiuni.
7. Dacă doriți să activați C2 Common Criteria Compliance audit, verificați Enable Common Criteria compliance.
conformitatea cu criteriile comune (CC) este un standard flexibil care poate fi implementat cu diferite niveluri de asigurare a evaluării (EAL), de la 1 la 7. EAL-urile mai mari au un proces de verificare mai solicitant. Când verificați Enable Common Criteria compliance în SQL Server, activați CC Compliance EAL1. Este posibil să configurați manual SQL Server pentru eal4+.
activarea conformității CC modifică comportamentul SQL Server. De exemplu, permisiunile de refuzare la nivel de tabel vor avea prioritate față de Granturile la nivel de coloană și vor fi auditate atât autentificările reușite, cât și cele eșuate. În plus, este activată protecția informațiilor reziduale (RIP), care supra-scrie alocările de memorie cu un model de biți înainte de a fi utilizate de o nouă resursă.
8. Faceți clic pe OK.
9. Pe baza opțiunilor selectate, vi se poate solicita să reporniți SQL Server. Dacă primiți acest mesaj, faceți clic pe OK în dialogul de avertizare. Dacă ați activat C2 Common Criteria Compliance, reporniți serverul. În caz contrar, faceți clic dreapta pe instanța SQL Server din Object Explorer din nou și selectați Restart din meniu. În caseta de dialog de avertizare, faceți clic pe Da pentru a confirma că doriți să reporniți SQL Server.
activarea auditului SQL Server
auditul SQL Server poate fi activat în locul auditului C2; de asemenea, puteți alege să activați ambele. SQL Server Audit obiecte pot fi configurate pentru a colecta evenimente la nivel de server sau nivelul bazei de date SQL Server.
creare obiect de Audit Server
să creăm un obiect de audit SQL Server la nivel de server:
1. În Panoul explorator de obiecte din stânga, extindeți securitate.
2. Faceți clic dreapta pe audituri și selectați Audit nou … din meniu. Aceasta va crea un nou obiect de audit SQL Server pentru auditarea la nivel de server.
3. În fereastra Creare Audit, dați setărilor audit un nume în numele Audit
4. Specificați ce ar trebui să se întâmple în cazul în care SQL Server audit eșuează folosind pe Audit Log Failure puteți alege continuare sau alegeți să închideți serverul sau opri operațiunile de bază de date care sunt auditate. Dacă selectați Fail operation, operațiunile bazei de date care nu sunt auditate vor continua să funcționeze.
Figura 2. Crearea unui obiect de audit SQL Server la nivel de server
5. În meniul derulant destinație Audit, puteți alege să scrieți traseul de audit SQL într-un fișier sau să auditați evenimente în Jurnalul de securitate Windows sau jurnalul de evenimente al aplicației. Dacă alegeți un fișier, trebuie să specificați o cale pentru fișier.
rețineți că, dacă doriți să scrieți în Jurnalul de evenimente de securitate Windows, SQL Server va trebui să primească permisiunea. Din motive de simplitate, selectați Jurnalul de evenimente al aplicației. În plus, puteți include un filtru ca parte a obiectului de audit pentru a furniza un set restrâns de rezultate; filtrele trebuie să fie scrise în Transact-SQL (T-SQL).
6. Faceți clic pe OK.
7. Acum veți găsi noua configurație de audit în Object Explorer mai jos audituri. Faceți clic dreapta pe noua configurație de audit și selectați Activare Audit din meniu.
8. Faceți clic pe închidere în dialogul activare Audit.
creare obiect de Audit al bazei de date
pentru a crea un obiect de audit SQL Server pentru auditarea la nivel de bază de date, procesul este puțin diferit și trebuie să creați mai întâi cel puțin un obiect de audit la nivel de server.
1. Extindeți bazele de date în Object Explorer și extindeți baza de date pe care doriți să configurați auditarea.
2. Extindeți folderul securitate, faceți clic dreapta pe Specificații Audit baze de date și selectați New Database Audit Specification… din meniu.
Figura 3. Crearea unei specificații de audit server pentru auditul la nivel de bază de date
3. În fereastra Proprietăți de sub acțiuni, utilizați meniurile derulante pentru a configura unul sau mai multe tipuri de acțiuni de audit, selectând declarațiile pe care doriți să le auditați (cum ar fi ștergeți sau inserați), clasa de obiecte pe care se efectuează acțiunea și așa mai departe.
4. Când ați terminat, faceți clic pe OK și apoi activați obiectul de audit făcând clic dreapta pe acesta și selectând activați specificația auditului bazei de date.
Vizualizarea jurnalelor de audit SQL Server
C2 audit jurnalele de audit SQL Server sunt stocate în directorul de date implicit al instanței SQL Server. Fiecare fișier jurnal poate fi de maximum 200 megaocteți. Un nou fișier este creat automat la atingerea limitei.
o soluție nativă care este recomandat pentru a vizualiza jurnalele de audit SQL Server numit Log File Viewer. Pentru a-l utiliza, urmați pașii următori:
1. În SQL Server Management Studio, în Panoul Object Explorer, extindeți securitate și
2. Faceți clic dreapta pe obiectul de audit pe care doriți să îl vizualizați și selectați Vizualizare jurnale de Audit din meniu.
3. În vizualizatorul de fișiere jurnal, jurnalele vor fi afișate în partea dreaptă. Indiferent dacă jurnalele sunt scrise într-un fișier sau în Jurnalul de evenimente Windows, vizualizatorul de fișiere jurnal va afișa jurnalele.
4. În partea de sus a Vizualizatorului de fișiere jurnal, puteți face clic pe filtru pentru a personaliza intrările de jurnal afișate. Jurnalele de fișiere SQL Server sunt salvate în .format sqlaudit și nu pot fi citite, astfel încât Log File Explorer vă permite să faceți clic pe Export pentru a salva jurnalele la o virgulă delimitată .formatul fișierului jurnal.
Figura 4. Revizuirea jurnalizării auditului SQL Server în vizualizatorul de fișiere jurnal
consultant IT și autor specializat în tehnologii de management și securitate. Russell are mai mult de 15 ani de experiență în IT, a scris o carte despre securitatea Windows și a coautorat un text pentru seria oficială de cursuri academice (MOAC) a Microsoft.
