Share via

  • Article

Procédure : écrire des événements d'audit du serveur dans le journal de sécurité

Dans un environnement extrêmement sécurisé, le journal de sécurité Windows est l'emplacement approprié pour consigner des événements d'accès aux objets. D'autres emplacements d'audit sont pris en charge mais ils sont plus exposés au risque de falsification.

L'écriture des audits du serveur SQL Server dans le journal de sécurité Windows est soumise à deux conditions clés :

  • Le paramètre Auditer l'accès aux objets doit être configuré pour capturer les événements. La meilleure manière de procéder varie selon votre système d'exploitation.

    • Dans Windows Vista et Windows Server 2008, utilisez l'outil de stratégie d'audit (auditpol.exe). Le programme de stratégie d'audit expose différents paramètres de sous-stratégies dans la catégorie Auditer l'accès aux objets. Pour permettre à SQL Server d'auditer l'accès aux objets, configurez le paramètre généré par une application.

    • L'outil de stratégie d'audit n'est pas disponible dans les versions précédentes de Windows. Utilisez à la place le composant logiciel enfichable de stratégie de sécurité (secpol.msc). Lorsqu'elle est disponible, il est préférable de recourir à la stratégie d'audit car elle vous permet de configurer des paramètres plus précis.

  • Le compte sous lequel le service SQL Server est exécuté doit posséder l'autorisation Générer des audits de sécurité pour écrire dans le journal de sécurité Windows. Par défaut, les comptes Service local et Service réseau disposent de cette autorisation. Cette étape n'est pas requise si SQL Server s'exécute sous l'un de ces comptes.

La stratégie d'audit Windows peut affecter l'audit SQL Server s'il est configuré pour écrire dans le journal de sécurité Windows, avec la possibilité de perdre des événements si la stratégie d'audit est configurée incorrectement. En général, le journal de sécurité Windows est configuré pour remplacer les événements les plus anciens. Les événements les plus récents sont ainsi préservés. Toutefois, si le journal de sécurité Windows n'est pas configuré pour remplacer les événements les plus anciens, et si le journal de sécurité est plein, le système publie alors l'événement Windows 1104 (le journal est plein). À ce stade :

  • Plus aucun événement de sécurité supplémentaire n'est consigné

  • SQL Server ne sera pas en mesure de détecter que le système n'est pas capable d'enregistrer les événements dans le journal de sécurité, provoquant ainsi la perte potentielle d'événements d'audit

  • Une fois le journal de sécurité reconfiguré par l'administrateur, le comportement de consignation retourne à la normale.

Les administrateurs de l'ordinateur SQL Server doivent savoir que les paramètres locaux du journal de sécurité peuvent être remplacés par une stratégie de domaine. Dans ce cas, la stratégie de domaine peut remplacer le paramètre de sous-catégorie (auditpol /get /subcategory:"application générée". Cela peut affecter la capacité de SQL Server à consigner des événements sans avoir aucun moyen de détecter que les événements que SQL Server essaie d'auditer ne vont pas être consignés.

Vous devez être un administrateur Windows pour configurer ces paramètres.

Pour configurer le paramètre Auditer l'accès aux objets dans Windows à l'aide de l'outil auditpol

  1. Si le système d'exploitation est Windows Vista ou Windows Server 2008, ouvrez une invite de commandes avec des autorisations administratives.

    1. Dans le menu Démarrer, pointez sur Tous les programmes, sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.

    2. Si la boîte de dialogue Contrôle de compte d'utilisateur s'ouvre, cliquez sur Continuer.

  2. Exécutez l'instruction suivante pour activer l'audit à partir de SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Fermez la fenêtre d'invite de commandes.

    Ce paramètre prend effet immédiatement.

Pour configurer le paramètre Auditer l'accès aux objets dans Windows à l'aide de l'outil secpol

  1. Si la version du système d'exploitation est antérieure à Windows Vista ou Windows Server 2008, dans le menu Démarrer, cliquez sur Exécuter.

  2. Tapez secpol.msc, puis cliquez sur OK. Si la boîte de dialogue Contrôle d'accès d'utilisateur s'affiche, cliquez sur Continuer.

  3. Dans l'outil Stratégie de sécurité locale, développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Stratégie d'audit.

  4. Dans le volet de résultats, double-cliquez sur Auditer l'accès aux objets.

  5. Sous l'onglet Paramètre de sécurité locale, dans la zone Auditer les tentatives des types suivants, sélectionnez Succès et Échec.

  6. Cliquez sur OK.

  7. Fermez l'outil Stratégie de sécurité locale.

    Ce paramètre prend effet immédiatement.

Pour octroyer l'autorisation Générer des audits de sécurité à un compte à l'aide de l'outil secpol

  1. Sur un système d'exploitation Windows, dans le menu Démarrer, cliquez sur Exécuter.

  2. Tapez secpol.msc, puis cliquez sur OK. Si la boîte de dialogue Contrôle d'accès d'utilisateur s'affiche, cliquez sur Continuer.

  3. Dans l'outil Stratégie de sécurité locale, développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

  4. Dans le volet de résultats, double-cliquez sur Générer des audits de sécurité.

  5. Sous l'onglet Paramètre de sécurité locale, cliquez sur Ajouter un utilisateur ou un groupe.

  6. Dans la boîte de dialogue Sélectionnez les utilisateurs, les ordinateurs ou les groupes, tapez le nom du compte d'utilisateur, tel que domaine1\utilisateur1 , puis cliquez sur OK, ou cliquez sur Avancé et recherchez le compte.

  7. Cliquez sur OK.

  8. Fermez l'outil Stratégie de sécurité locale.

    Ce paramètre prend effet au redémarrage de SQL Server.