• Artigo

Como gravar eventos de auditoria do servidor no log de segurança

em um ambiente de alta segurança, o log de Segurança do Windows é o local apropriado para gravar eventos que registram o acesso a objetos. Outros locais de auditoria têm suporte, mas estão mais sujeitos a falsificações.

Há dois requisitos principais para gravar auditorias do servidor SQL Server no log de Segurança do Windows:

  • É necessário configurar o acesso ao objeto de auditoria para capturar os eventos. O melhor modo de fazer isso varia, de acordo com o seu sistema operacional.

    • No Windows Vista e no Windows Server 2008, use a ferramenta de diretiva de auditoria (auditpol.exe). O programa de diretiva de auditoria expõe uma variedade de configurações de subdiretivas na categoria auditar acesso ao objeto. Para permitir que o SQL Server audite o acesso a objetos, defina a configuração de aplicativo gerado.

    • Para as versões anteriores do Windows, a ferramenta de diretiva de auditoria não está disponível. Use o snap-in de diretiva de segurança (secpol.msc). Quando disponível, a diretiva de auditoria é preferencial porque você pode definir configurações mais detalhadas.

  • A conta que o serviço SQL Server está executando deve ter a permissão gerar auditorias de segurança para gravar no log de Segurança do Windows. Por padrão, as contas LOCAL SERVICE e NETWORK SERVICE têm essa permissão. Esta etapa não será necessária se o SQL Server estiver sendo executado em uma dessas contas.

A diretiva de auditoria do Windows poderá afetar a auditoria do SQL Server se estiver configurada para gravar no log de segurança do Windows, com a possibilidade de se perder eventos se a diretiva de auditoria não estiver configurada corretamente. Normalmente, o log de segurança do Windows é definido para substituir os eventos mais antigos. Isso preserva os eventos mais recentes. No entanto, se o log de segurança do Windows não estiver definido para substituir eventos mais antigos, quando ele estiver cheio, o sistema emitirá o evento 1104 do Windows (O log está cheio). Nesse momento:

  • Nenhum outro evento de segurança será registrado

  • O SQL Server não conseguirá detectar que o sistema não pode registrar os eventos no log de segurança, o que resultará na possível perda de eventos de auditoria

  • Depois que o administrador do computador corrigir o log de segurança, o comportamento de log voltará ao normal.

Os administradores do computador com o SQL Server devem entender que as configurações locais do log de segurança podem ser substituídas por uma diretiva de domínio. Nesse caso, a diretiva de domínio poderá substituir a configuração de subcategoria (auditpol /get /subcategory:"application generated"). Isso pode afetar a capacidade do SQL Server de registrar eventos em log, sem que haja uma maneira de detectar que os eventos que o SQL Server está tentando auditar não serão registrados.

Você deve ser um administrador do Windows para definir essas configurações.

Para definir a configuração de acesso ao objeto de auditoria no Windows usando auditpol

  1. Se o sistema operacional for Windows Vista ou Windows Server 2008, abra um prompt de comando com permissões administrativas.

    1. No menu Iniciar , aponte para Todos os Programas, para Acessórios, clique com o botão direito do mouse no Prompt de Comando e clique em Executar como administrador.

    2. Se a caixa de diálogo Controle de Conta de Usuário for aberta, clique em Continuar.

  2. Execute a instrução a seguir para habilitar a auditoria de SQL Server.

    auditpol /set /subcategory:"application generated" /success:enable /failure:enable

  3. Feche a janela do prompt de comando.

    Essa configuração tem efeito imediatamente.

Para definir a configuração de acesso ao objeto de auditoria no Windows usando secpol

  1. Se o sistema operacional for anterior ao Windows Vista ou Windows Server 2008, no menu Iniciar, clique em Executar.

  2. Digite secpol.msc e clique em OK. Se a caixa de diálogo Controle de Acesso de Usuário aparecer, clique em Continuar.

  3. Na ferramenta Diretiva de Segurança Local, expanda Configurações de segurança, Diretivas Locais e clique em Diretiva de Auditoria.

  4. No painel de resultados, clique duas vezes em Auditar acesso ao objeto.

  5. Na guia Configuração de Segurança Local, na área Fazer a auditoria dessas tentativas, selecione Êxito e Falha.

  6. Clique em OK.

  7. Feche a ferramenta Diretiva de Segurança.

    Essa configuração tem efeito imediatamente.

Para conceder a permissão gerar auditorias de segurança a uma conta usando secpol

  1. Para qualquer sistema operacional Windows, no menu Iniciar, clique em Executar.

  2. Digite secpol.msc e clique em OK. Se a caixa de diálogo Controle de Acesso de Usuário aparecer, clique em Continuar.

  3. Na ferramenta Diretiva de Segurança Local, expanda Configurações de Segurança, Diretivas Locais e clique em Atribuição de Direitos de Usuário.

  4. No painel de resultados, clique duas vezes em Gerar auditoria de segurança.

  5. Na guia Configuração de Segurança Local, clique em Adicionar Usuário ou Grupo.

  6. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, digite o nome da conta de usuário, como domínio1\usuário1 e clique em OK ou em Avançado e procure a conta.

  7. Clique em OK.

  8. Feche a ferramenta Diretiva de Segurança.

    Essa configuração tem efeito quando o SQL Server é reiniciado.