Écrire des événements d’audit SQL Server dans le journal de sécurité

S’applique à :SQL Server - Windows uniquement

Dans un environnement extrêmement sécurisé, le journal de sécurité Windows est l'emplacement approprié pour consigner des événements d'accès aux objets. D'autres emplacements d'audit sont pris en charge mais ils sont plus exposés au risque de falsification.

Il existe trois exigences clés pour écrire des audits de serveur SQL Server dans le journal de sécurité Windows :

• Le paramètre Auditer l'accès aux objets doit être configuré pour capturer les événements. L’outil de stratégie d’audit (auditpol.exe) expose différents paramètres de sous-stratégie dans la catégorie d’accès aux objets d’audit. Pour permettre à SQL Server d’auditer l’accès aux objets, configurez le paramètre généré par l’application.

• Le compte sous lequel le service SQL Server s’exécute doit disposer de l’autorisation générer des audits de sécurité pour écrire dans le journal de sécurité Windows. Par défaut, les comptes Service local et Service réseau disposent de cette autorisation. Cette étape n’est pas nécessaire si SQL Server s’exécute sous l’un de ces comptes.

• Fournissez l’autorisation complète pour le compte de service SQL Server sur la ruche HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Securitydu Registre.

  Important

  Une modification incorrecte du Registre peut sérieusement endommager votre système. Avant d'apporter des modifications au Registre, nous vous recommandons de sauvegarder les données importantes qui se trouvent sur l'ordinateur.

Limitations et restrictions

• Les paramètres locaux du journal de sécurité peuvent être remplacés par une stratégie de domaine. Dans ce cas, la stratégie de domaine peut remplacer le paramètre de sous-catégorie (auditpol /get /subcategory:"application generated"). SQL Server n’a aucun moyen de détecter que les événements qu’il essaie d’audit ne seront pas enregistrés.

• Les événements peuvent être perdus si la stratégie d’audit est configurée de manière incorrecte. La stratégie d’audit Windows peut affecter l’audit SQL Server s’il est configuré pour écrire dans le journal de sécurité Windows. En général, le journal de sécurité Windows est configuré pour remplacer les événements les plus anciens. Les événements les plus récents sont ainsi préservés. Toutefois, si le journal de sécurité Windows n’est pas défini pour remplacer les événements plus anciens, si le journal de sécurité est plein, le système émet l’événement Windows 1104 (le journal est complet). À ce stade :

  • Aucun autre événement de sécurité n’est enregistré

  • SQL Server ne peut pas détecter que le système n’est pas en mesure d’enregistrer les événements dans le journal de sécurité, ce qui entraîne une perte potentielle d’événements d’audit

  • Une fois le journal de sécurité reconfiguré par l'administrateur, le comportement de consignation retourne à la normale.

• Les enregistrements d’audit SQL Server contiennent beaucoup plus de données que les entrées régulières du journal des événements Windows. En outre, selon la configuration de la spécification d’audit, SQL Server peut générer plusieurs milliers d’enregistrements d’audit sur une courte période (milliers par seconde). Dans les périodes de charge élevée, cela peut entraîner des conditions défavorables si les enregistrements d’audit sont écrits dans le journal des applications ou dans le journal de sécurité.

  Ces conditions défavorables peuvent inclure :

  • Vélo rapide du journal des événements (les événements sont remplacés très rapidement lorsque le fichier journal atteint sa limite de taille)

  • D’autres applications ou services lus dans le journal des événements Windows peuvent être affectés négativement

  • Le journal des événements ciblés peut être inutilisable par les administrateurs en raison d’événements remplacés si rapidement

  Étapes que les administrateurs peuvent prendre pour atténuer ces conditions défavorables :

  1. Augmentez la taille du journal cible (4 Go n’est pas déraisonnable lorsque la spécification d’audit est très détaillée).

  2. Réduisez le nombre d’événements audités.

  3. Affichez les enregistrements d’audit dans un fichier au lieu des journaux d’événements.

Autorisations

Vous devez être un administrateur Windows pour configurer ces paramètres.

Configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide de auditpol

1. Ouvrez une invite de commandes avec des autorisations d'administrateur.

   1. Dans le menu Démarrer , accédez à l’invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.

   2. Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, sélectionnez Continuer.

2. Exécutez l’instruction suivante pour activer l’audit à partir de SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable
   

3. Fermez la fenêtre d'invite de commandes.

Accordez l’autorisation générer des audits de sécurité à un compte à l’aide de secpol

1. Pour tout système d’exploitation Windows, dans le menu Démarrer , sélectionnez Exécuter.

2. Tapez secpol.msc , puis sélectionnez OK. Si la boîte de dialogue Contrôle d’accès utilisateur s’affiche, sélectionnez Continuer.

3. Dans l’outil Stratégie de sécurité locale, accédez à l’affectation des droits utilisateur des paramètres > de sécurité locaux>.

4. Dans le volet de résultats, ouvrez Générer des audits de sécurité.

5. Sous l’onglet Paramètre de sécurité local, sélectionnez Ajouter un utilisateur ou un groupe.

6. Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs ou groupes , tapez le nom du compte d’utilisateur, tel que domaine1\utilisateur1 , puis sélectionnez OK, ou sélectionnez Avancé et recherchez le compte.

7. Cliquez sur OK.

8. Fermez l'outil Stratégie de sécurité locale.

9. Redémarrez SQL Server pour activer ce paramètre.

Configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide de secpol

1. Si le système d’exploitation est antérieur à Windows Vista ou Windows Server 2008, dans le menu Démarrer , sélectionnez Exécuter.

2. Tapez secpol.msc , puis sélectionnez OK. Si la boîte de dialogue Contrôle d’accès utilisateur s’affiche, sélectionnez Continuer.

3. Dans l’outil Stratégie de sécurité locale, accédez à la stratégie d’audit des stratégies > locales des paramètres > de sécurité.

4. Dans le volet de résultats, ouvrez l’accès à l’objet Audit.

5. Sous l'onglet Paramètre de sécurité locale , dans la zone Auditer les tentatives des types suivants , sélectionnez Succès et Échec.

6. Cliquez sur OK.

7. Fermez l'outil Stratégie de sécurité locale.

Voir aussi

• SQL Server Audit (moteur de base de données)