Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans un environnement haute sécurité, le journal de sécurité Windows est l’emplacement approprié pour écrire des événements qui enregistrent l’accès aux objets. D’autres emplacements d’audit sont soutenus, mais sont plus vulnérables à la manipulation.
Il existe deux conditions clés pour écrire des audits de serveur SQL Server dans le journal de sécurité Windows :
Le paramètre d’accès aux objets d’audit doit être configuré pour capturer les événements. L’outil de stratégie d’audit (
auditpol.exe) expose divers paramètres de sous-stratégies dans la catégorie d’accès aux objets d’audit . Pour permettre à SQL Server d’auditer l’accès aux objets, configurez le paramètre généré par l’application .Le compte sous lequel le service SQL Server s’exécute doit disposer de l’autorisation générer des audits de sécurité pour écrire dans le journal de sécurité Windows. Par défaut, le SERVICE LOCAL et les comptes NETWORK SERVICE disposent de cette autorisation. Cette étape n’est pas nécessaire si SQL Server s’exécute sous l’un de ces comptes.
La stratégie d’audit Windows peut affecter l’audit SQL Server s’il est configuré pour écrire dans le journal de sécurité Windows, avec le risque de perdre des événements si la stratégie d’audit est incorrectement configurée. En règle générale, le journal de sécurité Windows est défini pour remplacer les anciens événements. Cela conserve les événements les plus récents. Toutefois, si le journal de sécurité Windows n’est pas défini pour remplacer les anciens événements, si le journal de sécurité est plein, le système émet l’événement Windows 1104 (le journal est complet). À ce stade :
Aucun autre événement de sécurité n’est enregistré
SQL Server ne pourra pas détecter que le système n’est pas en mesure d’enregistrer les événements dans le journal de sécurité, ce qui entraîne une perte potentielle d’événements d’audit
Une fois que l’administrateur box a corrigé le journal de sécurité, le comportement de journalisation revient à la normale.
Dans cette rubrique
Avant de commencer :
Pour écrire des événements d’audit SQL Server dans le journal de sécurité :
Configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide d’auditpol
Configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide de secpol
Accorder l’autorisation générer des audits de sécurité à un compte à l’aide de secpol
Avant de commencer
Limitations et restrictions
Les administrateurs de l’ordinateur SQL Server doivent comprendre que les paramètres locaux du journal de sécurité peuvent être remplacés par une stratégie de domaine. Dans ce cas, la stratégie de domaine peut remplacer le paramètre de sous-catégorie (auditpol /get /subcategory :"application générée »). Cela peut affecter la possibilité de journaliser les événements sans avoir aucun moyen de détecter que les événements que SQL Server tente d’audit ne seront pas enregistrés.
Sécurité
Autorisations
Vous devez être administrateur Windows pour configurer ces paramètres.
Pour configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide d’auditpol
Ouvrez une invite de commandes avec des autorisations d’administration.
Dans le menu Démarrer , pointez sur Tous les programmes, pointez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre , cliquez sur Continuer.
Exécutez l’instruction suivante pour activer l’audit à partir de SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enableFermez la fenêtre d'invite de commandes.
Pour octroyer l'autorisation pour générer des audits de sécurité à un compte à l'aide de l'outil secpol
Pour tout système d’exploitation Windows, dans le menu Démarrer , cliquez sur Exécuter.
Tapez secpol.msc , puis cliquez sur OK. Si la boîte de dialogue Contrôle d’accès utilisateur s’affiche, cliquez sur Continuer.
Dans l’outil Stratégie de sécurité locale, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
Dans le volet des résultats, double-cliquez sur Générer des audits de sécurité.
Sous l’onglet Paramètre de sécurité local , cliquez sur Ajouter un utilisateur ou un groupe.
Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs ou groupes , tapez le nom du compte d’utilisateur, par exemple domaine1\utilisateur1 , puis cliquez sur OK, ou cliquez sur Avancé et recherchez le compte.
Cliquez sur OK.
Fermez l’outil Stratégie de sécurité.
Redémarrez SQL Server pour activer ce paramètre.
Pour configurer le paramètre d’accès aux objets d’audit dans Windows à l’aide de secpol
Si le système d’exploitation est antérieur à Windows Vista ou Windows Server 2008, dans le menu Démarrer , cliquez sur Exécuter.
Tapez secpol.msc , puis cliquez sur OK. Si la boîte de dialogue Contrôle d’accès utilisateur s’affiche, cliquez sur Continuer.
Dans l’outil Stratégie de sécurité locale, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Stratégie d’audit.
Dans le volet des résultats, double-cliquez sur Auditer l’accès à l’objet.
Sous l’onglet Paramètre de sécurité local , dans la zone Auditer ces tentatives , sélectionnez Réussite et Échec.
Cliquez sur OK.
Fermez l’outil Stratégie de sécurité.