Audit na Microsoft SQL Serveru

Víte, kdo přistupuje k vašemu serveru a pracuje s vašimi daty? SQL Server 2008 představil jako jednu z novinek v Enterprise edici SQL Audit, který zaznamená veškeré informace.

C2 Audit

Možnost auditu je na SQL Serveru dostupná již od verze 2000, kde bylo možné zapnout tzv. C2 audit tracing, který ukládal informace o přístupu k objektům nebo spouštění jednotlivých dotazů, ať již úspěšné nebo neúspěšné. Při využití tohoto režimu byl audit soubor ukládán do výchozí složky pro data SQL serveru, a vždy po 200MB byl vytvořen další soubor. Velkou nevýhodou tohoto režimu je jeho značná náročnost na systémové prostředky a také jedno z pravidel C2 režimu, kdy v případě nemožnosti uložit informaci o auditu bude celá instance SQL Serveru vypnuta.

sql audit 02.png

Tento soubor je zpracovatelný pomocí nástroje SQL Profiler, který je běžně k dispozici po instalaci SQL Serveru nebo funkcí fn_trace_gettable.

sql audit 03.png

Common Criteria

Od verze SQL 2008 je navíc ve verzích Enterprise a Datacenter k dispozici možnost konfigurace pro tzv. Common Criteria. CC je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů, a testovací laboratoře mohou vyhodnocovat produkty. Jinak řečeno, Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem. (http://cs.wikipedia.org/wiki/Common_Criteria)

Pokud budou CC zapnuta dojde k aktivaci několika component, které jsou pro Common Criteria povinné.

  • Residual Information Protection – v případě uvolnění paměti jinému prostředku musí nejprve dojít k přepsání paměti známou sekvencí bitů
  • Login Statistics – při každém přihlášení uživatele je uložena informace o posledním úspěšném I neúspěšném přihlášení, stejně tak o počtu pokusů o přihlášení mezi neúspěšným a úspěšným pokusem
  • Změna hierarchie DENY/GRANT – pokud je na tabulce nastaveno oprávnění DENY a na sloupci GRANT, poté uživatel k tomuto sloupci přistupovat může. V případě zapnutých common criteria nikoli, tedy table DENY má větší váhu než GRANT na sloupci tabulky.

Pro správnou funkci Common Criteria nestačí pouze onen checkbox, který najdeme v management studiu, ale pro dokončení konfigurace je nutné I spuštění konfiguračního skriptu, který nalezneme na strákách MS SQL Server Common Criteria http://go.microsoft.com/fwlink/?LinkId=79877, který nastaví SQL Server tak, aby splňoval požadavky specifikované v EAL-4+.

SQL Audit

Ve verzi SQL 2008 byl představen SQL Audit, který umožňuje detailní nastavení auditu na úrovni SQL Serveru nebo jednotlivých databází. Jeho velkou výhodou je plná skriptovatelnost pomocí T-SQL, která ve spojitosti s multi-server managementem (představen taktéž v rámci SQL Serveru 2008) dovoluje nastavit bezpočet instancí naráz s totožnými parametry.

Konfigurace auditu je rozdělena do několika částí. Nejprve je nutné vytvořit objekt typu SQL Audit, ve kterém specifikujeme úložiště pro audit informace. V konfiguraci můžeme vybírat mezi

  • Audit souborem
  • Aplikačním logem systému
  • Security logem systému
sql audit 01.png

Zejména u security logu musíme být opatrní v případě, že použijete I volbu “Shutdown server on failure”. U security logu je pomocí lokálních práv kontrolováno, které identity mohou do security logu zapisovat jednotlivé události.

Jakmile máme vytvořený objekt SQL Audit, můžeme konfigurovat specifikace auditu pro server nebo pro databáze. Nově jsou server specifikace dostupné I ve standard edici SQL Serveru, databázové jsou nadále pouze enterprise záležitostí. V rámci server level specifikací se nachází několik skupin akcí, které seskupují vždy několik příkazů pro protokolování událostí (např. Server role member change group, pro audit jednotlivých server rolí).

sql audit 04.png

Pokud máme k dispozici enterprise edici, můžeme specifikaci auditu konfigurovat i na úrovni jednotlivých databází. I zde jsou k dispozici skupiny operací, které budou zaprotokolovány, ale u databázových specifikací jsou již k dispozici i jednotlivé TSQL příkazy jako SELECT, DELETE atd. Je tedy možné pomocí filtrů na objekty protokolovat přístup k datum pro skupiny uživatelů, nebo I jednotlivé uživatele. Následně jsou logy dostupné pomocí audit log viewer nástroje, který dokáže jednotlivé informace zobrazit, exportovat a filtrovat.

Závěrem

Audit na SQL Serveru je možné řešit několika způsoby, od C2 tracing přes DDL a DML trigger až po SQL Audit, který je dostupný od verze 2008 a v enterprise edici nabízí velmi bohaté možnosti nastavení protokolování. Nový SQL Audit je postaven nad infrastrukturou extended events, je tedy velmi rychlý a nezatěžuje systém.

Autor: Marek Chmel

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Nejnovější komentáře

Můj názor

Určitě si přečtěte


9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

** Internet, fóra a komunita tu byly dávno před příchodem WWW ** Takto legendy oznamovaly své novinky ** Takto se tehdy svět dozvídal o Windows

25.  8.  2016 | Jakub Čížek | 15

Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

** Microsoft se roky snažil prosadil Windows na telefonech ** Nepomohla mu ale ani Nokia ** Gartner nyní potvrzuje nekončící propad prodejů

21.  8.  2016 | Jakub Čížek | 288

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

** Máte stále horší paměť? Může za to chytrý telefon a internet ** Důvodem je snaha mozku ušetřit vlastní výkon ** Odkládání na „externí zařízení“ má pozitivní, ale i negativní důsledky

20.  8.  2016 | Karel Javůrek | 32

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

** Seznam.cz testuje nový algoritmus, který odhaluje pornografické obrázky ** Rozhodování, co je a co není za hranou, není jednoznačné ** Do budoucna může technologie pomoci při filtraci obsahu ve vyhledávači

25.  8.  2016 | Jakub Čížek | 23

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

** Linux je tu už 25 let ** Z malého projektu se proměnil v nejdůležitější program ** Řídí superpočítače, servery, Android a nejspíše i váš Wi-Fi router

23.  8.  2016 | Jakub Čížek | 159


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.