Procedura: Scrittura di eventi di controllo del server nel registro di protezione
In un ambiente con protezione elevata il registro di protezione di Windows rappresenta la posizione appropriata per la scrittura di eventi che registrano l'accesso agli oggetti. Sono supportati altre posizioni di controllo che tuttavia sono più soggette alla manomissione.
La scrittura dei controlli del server SQL Server nel registro di protezione di Windows prevede due requisiti fondamentali:
È necessario configurare l'impostazione di controllo dell'accesso agli oggetti per l'acquisizione degli eventi. La modalità ottimale per eseguire questa operazione dipende dal sistema operativo in uso.
In Windows Vista e Windows Server 2008, utilizzare lo strumento dei criteri di controllo (auditpol.exe). Il programma dei criteri di controllo espone varie impostazioni di criteri secondari nella categoria controllo dell'accesso agli oggetti. Per consentire il controllo dell'accesso agli oggetti in SQL Server, configurare l'impostazione generata dall'applicazione.
Nelle versioni precedenti di Windows lo strumento dei criteri di controllo non è disponibile. Utilizzare in alternativa lo snap-in dei criteri di protezione (secpol.msc). Se disponibili, i criteri di controllo sono preferibili poiché consentono di configurare impostazioni più granulari.
L'account in cui viene eseguito il servizio di SQL Server deve disporre dell'autorizzazione generazione controlli di protezione per scrivere nel registro di protezione di Windows. Per impostazione predefinita, gli account LOCAL SERVICE e NETWORK SERVICE dispongono di questa autorizzazione. Questo passaggio non è obbligatorio se SQL Server viene eseguito in uno di questi account.
I criteri di controllo di Windows possono influire sul controllo di SQL Server se sono configurati per scrivere nel registro di protezione di Windows. Se i criteri di controllo non sono configurati in modo corretto, potrebbe verificarsi la perdita di eventi. In genere il registro di protezione di Windows è impostato in modo che gli eventi meno recenti vengano sovrascritti e vengano mantenuti quelli più recenti. Tuttavia, se il registro di protezione di Windows è impostato in modo diverso e il registro di protezione è pieno, verrà generato l'evento di Windows 1104 che indica che il registro è pieno. A questo punto si verificano le situazioni seguenti:
Non verranno registrati ulteriori eventi di protezione
SQL Server non potrà rilevare che il sistema non è in grado di registrare gli eventi nel registro di protezione, causando una perdita potenziale di eventi di controllo
Dopo che l'amministratore ha apportato correzioni al registro di protezione, il comportamento relativo alla registrazione tornerà normale.
Gli amministratori del computer in cui è in esecuzione SQL Server devono comprendere che le impostazioni locali relative al registro di protezione possono essere sovrascritte da criteri del dominio. In questo caso, i criteri del dominio potrebbero sovrascrivere l'impostazione della sottocategoria (auditpol /get /subcategory:"generata dall'applicazione"). Questa condizione può influire sulla possibilità di SQL Server di registrare eventi senza disporre di alcuna modalità per rilevare che gli eventi che SQL Server sta tentando di controllare non verranno registrati.
È necessario essere amministratore di Windows per configurare queste impostazioni.
Per configurare l'impostazione di controllo dell'accesso agli oggetti in Windows mediante auditpol
Se si utilizza il sistema operativo Windows Vista o Windows Server 2008, aprire un prompt dei comandi con autorizzazioni amministrative.
Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi, quindi fare clic su Esegui come amministratore.
Se viene visualizzata la finestra di dialogo Controllo account utente, fare clic su Continua.
Eseguire l'istruzione seguente per abilitare il controllo da SQL Server.
auditpol /set /subcategory:"application generated" /success:enable /failure:enableChiudere la finestra del prompt dei comandi.
Questa impostazione diventa immediatamente effettiva.
Per configurare l'impostazione di controllo dell'accesso agli oggetti in Windows mediante sectpol
Se si utilizza un sistema operativo precedente a Windows Vista o Windows Server 2008, fare clic sul pulsante Start e scegliere Esegui.
Digitare secpol.msc, quindi fare clic su OK. Se viene visualizzata la finestra di dialogo Controllo account utente, fare clic su Continua.
Nello strumento Criteri di protezione locale espandere Impostazioni di protezione, Criteri locali, quindi fare clic su Criteri di controllo.
Nel riquadro dei risultati fare doppio clic su Controlla accesso agli oggetti.
Nella scheda Impostazioni di protezione locali, nell'area Controlla i seguenti tentativi selezionare sia Esito positivo sia Esito negativo.
Fare clic su OK.
Chiudere lo strumento Criteri di protezione.
Questa impostazione diventa immediatamente effettiva.
Per concedere l'autorizzazione di generazione dei controlli di protezione a un account mediante secpol
Per qualsiasi sistema operativo Windows, fare clic sul pulsante Start, quindi scegliere Esegui.
Digitare secpol.msc, quindi fare clic su OK. Se viene visualizzata la finestra di dialogo Controllo account utente, fare clic su Continua.
Nello strumento Criteri di protezione locale espandere Impostazioni di protezione, Criteri locali, quindi fare clic su Assegnazione diritti utente.
Nel riquadro dei risultati fare doppio clic su Generazione di controlli di protezione.
Nella scheda Impostazioni di protezione locali fare clic su Aggiungi utente o gruppo.
Nella finestra di dialogo Seleziona utenti, computer o gruppi digitare il nome dell'account utente, ad esempio dominio1\utente1, quindi fare clic su OK oppure su Avanzate e ricercare l'account.
Fare clic su OK.
Chiudere lo strumento Criteri di protezione.
L'impostazione diventa effettiva al riavvio di SQL Server.