Логгирование DML операций от пользователя sa / Microsoft SQL Server

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Логгирование DML операций от пользователя sa

18 сообщений из 18, страница 1 из 1

Логгирование DML операций от пользователя sa

#39947114

selis76

Участник

Сообщения: 398

Рейтинг: 0 / 0

Всем здравия.
Аудиторы пишут в качестве риска - возможность sa менять данные в базе данных (удивительно правда :)).
Для снятия риска достаточно чтобы DML операции администратора логгировались (о том что лог можно почистить, вопрос не стоит :)). Вопрос как это можно сделать в MSSQL 2008r2 и более старших версий.
Вопрос стоит только о логгировании действий админа, по остальным аккаунтам вопрос решается на трехзвенной архитектуре.

Триггеры не проходят поскольку они срабатывают на любые сессии и аккаунты.
Аудит логгирует только DDL операции
Профайлер чтоли автоматом запускать для sa?
Какие еще есть варианты?

Сергей С

...

Рейтинг:

0 / 0

14.04.2020, 18:35

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947117

invm

Участник

Откуда: Москва

Сообщения: 9 956

Рейтинг: 0 / 0

https://docs.microsoft.com/ru-ru/sql/relational-databases/security/auditing/sql-server-audit-database-engine?view=sql-server-ver15

...

Рейтинг:

0 / 0

14.04.2020, 18:39

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947118

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

selis76,

аудит логирует dml.

все это борьба с ветрянными мельницами. любой компетентный человек с админскими правами обойдет любое средство логирования. на то он и админ.

Стоит задуматься о компетенции аудиторов раз они приходят к таким выводам.

...

Рейтинг:

0 / 0

14.04.2020, 18:41

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947132

Гавриленко Сергей Алексеевич

Участник

Откуда: Moscow

Сообщения: 37 171

Рейтинг: 0 / 0

felix_ff,

Не совсем. Для борьбы с администраторами все уже давно украдено: https://en.wikipedia.org/wiki/Security_event_manager

Суть: хранить аудит централизовано в месте, к котором есть доступ только у СБ. (Случай, когда администратор скуля является администратором всего и вся оставим за скобками, это чисто организационная проблема).

Понятное дело, что админ может прибить условную XE-сессию условного SEM и сделать какое-то дело, но вполне вероятно, СБ после этого сразу начнет задавать неудобные вопросы.

...

Рейтинг:

0 / 0

14.04.2020, 18:56

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947140

selis76

Участник

Сообщения: 398

Рейтинг: 0 / 0

felix_ff

Посмотрел да на уровне базы данных можно аудировать DML . Но вот опять мы не можем врубить его только для SA :(
У меня есть другой аккаунт под которым работает база данных, а там поток dml огромный и чтото мне подсказывает что все встанет :)
Аудиторам главное риски найти а как их мы будем решать им не интересно, не их работа

...

Рейтинг:

0 / 0

14.04.2020, 19:02

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947143

Критик

Участник

Откуда: Москва / Калуга

Сообщения: 35 963

Рейтинг: 0 / 0

felix_ff

все это борьба с ветрянными мельницами. любой компетентный человек с админскими правами обойдет любое средство логирования. на то он и админ.

Вовсе нет. У вас админ - злоумышленник, который сначала изучает ситему, а потом проводит деструктивные действия. Но обычно в 99% случаев админ просто ошибается. Логи нужны в первую очередь для расследования таких случаев.

Ну и у админа сервера может просто негласно записываться экран его компа.
Сейчас не забалуешь.

...

Рейтинг:

0 / 0

14.04.2020, 19:07

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947176

invm

Участник

Откуда: Москва

Сообщения: 9 956

Рейтинг: 0 / 0

selis76

Посмотрел да на уровне базы данных можно аудировать DML . Но вот опять мы не можем врубить его только для SA :(

Код: sql

1.
2.
3.
4.
5.

create server audit MyServerAudit ... where server_principal_name = 'sa';

create database audit specification ...
for server audit MyServerAudit
...

...

Рейтинг:

0 / 0

14.04.2020, 19:54

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947192

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

Гавриленко Сергей Алексеевич

Гавриленко Сергей Алексеевич, Критик
Согласен, решения существуют

Но вы много организаций видели где служба сиквела стартует под учеткой СБ? И ДБА инстанса знать не знают его пароля.
получится так что в случае каких либо сбоев / прихотей СБ может пострадать функционал за который ответственнен совершенно другой человек.

Про запись экрана админа, то же самое - действенно, но на практике встречается редко.

Просто при наличии доступа к sa, часто (не всегда разумется) предполагает что человек так же является как минимум локальным админ ом на сервере.

Я к тому что лазеек у пользователей с таким доступом достаточно много и бороться с ними трудно. Обычно вопросы прав администраторов решаются организационно, нежели технически.

...

Рейтинг:

0 / 0

14.04.2020, 20:06

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39947200

Гавриленко Сергей Алексеевич

Участник

Откуда: Moscow

Сообщения: 37 171

Рейтинг: 0 / 0

felix_ff,

Зачем что-то там стартовать? Достаточно огранизовать процесс записи логов и аудита в "надежное место" и следить за непрерывностью этого процесса. Не самая сложная задача.
Ну, еще какую DLP-систему внедрить можно. И сразу у всех "компетентных человеков с админскими правами" с подписанным NDA поубавится желания "обходить любые средства защиты". К тому же компетенция должна быть значительно выше.

...

Рейтинг:

0 / 0

14.04.2020, 20:15

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955088

selis76

Участник

Сообщения: 398

Рейтинг: 0 / 0

invm

selis76

Посмотрел да на уровне базы данных можно аудировать DML . Но вот опять мы не можем врубить его только для SA :(

Код: sql

1.
2.
3.
4.
5.

create server audit MyServerAudit ... where server_principal_name = 'sa';

create database audit specification ...
for server audit MyServerAudit
...

Спасибо. Это то что нужно, будет достаточно

...

Рейтинг:

0 / 0

07.05.2020, 20:16

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955207

Владислав Колосов

Участник

Сообщения: 9 447

Рейтинг: 0 / 0

selis76,

Итого: запись аудита можно фильтровать по всем его параметрам - хосту, приложению, пользователю и так далее. Сами файлы или копии файлов аудита сохранять в недоступном SQL администратору месте, хоть в облаке.
В состав аудита можно ввести событие остановки записи аудита.

...

Рейтинг:

0 / 0

08.05.2020, 11:09

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955228

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

Владислав Колосов

selis76,
Сами файлы или копии файлов аудита сохранять в недоступном SQL администратору месте, хоть в облаке.

вот это - не верно.

...

Рейтинг:

0 / 0

08.05.2020, 12:06

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955232

Владислав Колосов

Участник

Сообщения: 9 447

Рейтинг: 0 / 0

felix_ff,

ещё как верно. Иначе возможны злоупотребления, непосредственная правка файлов, к примеру, или их удаление.

...

Рейтинг:

0 / 0

08.05.2020, 12:12

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955240

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

Владислав Колосов,

Если доступ к записи файлов имеет служба Sql Server можете считать что доступ имеет и администратор.

Представим даже вариант что:
а) запись файлов аудита идет в облако
б) сиквел стартует под учеткой СБ пароля от который дба не знает
в) под дба я подразумеваю администратора инстанса, то есть у него есть какая либо учетка с правами control server

задача не тривиальная но он может:
с помощью clr/xp_cmdshell создать виндовое задание которое будет запускаться из-под учетки службы
остановить инстанс
запустить задание
запустить инстанс
удалить задание

что в задании думаю объяснять не нужно?

если даже права в винде у учетки ограниченны, не обязательно создавать джоб, можно просто запустить экспоитный исполняемый файл.

...

Рейтинг:

0 / 0

08.05.2020, 12:30

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955244

Гавриленко Сергей Алексеевич

Участник

Откуда: Moscow

Сообщения: 37 171

Рейтинг: 0 / 0

felix_ff,

Один раз можно все. Надо просто сдалать так, чтобы этот раз не прошел незамеченным и безнаказанным, и после сделать так, чтобы все были в курсе, что так будет с каждым таким разом.

За непрерывностью процесса сбора аудита надо следить. Аудит надо собирать не только со скуля, но и из всех возможных виндовых логов. Любые проблемы в сборе аудита или рециклы лога считать инцидентом и расследовать.

После этого желающих химичить с аудитом будет весьма мало.

...

Рейтинг:

0 / 0

08.05.2020, 12:39

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955247

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

Гавриленко Сергей Алексеевич,

Здесь с Вами полностью согласен.

Кстати сейчас пока придумывал ситуацию вспомнил что еще же аудит можно писать непосредственно в security log самой ОС. Вот ее уже просто так не изменить.

...

Рейтинг:

0 / 0

08.05.2020, 12:49

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39955285

Владислав Колосов

Участник

Сообщения: 9 447

Рейтинг: 0 / 0

felix_ff,

для этого я и написал "копии". Копии админу будут недоступны вообще никак. А текущий файл недоступен по причине монопольной занятости сервером. Также УЗ сервера могут быть недоступны операции изменения или удаления файлов аудита. В это случае не поможет и Shell.

...

Рейтинг:

0 / 0

08.05.2020, 13:46

| Ответить | Цитировать | Написать

Логгирование DML операций от пользователя sa

#39986453

selis76

Участник

Сообщения: 398

Рейтинг: 0 / 0

invm

selis76

Посмотрел да на уровне базы данных можно аудировать DML . Но вот опять мы не можем врубить его только для SA :(

Код: sql

1.
2.
3.
4.
5.

create server audit MyServerAudit ... where server_principal_name = 'sa';

create database audit specification ...
for server audit MyServerAudit
...

В общем практика показала что это работает только на свежих версиях SQL, а на 2008R это не работает
В инете тоже подтверждается
https://www.sqlservercentral.com/forums/topic/unable-to-create-server-audit-with-where-clause-on-sql-2008-r2

...

Рейтинг:

0 / 0

04.08.2020, 16:41

| Ответить | Цитировать | Написать

18 сообщений из 18, страница 1 из 1

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Логгирование DML операций от пользователя sa

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=46&msg=39955285&tid=1685816]:	0ms
get settings:	8ms
get forum list:	17ms
check forum access:	4ms
check topic access:	4ms
track hit:	72ms
get topic data:	12ms
get forum data:	3ms
get page messages:	61ms
get tp. blocked users:	1ms
others:	253ms

total:	435ms