SQL Server DDL安全审计

最新推荐文章于 2023-08-31 00:01:20 发布
最新推荐文章于 2023-08-31 00:01:20 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: SQL Server安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_hn/article/details/8940159
版权

应用场景:

        作为SQL Server安全审计的一部分,DBA可能需要这样的一份报吿:知道哪些数据库对象(储如表、存储过程、视图、用户、函数、用户权限等等)在什么时候被谁修改过,以及修改的内容等等。也还可能需要一份存储过程、函数以及视图的代码修改历史清单,知道这些代码在去过某段时间里被修改。那么,下面这份代码正好是你所需要的。

        此代码在SQL Server 2005/2008运行良好。


1.      建立一个审计数据库,专门用于存放审计记录;

此步骤略。审计数据库名为:AuditDB;

 

2.      建立一个审计用户,用于实施审计时所需要的权限;

CREATE LOGIN[AuditUser]WITH PASSWORD=N'123',DEFAULT_DATABASE=[AuditDB]
GO
use AuditDB
GO
CREATE USERAudituserFOR LOGIN Audituser;
GO
ALTER LOGIN[AuditUser]DISABLE
GO

注:该用户无需登录,所以可以禁用此用户的登录。


3.      在审计数据库AuditDB上建立下如下审计表:

表1:DBA_ChangedObjectLog(审计主表)


表2:DBA_ChangedObjectText(审计从表) 


注: 

审计主表与审计从表之间的关联字段是LogID;

只有视图、存储过程、函数、触发器才有从表数据,因为只有这些对象才有代码定义;

 

4.      为审计用户AuditUser授权:

use master
go
grant viewserverstate to Audituser

use AuditDB
go
grant insertonDBA_ChangedObjectLogtoAudituser
grant insertonDBA_ChangedObjectTexttoAudituser


5.      为所有可以修改数据库对象的用户,授予模拟AuditUser的权限:

如果你不这么做,那你就必须为所有这些用户分别授予第四步中AuditUser的权限;

grant impersonateonlogin::user1toaudituser
grant impersonateonlogin::auditusertouser1

如果你的数据库中已经有几十上百或上千的用户,那你可以用如下语句生成的代码批量授权:

select 'grant impersonate on login::['+[name]+'] to audituser'fromsys.server_principals
where type='S'andname<>'audituser'
union all
select 'grant impersonate onlogin::audituser to ['+[name]+']'fromsys.server_principals
where type='S'andname<>'audituser'

注:以对后新建的每个用户,也必须这样授权。

 

6.      在审计主表上建立触发器tr_Dba_ObjectChangeLog_insert

此触发器的目的是获得当前修改的数据库对象(视图、存储过程、函数、触发器)代码定义并保存入从表中。

USE [AuditDB]
GO
SET ANSI_NULLSON
GO
SET QUOTED_IDENTIFIERON
GO
 
--在审计主表上建立触发器:
ALTER trigger[dbo].[tr_Dba_ObjectChangeLog_insert]
on [dbo].[DBA_ChangedObjectLog]
for insert
as
begin
    declare
       @Logid uniqueidentifier,
       @DatabaseNamenvarchar(256),
       @UserNamenvarchar(256),
       @SchemaNamenvarchar(256),
       @ObjectNamenvarchar(256),
       @ObjectTypenvarchar(256),
       --@original_usernvarchar(256),
       @EventTypenvarchar(256),
       @sql nvarchar(256),
       @IsaDDLTriggerint
 
       execute as login =original_login()
 
       set @IsaDDLTrigger= -1
       select @Logid=logid,@DatabaseName=DatabaseName,@SchemaName=SchemaName,@ObjectName=ObjectName,@ObjectType=ObjectType,@UserName=UserName,@EventType=EventType
       from inserted;
 
       if  @ObjectType not in('PROCEDURE','VIEW','FUNCTION','TRIGGER') return;
       if @EventType like 'DROP%'return;
 
       set @sql = N'select @IsaDDLTriggerOut=count(*) from ['+@DatabaseName+'].sys.triggers where name='''+@ObjectName+''' and parent_class=0';
       execute sp_executesql@sql,N'@IsaDDLTriggerOut int OUTPUT',@IsaDDLTriggerOut=@IsaDDLTriggerOUTPUT;
 
       --DDL触发器不能使用sp_helptext获得它的文本
       if @IsaDDLTrigger>0 return;    
 
       if object_id('tempdb..#temp')isnot null
           drop table #temp
 
       create table #temp(
           [Line][int]IDENTITY(1,1)NOTNULL,
           [LineText]varchar(max)
       )
 
       set @sql='insert into #temp exec ['+@DatabaseName+'].dbo.sp_helptext '''+@SchemaName+'.'+@ObjectName+'''';
       exec (@sql)
   
       execute as caller
       insert into dbo.Dba_ChangedObjectText
       select @Logid,@DatabaseName,@SchemaName,@ObjectName,[Line],[LineText]from#temp
 
       drop table #temp 
end


7.      在要实施审计的数据库上建立触发器tr_dba_Trace_ObjectChangeLog

建立之前,需要对要实施审计的数据库如下配置。例如你需要对数据库TEST进行DDL审计,则:

alter database[TEST]set trustworthy on

然后再建立触发器tr_dba_Trace_ObjectChangeLog

USE [TEST]
GO
SET ANSI_NULLSON
GO
SET QUOTED_IDENTIFIERON
GO

CREATE trigger[tr_dba_Trace_ObjectChangeLog]
on database
--withexecute as 'AuditUser'
for ddl_table_events,ddl_view_events,ddl_index_events,
    ddl_synonym_events,ddl_function_events,ddl_procedure_events,ddl_trigger_events, 
    ddl_database_security_events--,ddl_rule_events  
as
begin
    set nocount on
 
    declare
       @newid UNIQUEIDENTIFIER, 
       @data xml,
       @spid smallint,
       @LoginNamevarchar(256),
       @ProgramNamevarchar(256),
       @IP varchar(15),
       @mac varchar(12),
       @EventTypevarchar(50),
       @ObjectTypevarchar(25),
       @ObjectNamevarchar(256),
       @IsaDDLTriggerint,
       @Line smallint
 
    set @newid = newid()
    set @data = EVENTDATA()
    set @spid = @data.value('(/EVENT_INSTANCE/SPID)[1]','smallint')
    set @EventType = @data.value('(/EVENT_INSTANCE/EventType)[1]','varchar(50)')
    set @ObjectType = @data.value('(/EVENT_INSTANCE/ObjectType)[1]','varchar(25)')
    set @ObjectName = @data.value('(/EVENT_INSTANCE/ObjectName)[1]','varchar(256)')
    set @LoginName = @data.value('(/EVENT_INSTANCE/LoginName)[1]','varchar(256)')
    --set @ObjectName= @data.value('(/EVENT_INSTANCE/ObjectName)[1]', 'varchar(256)')
    set @mac =(SELECTNET_ADDRESSFROM master.dbo.sysprocessesWHEREspid = @spid)
    set @Line = 0
 
    --过滤掉由维护计划生成的重建索引记录(因此类记录太庞大)
    if @LoginName='NT AUTHORITY\SYSTEM'and@ObjectType= 'INDEX'
       return;
 
    -- if the objectis a ddl trigger
    if (selectcount(*)from sys.triggerswherename=@ObjectNameandparent_class=0)= 0
       set @IsaDDLTrigger = 0
    else set @IsaDDLTrigger = 1
 
    execute as login ='AuditUser'
 
    select @ProgramName=[Program_Name]fromsys.dm_exec_sessionswheresession_id=@spid
    select @IP=client_net_addressfromsys.dm_exec_connectionswheresession_id=@spid
 
    insert into DBAdminPlat.dbo.DBA_ChangedObjectLog(
       [LogId],
       [EventType],[PostTime],[SPID],[ServerName],[Host_IP_Address],[Host_MAC_Address],
       [ProgramName],[LoginName],[UserName],[DatabaseName],[SchemaName],
       [ObjectName],[ObjectType],[TSQLCommand]--,[EventDate]
    )
    values(
       @newid,
       @EventType,
       @data.value('(/EVENT_INSTANCE/PostTime)[1]','datetime'),
       @spid,
       @data.value('(/EVENT_INSTANCE/ServerName)[1]','varchar(256)'),
       @IP,
       @mac,
       @ProgramName,
       @LoginName,--@data.value('(/EVENT_INSTANCE/LoginName)[1]','varchar(256)'),
       @data.value('(/EVENT_INSTANCE/UserName)[1]','varchar(256)'),
       @data.value('(/EVENT_INSTANCE/DatabaseName)[1]','varchar(256)'),
       @data.value('(/EVENT_INSTANCE/SchemaName)[1]','varchar(256)'),
       @ObjectName,
       @ObjectType,
       --For objectslike procs, views, triggers and functions ,text of which will be stored inmaster.[dbo].[tb_dba_ChangedObjectText] table.
       case when @ObjectType in('PROCEDURE','VIEW','FUNCTION','TRIGGER')and(@EventType<>'GRANT_DATABASE'or@EventType like 'DROP%')and@IsaDDLTrigger=0
           then null else @data.value('(/EVENT_INSTANCE/TSQLCommand)[1]','varchar(max)')end
    );
 
    REVERT;
 
end

GO
 
SET ANSI_NULLSOFF
GO
SET QUOTED_IDENTIFIEROFF
GO
ENABLE TRIGGER[tr_dba_Trace_ObjectChangeLog]ON DATABASE
GO


 

 

 

xiao_hn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL_Server安全审计的部署
06-19
SQL Server 如何部署安全审计,实现对SQL Server安全
sqlserver browser无法启动_等保测评2.0:SQLServer安全审计
weixin_39711914的博客
11-26 397
一、说明本篇文章主要说一说SQLServer数据库安全审计控制点的相关内容和理解。二、测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。三、测评...
SQL Server 2008中的代码安全(二):DDL触发器与登录触发器
技术代码资料库
03-03 156
本文主要 涉及DDL触发器和登录触发器的应用实例。 MicrosoftSQL Server 提供两种主要机制来强制使用业务规则和数据完整性:约束和触发器。触发器为特殊类型的存储过程,可在执行语言事件时自动生效。SQL Server 包括三种常规类型的触发器:DML 触发器 、DDL 触发器 和登录触发器 。 1、当数据库中发生数据操作语言 (DML) 事件时将调用 DML 触...
SqlServer 通过扩展事件审计DDL操作
Hehuyi_In的博客
07-29 1712
审计对象create、alter、drop操作,即object_created、object_altered、object_deleted事件。 设置过滤条件: ddl_phase=commit:只记录提交的ddl操作,对应 [equal_uint64]([ddl_phase],(1)) database_id<>2:不记录临时对象操作,database_id=2为tempdb CREATE EVENT SESSION [audit_ddl] ON SERVER ADD EVENT s
SQL SERVER 2008 客户端
06-29
9. **安全性**:SQL Server 2008 强调数据安全,提供了角色和权限管理、审计、透明数据加密等功能,确保数据在传输和存储过程中的安全性。 10. **性能监视和优化**:内置的性能监视工具如SQL Server Profiler和...
SQL Server参考手册.zip
05-09
使用SQL Server进行开发和应用,不仅需要掌握SQL语言的基本语法,还需要理解其高级特性,如索引、视图、存储过程、触发器、游标、事务管理和安全性控制等。 《SQL Server参考手册》涵盖了这些核心内容,它提供了...
使用 SQL Server设计与实施数据库
01-17
4. 审计安全策略:监控数据库活动,实施安全策略,如SQL注入防护。 八、高可用性与灾难恢复 1. 可用性组:通过Always On可用性组提供故障转移和负载均衡。 2. 数据库镜像:提供高可用性,确保在一个实例故障时能...
Toad For SQLServer
02-08
Toad for SQL Server是一款强大的数据库管理工具,专为SQL Server设计,旨在提高SQL Server数据库管理员和开发人员的工作效率。这款工具提供了丰富的功能集,包括数据查询、数据编辑、数据库对象管理、性能分析以及...
SQL SERVER中各类触发器的完整语法及参数说明
09-10
SQL Server中的触发器是数据库管理系统中的一种重要特性,它允许在特定的数据库操作(如INSERT、UPDATE、DELETE)或者数据库对象的操作(如CREATE、ALTER、DROP等)发生时自动执行一段预定义的SQL代码。触发器可以...
SQL系统关键字--ddl等操作
04-24
全面的SQL系统关键字及语法 !有查询,修改,删除等
SQL Server 安全篇——SQL Server 审核(2)——审核实操
MVP黄钊吉(發糞塗牆)
01-22 2059
本文属于SQL Server安全专题系列  接上文:SQL Server 安全篇——SQL Server 审核(1)——概览 ,本文介绍如何创建服务器审核、服务器审核规范(specification)和 数据库审核规范。 创建服务器审核: 可以使用CREATE SERVER AUDIT来创建服务器审核,其可选项有: 服务器审核选项
sql2008中安全审计详细介绍
代码的专栏
03-17 6440
SQL Server 2008 中进行审计 概要:关于SQL Server 审计SQL Server 2008引入了一项重要的新特性,即为企业级客户提供了一种真实的审计解决方案。虽然SQL跟踪能很好的满足大多数审计需求,SQL Server审计提供了一些具有吸引力的优势,藉此可以帮助DBA更容易的达到像满足合规性需求这样的目标。包括提供了审计日志的集中存储,系统中心集成,以及更加显
报表的 SQL 注入风险是什么意思?如何防范?
ertyee42的博客
07-23 173
啥是 SQL 注入风险? 数据库要执行 SQL 访问数据,数据库是个执行机构,它只会检查传来的 SQL 是不是合乎语法,而并不会关心这个语句是否会造成伤害(数据泄露或破坏)。正因为只要符合语法规则就会执行的机制,导致 SQL 有了注入的风险。 SQL 本身就是个字符串,而且一般没有加密,字符串可能被黑客劫持修改,这样就可能造成数据库执行了不该执行的动作。 SQL 注入的惯用做法是通过把 SQL 子串插入到 Web 表单项或页面请求(Url)的查询字符串中提交,最终达到欺骗服务器执行恶意操作的目的。 常见案
SQLServer审计功能配置
最新发布
Jepson的博客
08-31 4794
SQL Server审计功能(Audit)是SQL Server 2008之后才有的功能,审计(Audit)用于追踪和记录SQL Server实例,或者单个数据库中发生的事件(Event),审计运作的机制是通过捕获事件(Event),把事件包含的信息写入到事件日志(Event Log)或审计文件(Audit File)中,为review提供最真实详细的数据。Audit都需要创建一个实例级的“SQL Server审核”,然后可以创建从属于它“服务器审核规范”和“数据库审核规范”。
soar ddl审核规范_SQL Server审核功能– DDL事件审核示例
culuo4781的博客
07-23 657
soar ddl审核规范 介绍 (Introduction) In a previous article “SQL Server Audit feature – discovery and architecture“, we’ve seen the basics to build an auditing system based on SQL Server Audit feature. I...
sqlserver审计 —— 服务器与数据库审核规范
Hehuyi_In的博客
07-15 7065
4.2 服务器审核 4.2.1 服务器审核 SQL Server 2008 引入了服务器审核功能,可以对服务器级别和数据库级别事件组和事件进行审核。 SQL Server 的审核级别有若干种,具体取决于安装环境的政府要求或标准要求。SQL Server 审核提供若干必需的工具和进程,用于启用、存储和查看对各个服务器和数据库对象的审核。 SQL Server 的所有版本均支持服务器级审...
SQL Server 审计 第一篇:介绍(Audit
悦光阴的博客
04-25 2928
SQL Server 审计系列: SQL Server 审计 第一篇:介绍(Audit) SQL Server 审计 第二篇: 创建审计 SQL Server 审计 第三篇:查看审计数据 审计(Audit)用于追踪和记录SQL Server实例,或者单个数据库中发生的事件(Event),审计运作的机制是通过捕获事件(Event),把事件包含的信息写入到事件日志(Event Log)或审计文件...
SQL Server审计功能入门:SQL Server审核 (SQL Server Audit)
baicongli9053的博客
03-04 1352
介绍 AuditSQL Server 2008之后才有的功能,它能告诉你“谁什么时候做了什么事情”。具体是指审核SQL Server 数据库引擎实例或单独的数据库涉及到跟踪和记录数据库引擎中发生的事件。它的底层是基于扩展事件(Extented Event),所以其性能和灵活性相对较好。审核数据可以输出到审核文件、Windows安全日志和应用程序日志。 Audit都需要创...
SQLserver审计功能
05-13
SQL Server审计功能可以捕获数据库的活动和事件,包括登录、DDL 和 DML 操作、失败的登录尝试、权限更改等。可以使用 SQL Server Management Studio (SSMS) 或 Transact-SQL (T-SQL) 命令来配置审计。 以下是配置 SQL Server 审计的一般步骤: 1. 创建一个审计对象:使用 CREATE SERVER AUDIT 语句创建一个审计对象。 2. 创建一个审计规范:使用 CREATE SERVER AUDIT SPECIFICATION 语句创建一个审计规范,定义要监视的事件和活动。 3. 启用审计:使用 ALTER SERVER AUDIT 语句启用审计。 4. 启用审计规范:使用 ALTER SERVER AUDIT SPECIFICATION 语句启用审计规范。 5. 查看审计日志:使用 sys.fn_get_audit_file 函数来查看审计日志。 可以使用 SQL Server Management Studio (SSMS) 的“审计”向导来自动执行上述步骤。可以在 SSMS 中选择要监视的事件和活动,并指定审计日志的位置和大小限制。 审计可以帮助满足合规性要求,并提供数据库安全性的监视和保护。但是,需要注意的是,启用审计可能会对服务器性能产生影响,因此需要谨慎配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值