SQL Server登陆账户、数据库用户(包含用户)及权限的自动化审计(续)

最新推荐文章于 2024-05-13 03:20:33 发布
最新推荐文章于 2024-05-13 03:20:33 发布
阅读量557 收藏 1
点赞数
分类专栏: SQL Server SQL Server 安全管理 SQL Server 自动化管理 文章标签: 登陆账户 数据库用户 包含用户 权限审计 自动化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoujunah/article/details/104197057
版权

不负韶华,只争朝夕!在抗击新冠疫情的日子里,从每天关注疫情动态的恐慌,在家中的彷徨,到坚定自己的信念。也许上天认为我们走的太匆忙,希望我们静下来,重新规划一下未来;希望可以进行沉淀,以让我们走的更高、更远。在最近的日子里,在完成线上工作之余,我开始总结,并把一些经验记录下来,分享出来,和大家共勉。

闲话不多说,接下来还是直接上正文。

《SQL Server登陆账户、数据库用户(包含用户)及权限的自动化审计》一文中我分享了对登陆账户、数据库用户及权限变更的即时预警,除此之外,我们还需要定期全面检查登陆账户、数据库用户及权限,收回不必要的登陆账户、数据库用户及权限,以减少数据库安全风险。要对历史的登录账户/数据库用户及权限进行比较,首先需要记录历史登录账户/数据库用户及权限信息。下面创建两个表分别记录登录账户及权限信息,数据库用户及权限信息:

--创建登陆帐户权限信息表
USE master
GO
CREATE TABLE DBA_LoginsPermissions_Info
    (class_desc NVARCHAR(60)
    ,permission_name NVARCHAR(128)
    ,GDR nvarchar(60)
    ,granteeName sysname NULL
    ,objectName NVARCHAR(60)
    ,TSQLTxt NVARCHAR(800)
    ,InsertDate DATETIME DEFAULT(GETDATE()))
--创建数据库用户权限信息表
CREATE TABLE DBA_UsersPermissions_Info
    (dbName sysname NULL
    ,class_desc NVARCHAR(60)
    ,permission_name NVARCHAR(128)
    ,GDR nvarchar(60)
    ,granteeName sysname NULL
    ,objectName NVARCHAR(60)
    ,TSQLTxt NVARCHAR(800)
    ,InsertDate DATETIME DEFAULT(GETDATE()))

注意,如果留意的话,可能已经发现表DBA_UsersPermissions_Info 在前文已经创建,如果你已经创建它,本文中的创建该表的​脚本可以忽略。

下面我们来创建获取登陆账户、数据库用户及权限信息的过程:

USE master
GO
/*记录登陆帐户、数据库用户及权限信息*/
CREATE PROC DBA_GetLoginsUsersPermissions_Info AS     
BEGIN
      SET NOCOUNT ON
      --记录当前登陆帐户权限信息
      DECLARE @LoginName sysname
      DECLARE @sid VARBINARY(85)
      DECLARE cur CURSOR FOR
      SELECT name,sid FROM sys.sql_logins
      WHERE is_disabled=0
      OPEN cur
      FETCH NEXT FROM cur INTO @LoginName,@sid
      WHILE @@FETCH_STATUS=0
      BEGIN
            INSERT INTO DBA_LoginsPermissions_Info(class_desc,permission_name,GDR,granteeName,objectName,TSQLTxt)
            EXEC sp_DBA_LoginPermissionsClone @LoginName=@LoginName,@NewLoginName=@LoginName,@print=0
            --记录当前数据库用户权限信息
            DECLARE @DBName sysname
            DECLARE @UserName sysname
            DECLARE @tsql NVARCHAR(200)
            DECLARE db CURSOR FOR
            SELECT name FROM sys.databases
            OPEN db
            FETCH NEXT FROM db INTO @DBName
            WHILE @@FETCH_STATUS=0
            BEGIN
                  SET @tsql=N'SELECT @UserName=name from '+QUOTENAME(@dbName,']')+N'.sys.sysusers WHERE sid=@sid'
                  EXEC sys.sp_executesql @tsql,N'@UserName sysname output,@sid VARBINARY(85)',@UserName OUTPUT,@sid
                  --INSERT INTO master.dbo.DBA_UsersPermissions_Info(dbName,class_desc,permission_name,GDR,granteeName,objectName,TSQLTxt)
                  exec sp_DBA_userPermisionsClone @dbName=@DBName,@userName=@UserName,@print=0
                  FETCH NEXT FROM db INTO @DBName
            END
            CLOSE db
            DEALLOCATE db
            FETCH NEXT FROM cur INTO @LoginName,@sid
      END
      CLOSE cur
      DEALLOCATE cur
      --增加包含数据库中包含用户权限信息获取及监控
      DECLARE @versionNum AS INT    --SQL Server 的版本号
      SET @versionNum = SUBSTRING(@@VERSION, 22, 4)
      IF @versionNum>=2012
      BEGIN
            DECLARE @db TABLE(NAME sysname)
            INSERT INTO @db ( NAME )
            EXEC ('SELECT  name
                  FROM    sys.databases
                  WHERE   containment = 1')
            DECLARE cur CURSOR FOR
            SELECT  name FROM @db
            OPEN cur
            FETCH NEXT FROM cur INTO @DBName
            WHILE @@FETCH_STATUS=0
            BEGIN
                  DECLARE @sql VARCHAR(200)
                  DECLARE @t TABLE (NAME sysname)
                  SET @sql='SELECT name from '+QUOTENAME(@DBName,']')+'.sys.database_principals WHERE authentication_type=2 '
                  INSERT INTO @t ( NAME )
                  EXEC(@sql)
                  DECLARE users CURSOR FOR
                  SELECT name from [@t]
                  OPEN users
                  FETCH NEXT FROM users INTO @UserName
                  WHILE @@FETCH_STATUS=0
                  BEGIN
                        exec sp_DBA_userPermisionsClone @dbName=@DBName,@userName=@UserName,@print=0
                        FETCH NEXT FROM users INTO @UserName
                  END
                  CLOSE users
                  DEALLOCATE users
                  FETCH NEXT FROM cur INTO @DBName
            END
      END
END
GO

注意,在创建这个过程之前需要先创建 sp_DBA_LoginPermissionsClone 及 sp_DBA_userPermisionsClone 。

下面我们直接执行过程,获取当前的登陆账户、数据库用户及权限信息,脚本如下:

--记录当前登陆帐户、数据库用户及权限信息
EXEC DBA_GetLoginsUsersPermissions_Info
GO

检查登陆账户及权限信息​:

SELECT * FROM DBA_LoginsPermissions_Info

检查用户权限及信息​:

SELECT * FROM DBA_UsersPermissions_Info

接下来我们创建审计登陆账户、数据库用户权限的过程:

/*创建定期检查过程*/
CREATE PROC DBA_LoginsUsersPermissions_Audit AS
BEGIN
      SET NOCOUNT ON
      --记录当前登陆帐户、数据库用户及权限信息
      EXEC DBA_GetLoginsUsersPermissions_Info
      DECLARE @bodyHTML nvarchar(MAX)
      --删除已经回收的登陆帐户、权限信息
      DELETE master.dbo.DBA_LoginsPermissions_Info
      WHERE TSQLTxt NOT IN( SELECT TSQLTxt FROM master.dbo.DBA_LoginsPermissions_Info WHERE insertdate>=CAST(GETDATE() AS date))
            AND insertdate<CAST(GETDATE() AS date)
      --保存新增登陆帐户、权限信息
      DELETE master.dbo.DBA_LoginsPermissions_Info
      WHERE TSQLTxt IN( SELECT TSQLTxt FROM master.dbo.DBA_LoginsPermissions_Info WHERE insertdate<CAST(GETDATE() AS date))
            AND insertdate>CAST(GETDATE() AS date)
            
      --删除已经回收的数据库用户、权限信息
      DELETE master.dbo.DBA_UsersPermissions_Info
      WHERE TSQLTxt NOT IN( SELECT TSQLTxt FROM master.dbo.DBA_UsersPermissions_Info WHERE insertdate>=CAST(GETDATE() AS date))
            AND insertdate<CAST(GETDATE() AS date)
      --保存新增数据库用户、权限信息
      DELETE master.dbo.DBA_UsersPermissions_Info
      WHERE TSQLTxt IN( SELECT TSQLTxt FROM master.dbo.DBA_UsersPermissions_Info WHERE insertdate<CAST(GETDATE() AS date))
            AND insertdate>CAST(GETDATE() AS date)
      IF EXISTS(SELECT TSQLTxt FROM master.dbo.DBA_LoginsPermissions_Info WHERE insertdate>=CAST(GETDATE() AS date))
      BEGIN
            SET @bodyHTML = N'<style>td{FONT-FAMILY: 宋体, Helvetica, sans-serif; FONT-SIZE: 12px;
            LINE-HEIGHT: 20px; TEXT-DECORATION: none;BORDER-BOTTOM: black 1px solid;
            BORDER-RIGHT: black 1px solid;}th{FONT-FAMILY: 宋体, Helvetica, sans-serif; FONT-SIZE: 12px;
            LINE-HEIGHT: 20px; TEXT-DECORATION: none;BORDER-BOTTOM: black 1px solid;BORDER-RIGHT: black 1px solid;}</style>' 
            + N'<H1>[登陆帐户及权限变更]</H1>' 
            + N'<table border="0" cellspacing="0" cellpadding="0" style="BORDER-BOTTOM: black 1px solid;
                  BORDER-LEFT: black 1px solid; BORDER-RIGHT: black 1px solid;BORDER-TOP: black 1px solid">' 
            + N'<tr><th>对象类型</th><th>权限</th>'
            + N'<th>GRANT OR DENY</th>'
            + N'<th>授权者</th>'
            + N'<th>授权对象</th><th>执行脚本</th></tr>' 
            + CAST(( 
             SELECT td = ISNULL(class_desc,'') ,  '' , 
                        td = ISNULL(permission_name ,''),  '' , 
                        td = ISNULL(GDR,''),  '' , 
                        td = ISNULL(granteeName ,''),  '' , 
                        td = ISNULL(objectName,'') ,  '' , 
                        td = ISNULL(TSQLTxt,'')
            FROM  master.dbo.DBA_LoginsPermissions_Info h
            WHERE insertdate>=CAST(GETDATE() AS date) 
                     FOR 
                         XML PATH('tr') , 
                               TYPE 
                     ) AS NVARCHAR(MAX)) + N'</table>'; 
      END
      IF EXISTS (SELECT TSQLTxt FROM master.dbo.DBA_UsersPermissions_Info WHERE insertdate>=CAST(GETDATE() AS date))
      BEGIN
            SET @bodyHTML =@bodyHTML+ N'<style>td{FONT-FAMILY: 宋体, Helvetica, sans-serif; FONT-SIZE: 12px;
            LINE-HEIGHT: 20px; TEXT-DECORATION: none;BORDER-BOTTOM: black 1px solid;
            BORDER-RIGHT: black 1px solid;}th{FONT-FAMILY: 宋体, Helvetica, sans-serif; FONT-SIZE: 12px;
            LINE-HEIGHT: 20px; TEXT-DECORATION: none;BORDER-BOTTOM: black 1px solid;BORDER-RIGHT: black 1px solid;}</style>' 
            + N'<H1>[数据库用户及权限变更]</H1>' 
            + N'<table border="0" cellspacing="0" cellpadding="0" style="BORDER-BOTTOM: black 1px solid;
                  BORDER-LEFT: black 1px solid; BORDER-RIGHT: black 1px solid;BORDER-TOP: black 1px solid">' 
            + N'<tr><th>数据库</th><th>对象类型</th><th>权限</th>'
            + N'<th>GRANT OR DENY</th>'
            + N'<th>授权者</th>'
            + N'<th>授权对象</th><th>执行脚本</th></tr>' 
            + CAST(( 
             SELECT td = ISNULL(dbName,'') ,  '' , 
                        td = ISNULL(class_desc,'') ,  '' , 
                        td = ISNULL(permission_name,'') ,  '' , 
                        td = ISNULL(GDR,''),  '' , 
                        td = ISNULL(granteeName,'') ,  '' , 
                        td = ISNULL(objectName,'') ,  '' , 
                        td = ISNULL(TSQLTxt,'')
            FROM  master.dbo.DBA_UsersPermissions_Info h
            WHERE insertdate>=CAST(GETDATE() AS date)
                     FOR 
                         XML PATH('tr') , 
                               TYPE 
                     ) AS NVARCHAR(MAX)) + N'</table>'; 
      END
      --发送邮件预警
      DECLARE @profile_name sysname
      SELECT @profile_name=name
      from msdb.dbo.sysmail_profile
      EXEC msdb.dbo.sp_send_dbmail @profile_name = @profile_name,
                    @recipients = 'Jack@dba.com',
                    @subject = N'登陆帐户及权限变更',
                    @body = @bodyHTML,
                    @body_format = 'html';
END

注意:在创建DBA_LoginsUsersPermissions_Audit 时需要将邮件接收人修改为相关责任人。

下面创建周期检验作业​:​

USE [msdb]
GO
EXEC msdb.dbo.sp_add_job
      @job_name = N'DBA_登陆账户数据库用户权限周期性审计'
      , @owner_login_name = N'Jack'
USE [msdb]
GO
EXEC msdb.dbo.sp_add_jobstep
      @job_name = N'DBA_登陆账户数据库用户权限周期性审计'
      , @step_name = N'登陆账户数据库用户权限周期性审计'
      , @step_id = 1
    , @subsystem = N'TSQL'
    , @command = N'EXEC DBA_LoginsUsersPermissions_Audit'
    , @database_name = N'master'
GO
USE [msdb]
GO
EXEC msdb.dbo.sp_add_jobschedule
      @job_name = N'DBA_登陆账户数据库用户权限周期性审计'
      , @name = N'登陆账户数据库用户权限周期性审计周期'
      , @enabled = 1
    , @freq_type = 8
    , @freq_interval = 2
    , @freq_subday_type = 1
    , @freq_subday_interval = 0
    , @freq_relative_interval = 0
    , @freq_recurrence_factor = 1
    , @active_start_date = 20200206
    , @active_end_date = 99991231
    , @active_start_time =80000
    , @active_end_time = 235959

这里的作业执行周期为一周执行一次(每周一早上8点执行)。

最后我们来做两个简单测试,以检验作业的有效性​:

--测试样例
USE master
GO
GRANT VIEW ANY DATABASE TO Jack
​
USE test
GRANT SELECT TO Jack

测试结果:

 

至此,我们既可以即时预警登陆账户、数据库用户及权限变更,也可以周期全面的检查登陆账户、数据库用户及权限。

三空道人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mssql 数据库审计账户_SQL Server 创建服务器和数据库级别审计
weixin_39860952的博客
12-21 393
一、概述在上一篇文章中已经介绍了审计的概念;本篇文章主要介绍如何创建审计,以及该收集哪些审核规范。二、常用的审核对象2.1、服务器审核对象1.FAILED_LOGIN_GROUP( Audit Login Failed Event Class)指示主体尝试登录到 SQL Server,等效于 Audit Login Failed Event Class,比如:登入失败的操作2.SERVER_OBJ...
SQLSERVER2000功略(3)-数据库登陆及其用户权限
gxj022的专栏
11-21 950
说过了两章纯粹的理论,是不是有乏味的感觉,好,我们从这一讲就进入实质的管理阶段。首先,我们讨论的是SQLSERVER安全管理中的登陆权限问题。SQLSERVER登陆是安全管理的第一关。这个决定了那些人可以使用SQLSERVER(就像进屋时的房门钥匙)。关于登陆控制,SQLSERVER则采用了两种不同的检查方式:windows验证和windows,sqlserver混合验证。前者就是我们登陆wi
sqlserver启用登陆审计
草宝虫的博客
05-09 3916
客户端管理工具进入后:安全性——审核——新建审核——审核目标(就是存储位置)选application log(windows系统应用日志)或者选File(文件目录中会产生一堆日志文件,设置最大滚动更新文件数、最大文件大小)——确定——右击创建好的审核启动。 安全性——服务器审核规范——新建——审核选择刚才创建的审核——下面选择成功登陆和失败登陆——确定——右击创建好的规范启动。 ...
sqlserver browser无法启动_等保测评2.0:SQLServer安全审计
weixin_39711914的博客
11-26 401
一、说明本篇文章主要说一说SQLServer数据库安全审计控制点的相关内容和理解。二、测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。三、测评...
MySQL——授权,角色和审计
最新发布
2401_84814221的博客
05-13 895
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
oracle 审计用户登录信息,Oracle预警用户登录锁定、过期及其审计信息
weixin_35755823的博客
04-13 272
文章版权所有 Jusin Hao(luckyfriends) ,支持原创,转载请注明----创建存储过程(预警用户登录锁定、过期及其审计信息)CREATE OR REPLACE PROCEDURE CUX_USERLOCK_ALERT asSUBJECT varchar2(100);INFO_USER1 varchar2(4000);INFO_USER2 varchar2(...
oracle用户登录审计
weixin_33924770的博客
04-23 139
Oracle中可以按照如下方式对用户登陆失败进行审计: 1、确认sys.aud$ 是否存在? desc sys.aud$ 2、观察user$表中lcount为非0的用户,如果包含被锁账户,则可以判定很有可能是该用户登陆尝试失败过多 造成了账户被锁: select name,lcount from sys.user$; 3、修改audi...
SQL Server 关系数据库简介.rar
12-16
SQL Server提供了一整套安全性机制,包括用户账户、角色、权限审计。通过设置不同级别的访问权限,可以控制用户数据库的访问,确保数据安全。同时,SQL Server支持备份和恢复策略,通过定期备份,可以在数据丢失...
SQL Server 2008数据库原理及应用.zip
06-21
- 用户权限:设置用户账户,控制对数据库的访问权限,确保数据安全。 - 角色和角色成员:通过角色分配权限,简化权限管理。 - 审计和加密:记录数据库活动,提供透明数据加密,增强安全性。 6. 教学资源包: ...
sqlserver 系统存储过程 中文说明
12-15
5. **sp_start_job** 和 **sp_stop_job**: 分别用于启动和停止SQL Server Agent作业,这在自动化任务管理中起到关键作用,例如定时备份、维护任务等。 6. **sp_password**: 用于添加或修改登录账户的密码,是安全...
SQL Server 2000数据库及应用电子教案
02-12
8. **SQL Server 2000的安全性管理**:第十章详细阐述了如何设置和管理数据库的安全性,包括用户账户的创建、权限的分配、角色的管理以及审计策略的设置。 9. **事务和锁的使用与管理**:第九章讲解了事务处理的...
SQL Server自动安装程序1.2.zip
11-09
7. **安全性**:安装时应考虑数据库安全,包括设置强壮的sa账户密码、启用防火墙规则、配置SQL Server审计和日志记录,以增强系统的安全性。 8. **性能优化**:安装程序可能还包括一些性能调整选项,如启用数据页...
SQL语句生成表结构
iwteih的专栏
08-27 1217
CREATE PROCEDURE sp_ScriptTable(    @TableName SYSNAME,    @IncludeConstraints BIT = 1,    @IncludeIndexes BIT = 1,    @NewTableName SYSNAME = NULL,    @UseSystemDataTypes BIT = 0)ASBEGIN    DECLARE
SQL Server登陆账户数据库用户包含用户)及权限自动化审计
三空道人的博客
02-15 1230
登陆账户权限变更的审计 因为系统视图sys.server_permissions没有记录登陆账户权限变更的时间,同时为了更及时、全面的了解到登陆账户权限变更的信息,保障数据库的安全,使用DDL触发器事件DDL_LOGIN_EVENTS、DDL_GDR_SERVER_EVENTS、ADD_SERVER_ROLE_MEMBER、ALTER_SERVER_ROLE、CREATE_SERVER_R...
工作96:当前页面拿id
歌谣的博客
11-08 150
reject(){ putAction("/order/"+this.ListId+"/status",{status:-1,remark:""}).then(res=>{ this.$message({ message: '审核撤回状态修改', type: 'success' }); this.close(); }) }, /*审核通过的方法 定义在混入里面*/ ...
SQL中declare申明变量
热门推荐
yanpingsz的专栏
05-29 8万+
sql语句中添加变量。declare @local_variable data_type声明时需要指定变量的类型,可以使用set和select对变量进行赋值,在sql语句中就可以使用@local_variable来调用变量 声明中可以提供值,否则声明之后所有变量将初始化为NULL。 例如:declare @id int         declare @i
Audit里审计SQL语句与审计系统权限的区别
cuiqiong6888的博客
09-18 493
Audit可以实现对于特定对象、特定SQL语句、特定权限审计,其中对于SQL语句和系统权限审计在概念上有时容易混淆起来,比如拿audit user与audit alter user作比较. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值