Cloud Migration Made Easy

Considering a move to the cloud? Axial SQL brings you proven migration strategies to streamline your transition. Our expert team ensures a smooth, efficient shift, keeping your data safe and accessible. Start your journey to the cloud with confidence!

Contact Us

SQL Performance Optimization

Is your SQL running slower than expected? Don't let sluggish performance hinder your business. Our optimization experts at Axial SQL specialize in tuning your databases for peak performance. Speed up your SQL and supercharge your data processing today!

Contact Us

Database Stability Solutions

Tired of frequent database outages? Discover stability with Axial SQL! Our comprehensive analysis identifies and resolves your database vulnerabilities. Enhance reliability, reduce downtime, and keep your operations running smoothly with our expert guidance.

Contact Us

Expert Database Team Evaluation

Questioning your database team's efficiency? Let Axial SQL provide an expert, unbiased analysis. We assess your team's strategies and workflows, offering insights and improvements to boost productivity. Elevate your database management to new heights!

Contact Us

Data Security Assurance

Concerned about your database security? Axial SQL is here to fortify your data defenses. Our specialized security assessments identify potential risks and implement robust protections. Keep your sensitive data secure and your peace of mind intact with our expert services.

Contact Us

Published on

January 11, 2023

Автоматизация аудита безопасности в SQL Server

Как администратор SQL Server, одной из ваших обязанностей является обеспечение безопасности вашей базы данных. Регулярный аудит безопасности является важным для выявления потенциальных уязвимостей и обеспечения соответствия требованиям регулирующих органов. Однако ручной аудит безопасности может быть трудоемким и подвержен ошибкам человека. В этой статье мы рассмотрим, как автоматизировать процесс аудита безопасности в SQL Server.

SQL Server 2000

В SQL Server 2000 аудит разрешений сервера и ролей сервера можно выполнить, выполнив запрос к системной хранимой процедуре sp_helpsrvrolemember. Эта хранимая процедура предоставляет информацию о членстве во встроенных ролях сервера. Чтобы получить информацию для всех ролей сервера, вы можете просто выполнить хранимую процедуру без параметров:

EXEC sp_helpsrvrolemember;

Однако вывод хранимой процедуры не настраивается. Чтобы иметь больше контроля над результатами, вы можете выгрузить вывод во временную таблицу, а затем выполнить запрос к ней вместе с таблицей syslogins:

CREATE TABLE #ServerRoles (
  ServerRole VARCHAR(20),
  MemberName sysname,
  sid VARBINARY(85)
);

INSERT INTO #ServerRoles
(ServerRole, MemberName, sid)
EXEC sp_helpsrvrolemember;

SELECT SL.name, SR.ServerRole
FROM syslogins SL
  JOIN #ServerRoles SR
    ON SL.sid = SR.sid
ORDER BY SL.name, SR.ServerRole;

DROP TABLE #ServerRoles;

Поскольку SQL Server 2000 не поддерживает предоставление конкретных разрешений на уровне сервера, это все, что нам нужно для аудита безопасности в этой версии.

SQL Server 2005 и более поздние версии

Начиная с SQL Server 2005, была введена новая модель безопасности, в которой разрешения могут быть назначены для объектов безопасности. Для аудита безопасности в SQL Server 2005 и более поздних версиях нам необходимо более подробно изучить представления каталога sys.server_principals, sys.server_permissions и sys.server_role_members.

Чтобы получить членов ролей сервера, мы можем объединить представления sys.server_principals и sys.server_role_members:

SELECT SP1.[name] AS 'Login', SP2.[name] AS 'ServerRole'
FROM sys.server_principals SP1
  JOIN sys.server_role_members SRM
    ON SP1.principal_id = SRM.member_principal_id
  JOIN sys.server_principals SP2
    ON SRM.role_principal_id = SP2.principal_id
ORDER BY SP1.[name], SP2.[name];

Чтобы получить разрешения, мы можем использовать представления sys.server_principals и sys.server_permissions:

SELECT SP.[name] AS 'Login', SPerm.state_desc + ' ' + SPerm.permission_name AS 'ServerPermission'
FROM sys.server_principals SP
  JOIN sys.server_permissions SPerm
    ON SP.principal_id = SPerm.grantee_principal_id
ORDER BY [Login], [ServerPermission];

Если вам не интересно разрешение CONNECT SQL, вы можете отфильтровать его с помощью соответствующего оператора WHERE.

Чтобы сгенерировать единый отчет с членами ролей сервера и разрешениями, мы можем объединить два запроса с помощью UNION ALL:

SELECT SP1.[name] AS 'Login', 'Role: ' + SP2.[name] COLLATE DATABASE_DEFAULT AS 'ServerPermission'
FROM sys.server_principals SP1
  JOIN sys.server_role_members SRM
    ON SP1.principal_id = SRM.member_principal_id
  JOIN sys.server_principals SP2
    ON SRM.role_principal_id = SP2.principal_id
UNION ALL
SELECT SP.[name] AS 'Login', SPerm.state_desc + ' ' + SPerm.permission_name COLLATE DATABASE_DEFAULT AS 'ServerPermission'
FROM sys.server_principals SP
  JOIN sys.server_permissions SPerm
    ON SP.principal_id = SPerm.grantee_principal_id
ORDER BY [Login], [ServerPermission];

Выполнив этот запрос, вы сможете успешно просмотреть все разрешения на уровне сервера в SQL Server 2005 и более поздних версиях.

Важно отметить использование COLLATE DATABASE_DEFAULT в SELECT-запросе для каждого второго столбца. Это необходимо для предотвращения конфликтов сортировки в операторе ORDER BY.

Автоматизация процесса аудита безопасности в SQL Server позволяет не только сэкономить время, но и обеспечить последовательность и точность. Регулярное выполнение обсуждаемых в этой статье запросов позволяет легко генерировать отчеты для целей аудита и удовлетворять требованиям ваших аудиторов.

Click to rate this post!
[Total: 0 Average: 0]
, , , , , , ,

Let's work together

Send us a message or book free introductory meeting with us using button below.

Book a meeting with an expert