Cómo rastrear los cambios de contraseña de inicio de sesión en SQL Server

Netwrix Auditor for SQL Server

1. Ejecute Netwrix Auditor → Vaya a "Buscar" → Haga clic en "Modo avanzado" si no está seleccionado → Configure los siguientes filtros:
   • Filter = "Data Source"
     Operator = "Equals"
     Value = "SQL Server"
   • Filtro – "Detalles"
     Operador = "Contiene"
     Valor = "Password"
2. Haga clic en el botón "Buscar" y revise qué cambios se realizaron en las contraseñas.

Auditoría Nativa

• Ejecute SQL Management Studio y ejecute el siguiente código T-SQL para crear y habilitar una auditoría de SQL Server y una especificación de auditoría de SQL Server, ajustando la ruta a los registros según sea necesario:

      -- Create a server audit.
CREATE SERVER AUDIT AuditSQL
    TO FILE ( FILEPATH ='\\SQL\Audit\' )
        WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE );
GO
-- Create a server audit specification for login password changes.
CREATE SERVER AUDIT SPECIFICATION User_pw_change
FOR SERVER AUDIT AuditSQL
    ADD (LOGIN_CHANGE_PASSWORD_GROUP);
GO
-- Enable the audit.
ALTER SERVER AUDIT AuditSQL
WITH (STATE = ON);
GO
      

• Para ver los cambios de contraseña de inicio de sesión, ejecute el siguiente código en SQL Management Studio:

      SELECT * FROM sys.fn_get_audit_file ('\\SQL\Audit\*',default,default)
WHERE action_id = 'PWR'
GO
      

• Abra el archivo generado por el script en MS Excel.

Mantenga un control sobre los cambios de contraseña de inicio de sesión en SQL Server para minimizar el riesgo de compromiso de cuentas

Ningún usuario debería cambiar nunca una contraseña de inicio de sesión para Windows SQL Server sin la debida autorización. Desafortunadamente, por defecto, SQL Server no lleva un registro de los cambios de contraseña de inicio de sesión, por lo que si alguien modifica una contraseña de inicio de sesión en tu entorno de SQL Server, ni siquiera sabrás que ocurrió, y mucho menos podrás determinar quién cambió la contraseña. Esta falta de un registro de cambio de contraseñas dificulta el control adecuado de la base de datos; de hecho, no poder auditar los cambios de inicio de sesión pone en riesgo la seguridad de tu SQL Server y los datos críticos.

Para recopilar eventos de contraseñas con cambios, puedes utilizar la auditoría de SQL Server. Sin embargo, ese método requiere scripting en Transact-SQL en SQL Server Management Studio, así que prepárate para mejorar tus habilidades de scripting. Alternativamente, puedes utilizar Netwrix Auditor for SQL Server para auditar los cambios de contraseñas de inicio de sesión — y mucho más. Esta solución integral te permite mantener un seguimiento no solo de los inicios de sesión de SQL Server, sino también de los cambios en objetos de la base de datos, permisos, instancias, eventos de contraseñas y más. Proporciona información detallada sobre qué acciones se realizaron, cuándo y por quién, para que puedas identificar actividades amenazantes más rápidamente y fortalecer la seguridad de tu SQL Server antes de que tus datos se vean comprometidos.