Comment suivre les changements de mot de passe de connexion dans SQL Server

Netwrix Auditor for SQL Server

1. Exécutez Netwrix Auditor → Allez dans "Recherche" → Cliquez sur "Mode avancé" si ce n'est pas sélectionné → Configurez les filtres suivants :
   • Filter = "Source de données"
     Operator = "Équivaut à"
     Value = "SQL Server"
   • Filtre – "Détails"
     Opérateur = "Contient"
     Valeur = "Password"
2. Cliquez sur le bouton « Rechercher » et examinez les modifications apportées aux mots de passe.

Audit Natif

• Exécutez SQL Management Studio et exécutez le code T-SQL suivant pour créer et activer un audit SQL Server et une spécification d'audit SQL Server, en ajustant le chemin vers les journaux selon les besoins :

      -- Create a server audit.
CREATE SERVER AUDIT AuditSQL
    TO FILE ( FILEPATH ='\\SQL\Audit\' )
        WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE );
GO
-- Create a server audit specification for login password changes.
CREATE SERVER AUDIT SPECIFICATION User_pw_change
FOR SERVER AUDIT AuditSQL
    ADD (LOGIN_CHANGE_PASSWORD_GROUP);
GO
-- Enable the audit.
ALTER SERVER AUDIT AuditSQL
WITH (STATE = ON);
GO
      

• Pour voir les changements de mot de passe de connexion, exécutez le code suivant dans SQL Management Studio :

      SELECT * FROM sys.fn_get_audit_file ('\\SQL\Audit\*',default,default)
WHERE action_id = 'PWR'
GO
      

• Ouvrez le fichier produit par le script dans MS Excel.

Surveillez les changements de mot de passe de connexion dans SQL Server pour minimiser le risque de compromission de compte

Aucun utilisateur ne devrait jamais changer un mot de passe de connexion pour Windows SQL Server sans autorisation appropriée. Malheureusement, par défaut, SQL Server ne conserve pas de trace des changements de mots de passe de connexion, donc si quelqu'un modifie un mot de passe de connexion dans votre environnement SQL Server, vous ne saurez même pas que cela s'est produit, encore moins être en mesure de déterminer qui a changé le mot de passe. Ce manque de journal de changement de mot de passe rend difficile le contrôle adéquat de la base de données ; en fait, ne pas pouvoir auditer les changements de connexion met en péril la sécurité de votre SQL Server et les données critiques.

Pour collecter les événements de mot de passe avec des modifications, vous pouvez utiliser l'audit de SQL Server. Cependant, cette méthode nécessite l'écriture de scripts Transact-SQL dans SQL Server Management Studio, alors préparez-vous à améliorer vos compétences en matière de script. Alternativement, vous pouvez utiliser Netwrix Auditor for SQL Server pour auditer les changements de mot de passe de connexion — et bien plus encore. Cette solution complète vous permet de suivre non seulement les connexions au serveur SQL, mais aussi les modifications apportées aux objets de la base de données, aux permissions, aux instances, aux événements de mot de passe et plus encore. Elle fournit des informations détaillées sur les actions effectuées, quand et par qui, afin que vous puissiez identifier plus rapidement les activités menaçantes et renforcer la sécurité de votre SQL Server avant que vos données ne soient compromises.