Come tracciare i cambiamenti delle password di accesso in SQL Server

Netwrix Auditor for SQL Server

1. Esegui Netwrix Auditor → Vai su "Cerca" → Clicca su "Modalità avanzata" se non selezionata → Imposta i seguenti filtri:
   • Filter = "Data Source"
     Operator = "Uguale a"
     Value = "SQL Server"
   • Filtro – "Dettagli"
     Operatore = "Contiene"
     Valore = "Password"
2. Fai clic sul pulsante "Cerca" e controlla quali modifiche sono state apportate alle password.

Native Auditing

• Esegui SQL Management Studio ed esegui il seguente codice T-SQL per creare e abilitare un audit di SQL Server e una specifica di audit di SQL Server, regolando il percorso dei log come necessario:

      -- Create a server audit.
CREATE SERVER AUDIT AuditSQL
    TO FILE ( FILEPATH ='\\SQL\Audit\' )
        WITH ( QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE );
GO
-- Create a server audit specification for login password changes.
CREATE SERVER AUDIT SPECIFICATION User_pw_change
FOR SERVER AUDIT AuditSQL
    ADD (LOGIN_CHANGE_PASSWORD_GROUP);
GO
-- Enable the audit.
ALTER SERVER AUDIT AuditSQL
WITH (STATE = ON);
GO
      

• Per visualizzare le modifiche alle password di accesso, eseguire il seguente codice in SQL Management Studio:

      SELECT * FROM sys.fn_get_audit_file ('\\SQL\Audit\*',default,default)
WHERE action_id = 'PWR'
GO
      

• Apri il file prodotto dallo script in MS Excel.

Monitora le modifiche delle password di accesso in SQL Server per ridurre il rischio di compromissione degli account

Nessun utente dovrebbe mai cambiare una password di accesso per Windows SQL Server senza l'autorizzazione appropriata. Sfortunatamente, per impostazione predefinita, SQL Server non tiene traccia dei cambiamenti delle password di accesso, quindi se qualcuno modifica una password di accesso nel tuo ambiente SQL Server, non saprai nemmeno che è successo, figuriamoci essere in grado di determinare chi ha cambiato la password. Questa mancanza di un registro di cambio password rende difficile controllare adeguatamente il database; infatti, non essere in grado di verificare i cambiamenti di accesso mette a rischio la sicurezza del tuo SQL Server e i dati critici.

Per raccogliere eventi di password con modifiche, puoi utilizzare l'audit di SQL Server. Tuttavia, questo metodo richiede la scrittura di script Transact-SQL in SQL Server Management Studio, quindi preparati a migliorare le tue competenze di scripting. In alternativa, puoi utilizzare Netwrix Auditor for SQL Server per verificare le modifiche delle password di accesso — e molto altro. Questa soluzione completa ti permette di tenere traccia non solo degli accessi al server SQL, ma anche delle modifiche agli oggetti del database, ai permessi, alle istanze, agli eventi di password e altro ancora. Fornisce informazioni dettagliate su quali azioni sono state eseguite, quando e da chi, così puoi identificare attività minacciose più rapidamente e rafforzare la sicurezza del tuo SQL Server prima che i tuoi dati vengano compromessi.