Автор: Emad Al-Mousa Audit SQL Server Extended Stored Procedures Usage
В этой статье поговорим о мониторинге доступов к конфиденциальной
информации SQL Server и политиках аудита безопасности для обеспечения требований
Security Information and Event Management (SIEM).
Заострим наше внимание на аудите выполнения не безопасных в этом плане
системных хранимых процедур. Такие команды следует отслеживать, поскольку их
можно использовать для компрометации данных, если запуск происходит в контексте
роли системного администратора.
Extended stored procedures (расширенные хранимые процедуры) — это файлы библиотек DLL, на которые ссылается SQL Server, и которые предоставляют интерфейсы для операционной системы. Эти процедуры предназначены для выполнения действий на системном уровне. Поэтому для их работы нужны привилегии на уровне роли SYSADMIN. Использование расширенных процедур повышает риски безопасности и требует особого мониторинга для возможного расследования обстоятельств нарушения безопасности. Кроме того, операции на уровне операционной системы выполняются в контексте учетной записи службы SQL Server.
