Início / dba / Perguntas / 56930
Accepted
Kin Shah
Asked: 2014-01-17 10:11:46 +0800 CST

Existe uma maneira de descobrir quem mudou a senha para um login?

  • 772

Estou tentando descobrir quem alterou a senha de um login no SQL Server 2008 R2.

Já verifiquei o rastreamento padrão - e ele não registra esse evento. O rastreamento padrão incluirá estes eventos relacionados à segurança:

/*
    Audit Add DB user event
    Audit Add login to server role event
    Audit Add Member to DB role event
    Audit Add Role event
    Audit Add login event
    Audit Backup/Restore event
    Audit Change Database owner
    Audit DBCC event
    Audit Database Scope GDR event (Grant, Deny, Revoke)
    Audit Login Change Property event
    Audit Login Failed
    Audit Login GDR event
    Audit Schema Object GDR event
    Audit Schema Object Take Ownership
    Audit Server Starts and Stops 
*/

Além disso, examinei o backup do log de transações para descobrir isso, mas sem sorte.

Existe alguma outra maneira de descobrir?

Além disso, estou ciente de que um rastreamento do lado do servidor ajudará, mas, infelizmente, em nosso rastreamento do lado do servidor, não incluímos o arquivo Audit Login Change Password Event.

O melhor artigo que encontrei é de Aaron Bertrand: Rastreando alterações de senha de login no SQL Server

security sql-server-2008-r2

3 respostas

  1. Best Answer

    Meu artigo ajudará se você configurar com antecedência, mas não quando o evento aconteceu no passado e você não tinha nenhum tipo de mecanismo de auditoria configurado.

    Ainda há esperança, no entanto. Digamos que eu fiz isso:

    CREATE LOGIN flooberella WITH PASSWORD = N'x', CHECK_POLICY = OFF;

    Essas informações estão no rastreamento padrão em EventClass 104 (Audit Addlogin Event). No entanto, se eu alterar a senha usando um destes métodos:

    ALTER LOGIN flooberella WITH PASSWORD = N'y';

EXEC sp_password N'y', N'z', N'flooberella';

    Esses eventos não são capturados pelo rastreamento padrão, por motivos óbvios de segurança - não deve ser possível para ninguém com acesso ao rastreamento padrão descobrir qual é a senha de outra pessoa, nem eles querem facilitar a descoberta disso uma senha foi alterada (a sondagem da frequência desses eventos, por exemplo, pode revelar certas propriedades de sua estratégia de segurança).

    Então o que mais você faz? Embora isso dependa das informações que ainda estão no log e também do uso de um comando DBCC não documentado em um banco de dados do sistema (você pode querer fazer backup do mestre e restaurá-lo em outro lugar), você pode obter algumas informações do log de transações, por exemplo:

    DBCC LOG(master, 1);

    Isso produzirá, para os dois comandos acima, linhas com as seguintes informações (parciais):

    Current LSN             Description
======================  ======================================================================
000000f2:000001b8:0002  ALTER LOGIN;0x01050000000000051500000093a3bcd7a9f8fb1417ab13bce8030000
000000f2:000001b8:0004  Alter login change password;0x01050000000000 ... same sid as above ...

    Não parece muito, mas agora pegue essa parte 0x da descrição e faça:

    SELECT name FROM sys.server_principals
  WHERE sid = 0x01050000000000051500000093a3bcd7a9f8fb1417ab13bce8030000;

    Arma fumegante! Esta é a pessoa responsável por esse evento.

    Claro, se eles usam ALTER LOGINsintaxe para todas as operações (que deveriam estar usando em vez de sp_password), você não pode distinguir entre alguém alterando o banco de dados padrão e alguém alterando a senha. Você também não pode dizer (pelo menos que eu possa ver) qual login foi afetado, apenas que essa pessoa alterou um login. Jon parece pensar que essa informação também está no log, mas não consegui encontrá-la (ao contrário da informação de tempo, que de alguma forma eu passei direto).

    Pode haver respostas diferentes para usuários contidos no SQL Server 2012 - embora eu suspeite que as alterações de senha ainda sejam ofuscadas de maneiras semelhantes. Vou deixar isso para uma pergunta separada.

    • 11

  2. isso é mais do que um comentário, postando como resposta

    select top(10) 
    [Transaction ID], 
    [Begin Time], 
    [Transaction Name], 
    [Transaction SID],
    SUSER_SNAME([Transaction SID])
from fn_dblog(null, null)
where Operation = 'LOP_BEGIN_XACT';

Transaction ID Begin Time               Transaction Name                  Transaction SID
-------------- ------------------------ --------------------------------- ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0000:00002b12  2014/01/08 20:10:14:890  Event_Session_Startup             NULL
0000:00002b13  2014/01/08 20:10:15:027  DBMgr::StartupDB                  NULL
0000:00002b14  2014/01/08 20:10:15:513  AddGuestUserToTempdb              NULL
0000:00002b15  2014/01/08 20:10:15:537  DBMgr::StartupDB                  NULL
0000:00002b16  2014/01/08 20:10:15:537  DBMgr::StartupDB                  NULL
0000:00002b17  2014/01/08 20:10:15:537  DBMgr::StartupDB                  NULL
0000:00002b18  2014/01/08 20:10:15:540  DBMgr::StartupDB                  NULL
0000:00002b19  2014/01/08 20:10:15:550  DBMgr::StartupDB                  NULL
0000:00002b1a  2014/01/11 11:49:42:760  AutoCreateQPStats                 0x010500000000000515000000A065CF7E784B9B5FE77C877084B65600
0000:00002b1b  2014/01/11 11:53:26:620  test_ack                          0x010500000000000515000000A065CF7E784B9B5FE77C877084B65600

(10 row(s) affected)
    • 4

  3. Você pode utilizar o gatilho DDL no nível do servidor (observe que, para este exemplo, você deve ter o recurso SQL Server Database Mail ativado e definido):

    CREATE Trigger [Trg_TrackLoginManagement]
on ALL Server
for DDL_LOGIN_EVENTS
as
set nocount on
declare @data xml,
          @EventType varchar(100),
          @EventTime datetime,
          @ServerName varchar(100),
          @AffectedLoginName varchar(100),
          @WhoDidIt varchar(100),
          @EmailSubject varchar(500),
          @EmailBody varchar(800),
          @EmailRecipients varchar(300)
set @EmailRecipients = '[email protected]'
set @data = eventdata()
set @EventType = @data.value('(/EVENT_INSTANCE/EventType)[1]', 'varchar(100)')
set @EventTime = @data.value('(/EVENT_INSTANCE/PostTime)[1]','datetime')
set @ServerName = @data.value('(/EVENT_INSTANCE/ServerName)[1]','varchar(100)')
set @AffectedLoginName = @data.value('(/EVENT_INSTANCE/ObjectName)[1]','varchar(100)')
set @WhoDidIt = @data.value('(/EVENT_INSTANCE/LoginName)[1]','varchar(100)')

set @EmailSubject = 'ALERT: DDL_LOGIN_Event: ' + @EventType + ' occured by ' + @WhoDidIt + ' on ' + @ServerName

set @EmailBody =  'DDL_Login_Event: ' + @EventType + char(10) + 
                 'Event Occured at: ' + convert(Varchar, @EventTime) + char(10) + 
                 'ServerName: ' + @ServerName + char(10) +
                 'Affected Login Name:      ' + @AffectedLoginName + char(10) + 
                 'Event Done by: ' + @WhoDidIt
EXEC msdb.dbo.sp_send_dbmail
    @recipients = @EmailRecipients,
    @body = @EmailBody,
    @subject = @EmailSubject ;
GO
    • 1

relate perguntas