누가 로그인 암호를 변경했는지 알아낼 수있는 방법이 있습니까?

SQL Server 2008 R2에서 누가 로그인 암호를 변경했는지 확인하려고합니다.

기본 추적을 이미 확인했으며 해당 이벤트를 기록하지 않습니다. 기본 추적에는 다음과 같은 보안 관련 이벤트가 포함됩니다.

/*
    Audit Add DB user event
    Audit Add login to server role event
    Audit Add Member to DB role event
    Audit Add Role event
    Audit Add login event
    Audit Backup/Restore event
    Audit Change Database owner
    Audit DBCC event
    Audit Database Scope GDR event (Grant, Deny, Revoke)
    Audit Login Change Property event
    Audit Login Failed
    Audit Login GDR event
    Audit Schema Object GDR event
    Audit Schema Object Take Ownership
    Audit Server Starts and Stops 
*/

또한 트랜잭션 로그 백업을 조사하여 그 사실을 알았지 만 운이 없었습니다.

그것을 알아낼 다른 방법이 있습니까?

또한 서버 측 추적이 도움이된다는 것을 알고 있지만 불행히도 서버 측 추적에는을 포함하지 않았습니다 Audit Login Change Password Event.

내가 찾은 최고의 기사는 Aaron Bertrand : SQL Server에서 로그인 암호 변경 추적

사전에 이벤트를 설정했지만 이벤트가 과거에 발생하고 감사 메커니즘이 설정되어 있지 않은 경우에는 내 기사가 도움이 될 것입니다.

그래도 여전히 희망이 있습니다. 내가 이것을했다고 가정 해 봅시다.

CREATE LOGIN flooberella WITH PASSWORD = N'x', CHECK_POLICY = OFF;

이 정보는 EventClass 104 (Audit Addlogin Event)의 기본 추적에 있습니다. 그러나 다음 방법 중 하나를 사용하여 비밀번호를 변경하면

ALTER LOGIN flooberella WITH PASSWORD = N'y';

EXEC sp_password N'y', N'z', N'flooberella';

이러한 이벤트는 명백한 보안상의 이유로 기본 추적에 의해 캡처 되지 않습니다 . 기본 추적에 액세스 할 수있는 사람이 다른 사람의 암호가 무엇인지 알아 내거나이를 쉽게 알아 내고 싶지도 않아야합니다. 비밀번호가 변경되었습니다 (예 : 이러한 이벤트의 빈도를 폴링하면 보안 전략의 특정 특성을 표시 할 수 있음).

그래서 다른 무엇을 할 수 있습니까? 이것은 여전히 ​​로그에있는 정보에 의존하고 시스템 데이터베이스에 대해 문서화되지 않은 DBCC 명령을 사용하는 것 (마스터를 백업하고 다른 곳에서 복원 할 수도 있음)에도 트랜잭션 로그에서 일부 정보를 얻을 수 있습니다 . 예 :

DBCC LOG(master, 1);

위의 두 명령에 대해 다음 (부분) 정보가있는 행이 생성됩니다.

Current LSN             Description
======================  ======================================================================
000000f2:000001b8:0002  ALTER LOGIN;0x01050000000000051500000093a3bcd7a9f8fb1417ab13bce8030000
000000f2:000001b8:0004  Alter login change password;0x01050000000000 ... same sid as above ...

많이 보이지는 않지만 이제 설명의 0x 부분을 취한 다음 수행하십시오.

SELECT name FROM sys.server_principals
  WHERE sid = 0x01050000000000051500000093a3bcd7a9f8fb1417ab13bce8030000;

연기가 나는 총! 해당 이벤트를 책임지는 사람입니다.

물론 ALTER LOGIN모든 작업에 구문을 사용하면 (대신에 사용해야 함 sp_password) 기본 데이터베이스를 변경하는 사람과 암호를 변경하는 사람을 구별 할 수 없습니다. 당신은 또한 (적어도 내가 볼 수) 말할 수있는이 영향을,이 사람이 변경된 경우에만 해당 로그인 로그인합니다. Jon 은이 정보도 로그에 있다고 생각하는 것처럼 보이지만 정보를 찾지 못했습니다 (시간 정보와 달리 어떻게 든 과거 스크롤).

SQL Server 2012에는 포함 된 사용자에 대한 답변이 다를 수 있지만 암호 변경이 여전히 비슷한 방식으로 난독 화되는 것으로 생각됩니다. 별도의 질문으로 남겨 두겠습니다.

이것은 의견보다 길어서 답변으로 게시됩니다.

select top(10) 
    [Transaction ID], 
    [Begin Time], 
    [Transaction Name], 
    [Transaction SID],
    SUSER_SNAME([Transaction SID])
from fn_dblog(null, null)
where Operation = 'LOP_BEGIN_XACT';

Transaction ID Begin Time               Transaction Name                  Transaction SID
-------------- ------------------------ --------------------------------- ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0000:00002b12  2014/01/08 20:10:14:890  Event_Session_Startup             NULL
0000:00002b13  2014/01/08 20:10:15:027  DBMgr::StartupDB                  NULL
0000:00002b14  2014/01/08 20:10:15:513  AddGuestUserToTempdb              NULL
0000:00002b15  2014/01/08 20:10:15:537  DBMgr::StartupDB                  NULL
0000:00002b16  2014/01/08 20:10:15:537  DBMgr::StartupDB                  NULL
0000:00002b17  2014/01/08 20:10:15:537  DBMgr::StartupDB                  NULL
0000:00002b18  2014/01/08 20:10:15:540  DBMgr::StartupDB                  NULL
0000:00002b19  2014/01/08 20:10:15:550  DBMgr::StartupDB                  NULL
0000:00002b1a  2014/01/11 11:49:42:760  AutoCreateQPStats                 0x010500000000000515000000A065CF7E784B9B5FE77C877084B65600
0000:00002b1b  2014/01/11 11:53:26:620  test_ack                          0x010500000000000515000000A065CF7E784B9B5FE77C877084B65600

(10 row(s) affected)

서버 수준에서 DDL 트리거를 활용할 수 있습니다 (이 예에서는 SQL Server 데이터베이스 메일 기능이 활성화 및 설정되어 있어야합니다).

CREATE Trigger [Trg_TrackLoginManagement]
on ALL Server
for DDL_LOGIN_EVENTS
as
set nocount on
declare @data xml,
          @EventType varchar(100),
          @EventTime datetime,
          @ServerName varchar(100),
          @AffectedLoginName varchar(100),
          @WhoDidIt varchar(100),
          @EmailSubject varchar(500),
          @EmailBody varchar(800),
          @EmailRecipients varchar(300)
set @EmailRecipients = 'name@domain.com'
set @data = eventdata()
set @EventType = @data.value('(/EVENT_INSTANCE/EventType)[1]', 'varchar(100)')
set @EventTime = @data.value('(/EVENT_INSTANCE/PostTime)[1]','datetime')
set @ServerName = @data.value('(/EVENT_INSTANCE/ServerName)[1]','varchar(100)')
set @AffectedLoginName = @data.value('(/EVENT_INSTANCE/ObjectName)[1]','varchar(100)')
set @WhoDidIt = @data.value('(/EVENT_INSTANCE/LoginName)[1]','varchar(100)')

set @EmailSubject = 'ALERT: DDL_LOGIN_Event: ' + @EventType + ' occured by ' + @WhoDidIt + ' on ' + @ServerName

set @EmailBody =  'DDL_Login_Event: ' + @EventType + char(10) + 
                 'Event Occured at: ' + convert(Varchar, @EventTime) + char(10) + 
                 'ServerName: ' + @ServerName + char(10) +
                 'Affected Login Name:      ' + @AffectedLoginName + char(10) + 
                 'Event Done by: ' + @WhoDidIt
EXEC msdb.dbo.sp_send_dbmail
    @recipients = @EmailRecipients,
    @body = @EmailBody,
    @subject = @EmailSubject ;
GO