审核Server 2019上的管理员权限使用

Question

出于安全意识，我想对管理权限的使用进行审核。我想为当前具有SysAdmin角色的用户(遵循最小特权的概念)分配特定的权限，我想知道他们在数据库上面使用什么权限。有没有一个好的方法来审计这些行动，以便我可以授予这些具体的权利？

Answer 1

从问题的本质上看，在选择撤销权限之前，您似乎是在谨慎地观察用户。明确地了解业务愿意允许用户在实例上执行什么，特别是当他们没有以任何身份戴DBA帽子的时候。如果您是实例的DBA，并且对其正常运行时间、安全性和完整性负责，请将您的安全期望传达给业务，并确保您的用户登录符合要求。

尽管如此，您可能希望将审计与服务器级和数据库级规范结合使用。可以审计的操作组非常多，但如果要忽略特定的操作组，则这将使您获得最精确的操作。至于指示主体(用户/登录)，您可以特别指出要跟踪的登录，但可能建议跟踪公共角色，以便监视高层操作的总体使用情况。

您可以尝试的另一种方法是从查看默认跟踪开始。它不可能捕获所有事件，它的保留取决于磁盘空间和生成的限定事件的数量，但可以动态检查。

上述两种操作都是被动的，使用SSMS和T定期检查输出。您还可以与扩展事件会话交互监视。