用sql简化用户访问审计普查

SQL普查是雷德盖特铸造厂开发的最新技术。 在开发的早期，它是一个产品，旨在帮助您向审计员解释您的哪些同事能够访问业务关键型的SQL Server数据库。 以及报告 谁 可以访问这些数据库，它解释道 什么 他们可以做(我e。 他们的权限赋予他们的能力)和 怎么 (I 。e。 他们继承这些能力的方式)。

在这篇博文中，我们将概述我们在早期研究中听到的几个最常见的场景，并描述如何使用SQL普查来为顺利的审计做准备，并轻松地为您的审计人员提供他们需要的信息。

我们都致力于最佳实践，但要从上到下了解谁能在你的庄园里做什么并不容易。 我们设计了一个SQL普查，只需点击一个按钮就可以看到。 让我们探索一下这个场景。

数据库管理员黛比知道她的审计即将到来，它将涵盖 帐目 数据库。 SQL普查是一个SaaS托管的解决方案，它涵盖了您的内部和Azure数据资产，并由数据库管理员Debs在网站上注册。 她下载了一个小的网关应用程序，允许SQL普查检查她的财产。

Debs连接到 帐目 并显示了所有服务器登录及其有效权限的概述 帐目. SQL Census知道服务器登录可以分配权限的所有方式：无论是通过服务器/数据库角色、对象权限、所有权，甚至是不太为人所知的路由，如CONTROL权限。

德布斯注意到应用程序开发人员之一阿里·道在生产中拥有DDL管理员权限。 她喀嚓一声 查看详细信息 找出阿里还能做什么 帐目.

看起来阿里也有读写数据的权利 帐目 也是。 黛比想知道实时同步数据库 阿里是如何获得这些有效权限的，所以她点击了 更多细节 找出答案。

SQL普查检查阿里的权限，不仅查看数据库和服务器中的嵌套角色，还遍历活动目录，查看哪些组拥有权限 帐目 他是其中一员。 它还检查 帐目 服务器主机查看他所在的本地机器组。

有趣的是:阿里不仅被明确地添加到 db_ddladmin 小组，他也在 帐目Admin 是的成员的角色 db_ddladmin.

现在让我们看看这些读/写权限——看起来阿里的登录并没有在服务器上被授予任何特定的权限。 发生什么事了？

SQL普查查看了活动目录，发现阿里在 会计蒸汽 广告组–客户团队显然需要读/写权限来运行会计应用程序。 此广告组是登录到 帐目 数据库，并已添加到 账户使用者 被授予选择、插入、更新和删除的角色。

现在，数据库管理员更容易看到正在发生的事情，并在必要时采取行动。

所以黛比现在知道了 Accounts 用户访问是最新的，这是审计周。 去年，为审计员收集所有用户访问证据花费了数小时。 她运行定制的PowerShell、SQL脚本并使用电子表格将它们整合在一起，却发现审计员对定制的报告并不满意，还需要坐在她身边，在SQL Management Studio和活动目录中制作一系列屏幕截图。

我们的目标是让SQL普查成为SQL Server审计报告的旗手。 这就是为什么我们与审计员和信息技术审计顾问合作，以确保SQL普查创建的报告便于您的审计员遵循，提供审计所需的所有用户访问证据，并且易于导出。

怎么做？ SQL Census了解SQL Server的237个不同权限、9个固定服务器角色和9个固定数据库角色是如何联系在一起的，并将它们浓缩成 7种能力:

1. 服务器管理员。
2. 数据库管理员。
3. 数据库所有者。
4. 架构管理员。
5. 数据写入器。
6. 数据阅读器。
7. 连接/公共。

这些信息收集在一个易于生成、易于导出且可信的报告中。