problema de seguridad

26/08/2008 - 23:45 por etra | Informe spam
Hola
En el trabajo tenemos sqlserver 2000 sp4

Hoy sucedio algo extraño, una tabla de sql server de aparecio sin ningun
registro y sin indices, ademas los triggeres de auditoria no registraron
nada.
con log_explorer aparece un drop table, pero la tabla estaba aunque como
dije sin registros y sin indices.

Me comentan que los DTS no disparan los triggers por lo que podría ser uno
de los causantes.

De todos modos tengo dos dudas.

1- Puedo saber que usuario o desde que maquina se hizo esta operación?
2- Como puedo prevenir esta situacion?, se me ocurre llevar una traza de las
operaciones del servidor pero no me parece eficiente.

Con otra herramienta para ver el registro aparece que el drop lo hizo el
usuario dbo :S
 

Leer las respuestas

#1 Gustavo Larriera (MVP)
27/08/2008 - 21:44 | Informe spam
Si usted no tenía activado el modo C2 de auditoría, ahora es tarde para saber
los detalles.

Si usted ha podido inspeccionar el log de transacciones y sabe que el autor
del DROP es 'dbo', me atrevo a pensar que alguna de las personas que usan la
cuenta de administrador cometió un error o actuó maliciosamente.

En su lugar empezaría por cambiar las claves de los administradores y
denegaría el acceso a los administradores Windows para que no actúen como
SysAdmins del SQL Server.


Gustavo Larriera, Microsoft MVP
http://www.linkedin.com/in/gustavolarriera
Este mensaje se proporciona tal como es, sin garantías de ninguna clase.



"etra" wrote:

Hola
En el trabajo tenemos sqlserver 2000 sp4

Hoy sucedio algo extraño, una tabla de sql server de aparecio sin ningun
registro y sin indices, ademas los triggeres de auditoria no registraron
nada.
con log_explorer aparece un drop table, pero la tabla estaba aunque como
dije sin registros y sin indices.

Me comentan que los DTS no disparan los triggers por lo que podría ser uno
de los causantes.

De todos modos tengo dos dudas.

1- Puedo saber que usuario o desde que maquina se hizo esta operación?
2- Como puedo prevenir esta situacion?, se me ocurre llevar una traza de las
operaciones del servidor pero no me parece eficiente.

Con otra herramienta para ver el registro aparece que el drop lo hizo el
usuario dbo :S



Preguntas similares