Trabalhando com Trigger de Logon no SQL Server

O trigger de logon foi introduzido no SQL Server 2005 SP2 para atender a certifica��o de seguran�a chamada Common Criteria (CC), que garante a entrega de produtos seguros para habilitar a seguran�a da infraestrutura de informa��es das organiza��es.

Esse trigger trata-se de Triggers DDL que s�o criados no n�vel da Inst�ncia ou database, acionando procedimentos armazenados em resposta a um evento de Logon, que ocorre quando � estabelecida uma sess�o de usu�rio com uma inst�ncia do SQL Server. Seu acionamento dar-se-� ap�s o t�rmino da autentica��o, mas antes da sess�o do usu�rio ser realmente estabelecida.

Vale ressaltar que o trigger de logon n�o � acionado quando houver falha na autentica��o.

Embora possamos criar v�rios triggers no evento de Logon, poderemos definir, se for o caso, qual ser� o primeiro (First) a disparar e qual ser� o �ltimo (Last) e, no caso de haver muitos triggers, somente ser� respeitado a ordem de execu��o dos indicados como First e Last, enquanto que os outros triggers ser�o executados em ordem aleat�ria.

Para que possamos indicar qual ser� o primeiro e o �ltimo trigger, devemos usar a System Stored Procedure sp_settriggerorder @triggername=, @order=, @stmttype=, @namespace=, onde os par�metros s�o definidos conforme a Tabela 1.

Par�metro	Descri��o
@triggername	Indica o nome do trigger
@order	Indica a ordem de execu��o do trigger: First (Primeiro), Last (Ultimo), None (Nenhum)
@stmttype	Indica a declara��o do gatilho (Insert, Update, Delete, Logon,lista de eventos de DDL)
@namespace	Indica se � um trigger de DATABASE, SERVER ou null. Se n�o for indicado ou especificar null, � um trigger de DML
Sp_settriggerorder @triggername=�TRG_DBA_AUDLOGON�, @order=�First�, @stmttype=�LOGON�;

Tabela 1. Defini��o dos par�metros

Antes do SQL Server disparar um trigger de logon, uma transa��o impl�cita � criada independente de qualquer transa��o do usu�rio. Dessa forma, quando o primeiro trigger de logon for disparado a contagem de transa��o ser� 1 e, ao finalizar todos os triggers, a transa��o ser� confirmada.

O Rollback Transaction zera a contagem de transa��es, enquanto o Commit Transaction pode decrementar a contagem das transa��es para 0. Sendo assim, utilizar o Commit Transaction dentro de trigger de logon n�o � aconselh�vel.

Podemos utilizar o trigger de logon para auditar e controlar as sess�es em uma inst�ncia como, por exemplo, restringir a atividade de logon, restringindo os logons no SQL Server ou limitando o n�mero de sess�es para um logon especifico.

Para que possamos capturar as informa��es necess�rias para nossa auditoria dentro de uma trigger de logon, utilizamos a fun��o EVENTDATA(), que retorna informa��es sobre os eventos da inst�ncia ou banco de dados e, dessa forma, poderemos obter os dados da conex�o que disparou o trigger. O EventData() retorna dados em XML.

Vale ressaltar que o EVENTDATA() s� retornar� dados quando for referenciado dentro um trigger de logon ou DDL e, no caso de ser referenciado por outras rotinas, seu retorno ser� NULL.

O evento de Logon do EVENTDATA(), retorna o seguinte esquema em XML presente na Listagem 1.

Listagem 1. Esquema EVENTDATA()

<EVENT_INSTANCE>
  <EventType>LOGON</EventType>       
  <PostTime>2015-07-12T21:10:35.254</PostTime>          
  <SPID>85</SPID>           
  <ServerName>SERVER\INST_01</ServerName>            
  <LoginName>DOMAIN\User01</LoginName> 
  <LoginType>Windows Login</LoginType>        
  <SID>sid</SID>               
  <ClientHost>0.0.0.0</ClientHost>          
  <IsPooled>0</IsPooled>            
</EVENT_INSTANCE>

Cen�rio

Em nosso cen�rio iremos trabalhar especificadamente com trigger de logon, mas existem outras possibilidades, pois trata-se de triggers DDL. Sendo assim, poderemos criar trigger para coibir, por exemplo, DROP TABLE, ALTER TABLE, entre outros. Mas isso poder� ser tratado num outro artigo.

Agora vamos ao cen�rio: imagine que voc� � o DBA de uma empresa onde os dados s�o de suma import�ncia para o neg�cio, ou seja, os mesmos n�o podem ser manipulados de forma a n�o atender as regras de neg�cios. Voc� dever� aplicar as boas pr�ticas em todos os ambientes SQL Server e, uma delas � n�o permitir que usu�rios/desenvolvedores possam se conectar usando logins de sistema atrav�s do SQL Server Management Studio (SSMS) para realizar qualquer opera��o que seja.

Voc�s podem se perguntar: mas � s� n�o passar a senha desses usu�rios de sistema. Mas lembre-se de que esses usu�rios n�o foram criados atrav�s de um dom�nio, mas sim, com autentica��o do SQL Server.

Sem uma pol�tica de seguran�a implantada, qualquer pessoa de posse desses usu�rios poder� manipular os dados sem que ningu�m tenha conhecimento, causando assim impactos catastr�ficos percebidos somente tempos depois.

Vale ressaltar que esses logins de sistemas criados como autentica��o do SQL Server possuem permiss�es de Insert/Delete/Execute/Update/Select; permiss�es essas que os usu�rios/desenvolvedores n�o possuem.

Esse cen�rio aplica-se principalmente onde n�o existe um DBA e, certamente se voc� est� se vendo nessa situa��o, sabe o quanto � custoso realizar um trabalho de seguran�a quando os usu�rios/desenvolvedores possuem todos os logins de sistemas e, com isso, a possibilidade de realizar altera��es nos dados sem nenhum crit�rio. Sem contar que a manipula��o de dados quando realizada pelos usu�rios/desenvolvedores utilizando-se desses logins dificultar� e muito encontrar quem foi o respons�vel por efetuar as altera��es. Agora se estiver com a auditoria habilitada, ser� mais tranquilo realizar esse levantamento.

Para coibirmos essas tentativas, temos a nossa disposi��o o trigger de logon; onde um usu�rio, ao tentar estabelecer uma conex�o com a inst�ncia usando um login de aplica��o, receber� uma mensagem de erro e os dados dessa tentativa ficar�o registrados numa tabela onde somente o DBA ter� acesso, para posteriormente ser analisado e, em seguida, tomar decis�es de como proceder administrativamente, pois trata-se de uma pol�tica de seguran�a r�gida e que n�o permite esse tipo de a��o.

Pensando em futuras implementa��es com outras valida��es/auditorias no ambiente SQL Server, pense na possibilidade da cria��o de um database ou, se desejar maior controle e seguran�a, uma inst�cia SQL Server para a �rea de banco de dados, onde somente o DBA ter� acesso.

Nesse nosso cen�rio, vamos assumir que iremos criar um database para armazenar todas as tentativas de login com usu�rios de sistemas.

Algumas etapas dever�o ser seguidas para a cria��o do trigger de logon, como veremos a seguir.

Cria��o do database

Com o script da Listagem 2 criaremos o database TesteDB para que possamos criar nossa tabela onde ficar�o armazenados os dados de nossa auditoria de logon.

Listagem 2. Cria��o do Database

CREATE DATABASE [TesteDB]
   CONTAINMENT = NONE
   ON  PRIMARY 
  ( NAME = N'TesteDB', FILENAME = N'H:\BD2012\TesteDB.mdf' , SIZE = 4160KB , MAXSIZE = UNLIMITED, FILEGROWTH = 1024000KB )
   LOG ON 
  ( NAME = N'TesteDB_log', FILENAME = N'H:\Log2012\TesteDB_log.ldf' , SIZE = 2048KB , MAXSIZE = UNLIMITED , FILEGROWTH = 524288KB )
  GO

Repare que o banco � iniciado com o tamanho aproximado de 4 Mb (Size), o tamanho m�ximo (MaxSize) ilimitado e o crescimento do database (FileGrowth) � feito a cada 1 Gb. J� o Transaction Log ter� o TesteDB_Log (Name), localizado, nesse caso, no mesmo diret�rio do arquivo de dados (o que nas melhores pr�ticas n�o � indicado, mas isso � feito apenas para fins did�ticos). O tamanho inicial do log (Size) � de 2 Mb e o tamanho m�ximo (MaxSize) ilimitado, com o crescimento do log (Filegrowth) a cada 512 Mb.

Exist�ncia de trigger de logons

Temos que saber se j� existe algum trigger de logon. Caso exista, teremos que definir qual ser� o primeiro (First) ou �ltimo (Last) a ser executado e para essa defini��o usaremos a System Stored Procedure sp_settriggerorder. Temos que ter crit�rios para definir quem ser� a primeira ou a �ltima, caso contr�rio, os triggers ser�o executados aleatoriamente.

Para essa verifica��o podemos executar o comando a seguir:

 select * from sys.server_triggers

A ideia � n�o retornar nada, como vemos na Figura 1.

>Verificar se existe algum trigger

Figura 1. Verificar se existe algum trigger

Criando um usu�rio de aplicativo

Para que possamos realizar nossos testes adequadamente, um usu�rio de sistema com autentica��o SQL Server se faz necess�rio. Esse usu�rio ter� permiss�o de db_datareader e db_datawriter. Para nosso teste, iremos criar o usu�rio appMob com o c�digo da Listagem 3.

Listagem 3. Cria��o do Login, Usu�rio e permiss�es

USE [master]
  GO
  CREATE LOGIN [appMob] WITH PASSWORD=N'@@_M0b2o!5', DEFAULT_DATABASE=[TesteDB], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
  GO
   
  -- Criacao do usuario no database
  USE [TesteDB]
  GO
  CREATE USER [appMob] FOR LOGIN [appMob]
  GO
   
  -- Permissao de leitura no database
  USE [TesteDB]
  GO
  ALTER ROLE [db_datareader] ADD MEMBER [appMob]
  GO
   
  -- Permissao de escrita no database
  USE [TesteDB]
  GO
  ALTER ROLE [db_datawriter] ADD MEMBER [appMob]
  GO

Ap�s cumprirmos essas etapas, vamos a cria��o dos objetos para nossa auditoria com o trigger de logon, lembrando que o usu�rio que estamos usando nesse caso � o �sa�, pois trata-se de um ambiente stand-alone com intuito de testes locais. Mas em seu ambiente dever� utilizar um usu�rio com privil�gios de ddladmin para executar esses procedimentos.

Criando tabela de auditoria

Criaremos a tabela de auditoria conforme o c�digo da Listagem 4. Ela � necess�ria para que o trigger possa logar todas as tentativas de conex�o. Em nosso artigo criamos um database para esse fim, mas voc� poder� realizar esses procedimentos no database que achar mais conveniente. Por�m, n�o realize esses procedimentos nos system databases.

Listagem 4. Cria��o da tabela

CREATE TABLE DBA_Aud_Logon(
         dal_ID int not null identity(1,1),
         dal_Server varchar(50),
         dal_Login varchar(100),
         dal_NomeHost varchar(100),
         dal_Aplicacao varchar(200),
         dal_IPClient varchar(30),
         dal_DataEvento datetime
  )

Trigger de Logon

Agora iremos nos concentrar em criar o trigger de logon, n�o esquecendo que o foco desse artigo ser� logar as tentativas de conex�o usando usu�rios de sistemas atrav�s do SQL Server Management Studio (SSMS).

Nesse momento, teremos que ficar atentos a toda codifica��o, pois uma valida��o errada e certamente poderemos impactar todo ambiente de produ��o. Recomendo que antes de executar o trigger em qualquer ambiente que seja, analise o c�digo quantas vezes forem necess�rias, evitando assim surpresas desagrad�veis.

Nesse nosso exemplo, se esquecermos de indicar a verifica��o do APP_Name(), que nesse caso est� indicando o SQL Server Management Studio (SSMS), toda tentativa de login do usu�rio appMob ser� bloqueada e, com isso, a aplica��o retornar� um para o usu�rio. Caso isso venha a ocorrer, desabilitaremos o trigger, como veremos mais a seguir. Confira a programa��o presente na Listagem 5.

Listagem 5. Cria��o do trigger


  IF  EXISTS (SELECT * FROM master.sys.server_triggers WHERE parent_class_desc = 'SERVER' AND name = N'TRG_DBA_AUDLOGON')
  DROP TRIGGER [TRG_DBA_AUDLOGON] ON ALL SERVER
  GO
   
  -- Criacao do trigger de logon
  CREATE TRIGGER TRG_DBA_AUDLOGON
  ON ALL SERVER WITH EXECUTE AS 'sa'
  FOR LOGON
  AS
  BEGIN
         SET NOCOUNT ON
      DECLARE 
         @vEvtData xml,
         @vEventTime datetime,
         @vServer varchar(40),
         @vLoginName varchar(50),
         @vIpClient varchar(50),      
         @vHostName varchar(50),
         @vAppName varchar(500)
   
         -- Verifica se o login utilizado eh appMob e se a aplicacao a ser utilizada � o Management Studio
         IF ORIGINAL_LOGIN() = 'appMob' and APP_NAME() LIKE 'Microsoft SQL Server Management Studio%'
         begin
               -- Variavel que recebera o eventdata()
              SET @vEvtData = eventdata()
              -- Variavies que receberao os dados do eventdata()      
              SET @vEventTime = @vEvtData.value('(/EVENT_INSTANCE/PostTime)[1]', 'datetime')
              SET @vServer = @vEvtData.value('(/EVENT_INSTANCE/ServerName)[1]', 'varchar(40)')
              SET @vLoginName = @vEvtData.value('(/EVENT_INSTANCE/LoginName)[1]', 'varchar(50)')
              SET @vIpClient = @vEvtData.value('(/EVENT_INSTANCE/ClientHost)[1]', 'varchar(50)')
              SET @vHostName = HOST_NAME()
              SET @vAppName = APP_NAME()
              
         -- Nao permite continuar com a conexao, retornando uma janela com erro      
               ROLLBACK
   
         -- Se for o evento ser� logado, pois esta havendo uma tentativa de burlar a seguran�a dos dados
              INSERT [TesteDB]..DBA_Aud_Logon(dal_DataEvento,dal_Server,dal_Login,dal_NomeHost,dal_Aplicacao,dal_IPClient)
               -- Estamos retornando o xml os valores para que possamos logar na tabela da funcao EventData
              SELECT  @vEventTime,@vServer, @vLoginName, @vHostName, @vAppName, @vIpClient                  
               end   
  END

Ap�s a cria��o do trigger no SQL Server Management Studio poderemos verificar no Object Explorer, no item Server Objects e subitem Triggers, que o mesmo foi criado, conforme a Figura 2.

Na Figura 3 e Listagem 6 poderemos verificar um c�digo T-SQL retornando a verifica��o em duas system tables. A primeira parte retorna os dados do trigger como nome, data de cria��o, entre outras informa��es, e a segunda parte retorna o evento do trigger, no nosso caso LOGON (Type_Desc).

Item Server Objects ->
Triggers

Figura 2. Item Server Objects -> Triggers

C�digo T-SQL para verificar o trigger
criado

Figura 3. C�digo T-SQL para verificar o trigger criado

Listagem 6. Comando T-SQL para verificar os triggers existentes

-- Verificar quais triggers existem
  select name, object_id, parent_class_desc, type,  type_desc, create_date, modify_date from sys.server_triggers
   
  -- Verificar quais eventos, no nosso caso trata-se de um trigger de logon (type_desc)
  select * from sys.server_trigger_events

Agora iremos para a parte que nos interessa: realizar testes para verificar a funcionalidade do trigger.

Estabelecendo conex�o com o usu�rio �sa�

Esse teste poderia ser realizado com qualquer outro usu�rio que n�o fosse o appMob, mas como esse database � meramente para testes, o usu�rio �sa� continua habilitado. Lembre-se que esse usu�rio num ambiente de produ��o deveria estar desabilitado, atendendo assim a uma das boas pr�ticas de seguran�a no ambiente SQL Server.

Na Figura 4 podemos verificar os dados para conex�o com o usu�rio �sa� e ap�s o click no bot�o Connect poderemos ver que o logon foi realizado com sucesso, conforme c�digo T-SQL da Listagem 7 e Figura 5.

Conex�o com o usu�rio sa

Figura 4. Conex�o com o usu�rio sa

Tabela de log sem registros

Figura 5. Tabela de log sem registros

Listagem 7. Comandos T-SQL para verificar dados ap�s a conex�o

-- Autenticando com SA nenhum registro foi logado
   
  -- Verifica o usuario logado
  select SUSER_SNAME() as login
   
  -- Verifica se foi logado algum registro ap�s a conex�o
  select * from DBA_Aud_logon

Nosso pr�ximo teste iremos utilizar o usu�rio appMob e veremos que o resultado ser� o esperado, ou seja, algu�m tentar� logar com o referido usu�rio (Figura 6) e receber� uma mensagem (Figura 7) que impossibilitar� o usu�rio de continuar. Como podemos ver, a mensagem de erro n�o � nada amig�vel para o usu�rio.

Conex�o com o usu�rio appMob

Figura 6. Conex�o com o usu�rio appMob

Trigger retornou mensagem de erro

Figura 7. Trigger retornou mensagem de erro

Para que possamos verificar se o trigger realmente disparou teremos que nos logar no SQL Server Management Studio utilizando um outro login que n�o fa�a parte dessa regra de seguran�a e que tenha permiss�o no database e tabela de log.

Ap�s logar, realizaremos uma consulta da tabela DBA_Aud_Logon para ver quantas tentativas houveram e de quais m�quinas partiram usando o comando a seguir:

 select * from DBA_Aud_logon

Infelizmente, se os usu�rios/desenvolvedores possuem acesso remoto liberado no servidor de banco de dados esse resultado n�o poder� ajudar, conforme podemos ver na Figura 8, onde o primeiro registro mostra que houve uma tentativa na m�quina local, ou seja, diretamente no servidor de banco de dados. Agora, se a tentativa for de uma m�quina remota, teremos informa��es necess�rias para levantar quem tentou se conectar (campos dal_NomeHost e dal_IPClient) e, com isso, poderemos tomar todas as medidas necess�rias.

Tentativas de autenticar

Figura 8. Tentativas de autenticar

Com esse trigger resolvemos o problema de algu�m tentar se conectar ao database utilizando o usu�rio de sistemas, o appMob, auditando assim tentativas proibidas.

Agora, se por algum motivo voc� n�o se atentou a regra e n�o consegue se logar no SQL Server Management Studio, poderemos desabilitar o trigger.

Desabilitando o Trigger de Logon

Atrav�s do DAC (Dedicated Administrator Connection) poderemos estabelecer a conex�o. Nele digite o seguinte comando:

 Sqlcmd �S Localhost �d master �A

Onde:

�S (Servidor) = nossa inst�ncia, nosso caso localhost (Local);
-d (Database) = em nosso caso, o m�ster;
-A (Conex�o) = Conex�o Administrator dedicado.

Lembrando que se estiver numa inst�ncia nomeada, basta substituir o localhost pela mesma.

Ap�s confirmar o comando a janela do SQLCMD ir� abrir para que voc� possa digitar o comando para desabilitar a trigger, como poderemos ver na Figura 9.

Desabilitando o trigger de Logon

Figura 9. Desabilitando o trigger de Logon

Feito esse procedimento, poderemos logar novamente usando o SQL Server Management Studio e confirmar se o trigger foi realmente desabilitado. Para isso utilizaremos o comando T-SQL da Listagem 8.

Podemos tamb�m tentar logar com o usu�rio appMob, pois se n�o retornar a mensagem de erro o processo de desabilitar o trigger ocorreu com sucesso. Na Figura 10 podemos ver que o comando T-SQL da Listagem 8 retornou um registro, que no nosso caso � o trigger desabilitado.

Retornando registro indicando o
trigger desabilitado

Figura 10. Retornando registro indicando o trigger desabilitado

Listagem 8. Verificar se o trigger foi desabilitado

select name, parent_class_desc, type,type_desc 
  from sys.server_triggers 
  where is_disabled = 1

Agora, se necessitar excluir o trigger, poderemos utilizar duas possibilidades:

Utilizando o comando da Listagem 9:
Listagem 9. Comando T-SQL para excluir um trigger de logon
```
USE [master]
GO
 
DROP TRIGGER [TRG_DBA_AUDLOGON] ON ALL SERVER
GO
```
Atrav�s do Object Explorer, como mostra a Figura 11.

Figura 11. Excluindo trigger de logon

Todos os procedimentos realizados nesse artigo foram num ambiente stand-alone, onde o impacto � zero, mas num ambiente de produ��o real esses triggers habilitados podem causar riscos. Sendo assim, cada empresa possui suas particularidades, ent�o n�o economize em testes e sempre utilize um ambiente que n�o tenha v�nculo com os servidores de produ��o, dessa forma, voc� se garante e mostrar� que sua organiza��o � algo que a empresa poder� contar sempre, afinal de contas, nunca � demais ser precavido.

At� um pr�ximo artigo.

Confira outros conte�dos:

SQL SUM: somando os valores de uma...

SQL: INNER JOIN

SQL: Introdu��o ao Where

Por Anderson Em 2015

Black November

Desconto exclusivo para as primeiras 200 matrículas!

Pagamento anual

12x no cartão

De: R$ 69,00

Por: R$ 54,90

Total: R$ 658,80

Garanta o desconto

Formação FullStack Completa
Carreira Front-end I e II, Algoritmo e Javascript, Back-end e Mobile
+10.000 exercícios gamificados
+50 projetos reais
Comunidade com + 200 mil alunos
Estude pelo Aplicativo (Android e iOS)
Suporte online
12 meses de acesso

Pagamento recorrente

Cobrado mensalmente no cartão

De: R$ 79,00

Por: R$ 54,90 /mês

Total: R$ 658,80

Garanta o desconto

Formação FullStack Completa
Carreira Front-end I e II, Algoritmo e Javascript, Back-end e Mobile
+10.000 exercícios gamificados
+50 projetos reais
Comunidade com + 200 mil alunos
Estude pelo Aplicativo (Android e iOS)
Suporte online
Fidelidade de 12 meses
Não compromete o limite do seu cartão

<Perguntas frequentes>

Carreira

Metodologia

Assinatura e Pagamentos

Cadastro

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso