Compartilhando chaves e certificados entre o servidor SQL Server 2014 para backup e restauração criptografados

3

Eu tenho seis servidores do SQL Server 2014. Eu não estou usando o TDE, Transparent Data Encryption, em nenhum servidor.

Gostaria de ter um backup criptografado de um banco de dados no servidor ANY e restaurá-lo para o servidor ANY OTHER .

Quais ações eu preciso executar em cada servidor com a chave mestra do serviço, chave do banco de dados mestre e certificado? Eu gostaria de usar o número mínimo de chaves, certificados e arquivos de backup para essas chaves e certificados.

Quais ações eu preciso tomar se eu adicionar um SQL Server 2014 adicional ao grupo?

Obrigado a todos. A falha do servidor e o estouro de pilha me ajudaram muitas vezes no passado.

    
por John Lofgren 04.09.2016 / 02:38

1 resposta

0

O SQL Server tem dois aplicativos principais para chaves: uma chave mestra de serviço (SMK) gerada em e para uma instância do SQL Server e uma chave mestra de banco de dados (DMK) usada para um banco de dados.

A SMK é gerada automaticamente na primeira vez em que a instância do SQL Server é iniciada e é usada para criptografar uma senha do servidor vinculado, credenciais e a chave mestra do banco de dados. A SMK é criptografada usando a chave do computador local usando a API de proteção de dados do Windows (DPAPI).

A DPAPI usa uma chave derivada das credenciais do Windows da conta de serviço do SQL Server e das credenciais do computador. A chave mestra de serviço só pode ser descriptografada pela conta de serviço na qual ela foi criada ou por um principal que tenha acesso às credenciais da máquina.

A chave mestra do banco de dados é uma chave simétrica usada para proteger as chaves privadas de certificados e chaves assimétricas que estão presentes no banco de dados. Ele também pode ser usado para criptografar dados, mas loker tem limitações de comprimento que o tornam menos prático para dados do que usar uma chave simétrica.

Quando é criada, a chave mestra é criptografada usando o algoritmo DES triplo e uma senha fornecida pelo usuário. Para habilitar a descriptografia automática da chave mestra, uma cópia da chave é criptografada usando a SMK. Ele é armazenado no banco de dados em que é usado e no banco de dados do sistema mestre.

A cópia do DMK armazenada no banco de dados do sistema mestre é atualizada silenciosamente sempre que o DMK é alterado. No entanto, esse padrão pode ser alterado usando a opção DROP ENCRYPTION BY SERVICE MASTER KEY da instrução ALTER MASTER KEY. Um DMK que não seja criptografado pela chave mestra de serviço deve ser aberto usando a instrução OPEN MASTER KEY e uma senha.

ou visite o link

    
por 04.09.2016 / 09:06